觀點

監視他人一舉一動真的是至關重要的大事?

2007 / 09 / 03
MARCUS RANUM、BRUCE SCHNEIER
監視他人一舉一動真的是至關重要的大事?

MARCUS Ranum
許多我所認識的安全從業夥伴,總是豎起他們的耳朵注意聆聽是否有長統馬靴的腳步聲,並且張著他們的眼睛觀看是否有Big Brother(政府安全部門)到來的徵兆。
毫無疑問的這些人都是受過良好教育的聰明人,但是在耗盡資源之前是否該先思考事情的真實狀況。就以RFID為例子。許多人(包含Bruce)都很緊張的指出可能會有惡意份子利用RFID窺視技術來取得護照資料及個人資訊。或Big Brother會透過RFID標籤(RFID-tagged)
來追蹤我們的行蹤。
人們總是說必須進行風險評估,就讓我們實際的衡量看看:您的個人資訊透過RFID竊聽而洩漏的機率和每週被不同聯邦機構員工所搞丟的電腦而洩漏的機率哪一個高?Big Brother會透過RFID來進行跟蹤的機率和飯店將顧客資訊通報給聯邦機構的機率哪一個高?當然,我並不是說事情真的會這樣發生—我只是合理的懷疑,因為如果聯邦機構真的在蒐集這些資料的話,現在也已經因為電腦的遺失而將這些資料一併遺失了。

另一個我無法理解的Big Brother恐懼是電子投票(e-voting)。我是否會擔心有人會透過操作電子投票機器來左右選舉結果?當然不會!他們會利用傳統的方式來贏得選戰—利用金錢來操作媒體左右公眾論述並且哄騙投票人。任何認為電子投票會創造新問題的人真該讀讀歷史。為什麼大家會反對使用電子投票機制,可是卻漠視利益團體用金錢收買政治人物去投票給他們期望的政策?坦白說,一場以不正當手段操作的選舉可能還節省納稅人許多的金錢。

當國土安全部(DHS)花費數億美金,執行墨西哥入境生物辨識通行系統卻失敗之後,為何您還會擔心Big Brother會濫用國家身分辨識碼(national ID)系統?當FBI花費了十年、數十億經費來執行Virtual Case File計畫卻失敗之後,您為何還會擔心Big Brother是否擁有龐大的資料庫來記錄所有人的資訊?要建立極權國家,需要的不是技術而是有效且冷酷的政策。安全從業人員擔心國家用來控制他們的新技術其實都嚴重的進度延後、預算超支或者付出慘痛代價而失敗。

您能夠想像Big Brother部門會是什麼樣子嗎?假定在1984年這個部門開始運作,它會將現在透過AOL所傳送的電子郵件都交由外包的私人伺服器來傳送—而這個計畫將會嚴重的預算超支並且這個外包的電子郵件伺服器還會被年僅九歲的駭客入侵。總統命令Big Brother部門操作佛羅里達州的電子投票主機來左右2008的選舉,這樣的事情根本不會發生。電子投票機制在經過測試、試運之後,在2016年才有可能會正式運行,不過到時後的電子投票主機已經不是運行Vista的環境了,所以一切得從頭再來。
很明顯的,我用比較戲謔的方式來講述這件事,但是任何認為Big Brother會是一個問題的人都太高估我們的政府了。那我到底會不會擔心呢?當我們的政府開始僱用創造Amazon、Google、eBay和Yahoo的創造者之後我才會開始擔心!


BRUCE Schneier
Big Brother已經不同於以往的印象了。喬治歐威爾(George Orwell )從1940年代的環境推斷出他所想像的極權國家。今日的資訊社會看起來就如同歐威爾所描繪的世界,而且對於人民的監視和恐嚇不正是Winston Smith 的經歷嗎?
在1984年資料蒐集是很慎重的工作;今日卻是很怠慢的被對待。在資訊化社會,我們先天就會產生資料。在歐威爾的世界中,人民先天就是匿名的;今日,我們卻在四處流下電子足跡。1984年的警察國家是集中式的;而今日卻是分散式的。您的電話公司清楚您和誰在交談;您的信用卡公司了解您在哪裡購物;還有NetFlix知道你正在觀賞什麼;您的ISP可以閱讀您的電子郵件;您的行動電話可以追蹤您的行蹤,以及您的超級市場可以監視您的購買行為。沒有任何一個單一的政府部門負責將這些資訊整合在一起,我們也不需有這樣的部門存在。如同Neal Stephenson說的,Big Brother的威脅已不復存在取而代之的是數千個Little Brothers。
在1984年代Big Brother是由國家所執行的,今日的Big Brother卻是由市場所驅使的。像是ChoicePoint 的資料商以及Experian的信用公司並不是試著使用資料來建立警察國家;他們反而是透過資料來獲取利益。當然這些公司不會傻到不去利用國家身分辨識碼。這些公司可以提供專業的資料關聯、資料探勘與詳細分類,這也是為什麼美國政府反而向這些公司購買商業資料的原因。
1984年代的警察國家需要許多的人力。過去的東德針對每六十六個市民就雇用一個線民。在今日已經沒有需要透過人來負責監視他人;電腦已經可以幫人們完成這項工作。1984年代的警察國家需要花費龐大的經費。
今日,資料儲存的成本不斷降低。如果今日有某些資料儲存需要花費較昂貴的金額,那麼在幾年之後必定會降價到可以負擔的範圍。最後,1984年代的警察國家組織必然嚴謹的被構成,而今日卻可能自然的形成。
沒有理由要假定警察部隊懷有惡意或者政府想要限制人民的自由。電腦化的過程中,個人會自然而然的拋棄對個人資訊的保護,公司會為了行銷的理由儲存這些個人資訊,甚至是立意良善的執法單位也會使用到這些被公司所蒐集的資訊。
當然, 很難想像今日的政府會像歐威爾的Big Brother所擁有的無情殘忍,但是也不應該失去焦點,不該慶幸擁有一個鬆散以及無能的警察國家,看看巴西的經驗就可以了解這樣也不是好事。我們可以從中學習經驗和潛在恐怖主義風險,而進行的禁帶上飛機的危險物品列表與秘密人群分類計畫來做比較。警察國家先天上效果就是比較不顯著的。也沒有理由去相信今日的警察國家就會比較有效果。
我們不擔心會變成像歐威爾想像中的政府所建立的終極極權國家,雖然美國政府的電話記錄監視計畫、非法竊聽、大量的資料探勘運算、沒有人想要的國家身分辨識碼卡片以及濫用的愛國行動都可以造成以上的結果。資訊社會的副作用就是我們會自己釋放出資訊。我們正在建立方便政府、公司行號、犯罪組織以及青年駭客來記錄我們一切事物,甚至是更改我們投票結果的電腦基礎架構。而且我們還會繼續進行這些事,除非我們通過法律來管理對於個人資訊的創造、使用、保護、轉售與揭露。這才是處理這個問題的正確態度。

Marcus Ranum現任職於Tenable網路安全公司的CSO,也是知名安全技術的開發人員、老師、及講師。
Bruce Schneier 現任職於 Counterpane網路安全公司的CTO及Beyond Fear:Thinking Sensibly about Security in an Uncertain World這本書的作者。