Facebook會成為二十年前的微軟嗎?

安全劍客發表於2019-04-19

如果你還記得“古老”的 Concept、Melisa 病毒,也許你會發現現在的 Facebook“隱私門”事件,和二十年前的微軟有著驚人的相似之處。區別在於,Facebook 正在嘗試主動做出一些改進的舉措,並做出微軟無法做到的根本性的架構改變......
Facebook會成為二十年前的微軟嗎?Facebook會成為二十年前的微軟嗎?
 以下為譯文:

  發生在 Facebook 上的有組織的資料濫用和 Facebook 在過去 24 個月的試圖回應,與 20 年前發生在微軟身上的 Windows 和 Office 上的惡意軟體,以及微軟的試圖回應之間——存在著驚人的相似之處。

  對於這兩次危機,兩家公司最初的反應都是採取了兩條措施:

  · 對系統開發和 API 實踐作一些策略性的改變,使現有的模型更安全;

  · 同時掃描已知的惡意行為人和他們的惡意行為(類似當時的病毒掃描程式和現在的人工干預程式)。

  然而,對於微軟的惡意軟體問題,這並不是一個最終的解決之道。相反這個問題得以解決是因為整個軟體行業轉向了 SaaS 和雲端,然後又轉向了完全不同於微軟的作業系統(如 ChromeOS、iOS),使得惡意軟體的威脅變得無關緊要,最終問題得以解決。

  Facebook 將重心轉向訊息傳遞和端到端加密(部分)是為了實現同樣的目標:改變模式,使得威脅變得無關緊要。但是不同的是,轉向 SaaS 和新作業系統的變革並不是微軟的參與和推動,而這一次,Facebook 試圖自己來主動推行這一變革。

  時間回溯到 1995 年,當時地球上只有一億五千萬臺個人電腦,有人想出了一個好主意。或者,就像 Grinch(電影綠毛怪的主角)說的那樣,一個美妙的,但非常可怕的主意。

  微軟付出了巨大的努力,把 Office 變成了一個開放的開發平臺。各式各樣的大大小小的企業都建立了嵌入在 Office 文件中的程式(我們稱之為“巨集”),以便他們建立出美妙的自動化的工作流。圍繞著巨集的建立和擴充套件,一個龐大的開發人員社群形成了。

  但是 Grinch 看到了,我們有了一個用於檢視地址簿的 API,一個用於傳送電子郵件的 API,以及一個用於在開啟文件時自動執行巨集的 API。如果你把這些 API 按正確的次序放在一起,那麼你就創造了一種病毒,這個病毒會通過一個看似無害的 Word 文件,向你認識的每一個人傳送電子郵件,一旦對方開啟這個電子郵件,它就會繼續傳播給他們認識的每一個人。

  這就是被稱為“Concept”的病毒,實際上它只感染了大約 35000 臺計算機。但四年後的“Melisa”做了很多同樣的事情,那一次它真的像病毒一樣傳播開來了,甚至在某個時間,導致了五角大樓不得不關閉它的部分設施。

  在過去的一兩年裡,當我在 Facebook、YouTube 和其他社交平臺上看到有關濫用平臺和其它負面活動的新聞時,我經常想起這段古老的歷史。因為就像微軟的巨集病毒一樣,Facebook 上的“壞蛋們”也做了使用者手冊裡寫的事情。他們並沒有撬開大樓後面的鎖著的窗戶,他們只是敲了敲前門,就輕易地走了進來。然後做了一些你也能夠做到的事情,只不過他們以一種人們很難預料到的次序和惡意的意圖將這些事情結合在了一起。

  在這些事件發生之前, 比較一下對微軟和 Facebook 的公開討論是一件很有趣的事。在 20 世紀 90 年代,微軟被稱之為一個“邪惡帝國”,科技界的許多討論都集中在如何使微軟變得更加開放,讓人們更容易開發一些與微軟 Office 這個壟斷軟體一起工作的軟體,以及使得和它們與 Office 之間的資訊交換更為容易。如果微軟做了什麼讓開發者的生活更艱難的事情,那麼它就是邪惡的。不幸的是,無論你如何看待這些公開討論,針對這些場景,它給微軟指向了一個錯誤的方向。事實是微軟是太開放了,而不是太封閉。

  同樣地,在過去的 10 年裡,許多人都認為 Facebook 太像一個“有圍牆的花園”,人們很難獲取你的資訊,研究人員也很難跨平臺獲取所需的資訊。人們普遍認為 Facebook 對第三方開發者使用這個平臺的限制太嚴格了。人們也普遍反對 Facebook 試圖強制使用者使用單一的真實身份。像微軟一樣,這些指控可能都是公正的,但是同樣像對微軟一樣,當涉及到這個特定的場景時,這些指控也是指向了一個錯誤的方向。因為這使得一些研究機構太容易開發針對 Facebook 的應用,太容易從 Facebook 獲取資料,太容易改變你的身份。所以,Facebook 這個“有圍牆的花園”遠遠不夠封閉。

  當我們想到這些公司及其周圍的行業如何試圖對這些濫用平臺的行為做出反應時,這種情況仍在繼續:

  “2002 年,比爾蓋茲在公司範圍內寫了一份題為“可信計算”的備忘錄,這標誌著公司對其產品安全性的看法發生了轉變。微軟將試圖更加系統地考慮如何避免製造系統漏洞,以及如何減少"壞蛋們"使用漏洞製造工具的機會。

  與此同時,安全軟體(首先是來自第三方,然後是來自微軟)迅猛發展,這些安全軟體試圖掃描已知的惡意軟體,並掃描計算機上已有軟體的行為,以發現可能做出惡意行為的惡意軟體。”

  從概念上講,這幾乎正是 Facebook 所做的:消除現有的濫用的可能,避免創造新的濫用機會,並掃描/審查惡意行為者(“壞蛋們”)。
值得注意的是,這些步驟正是人們以前堅持認為是“邪惡的”東西:微軟決定我們可以自己的電腦上執行什麼程式碼,微軟決定開發人員可以使用什麼 API,Facebook 決定誰能釋出和釋出什麼。

  然而,儘管微軟為了使已有的軟體模式不被惡意利用做出了很多努力 ,但在過去 20 年裡,軟體行業已經轉向了新的模式,這使得針對微軟軟體的各種型別的惡意利用變得越來越無關緊要。開發環境從 Win32 轉移到了雲端,客戶機從 Windows(有時是 Mac)轉移到了 Web 瀏覽器,然後又轉移到了病毒和惡意軟體不可能出現或者出現難度高出幾個數量級的裝置上,比如 ChromeOS、 iOS,甚至還包括 Android 系統。

  如果你的計算機上沒有儲存任何資料,那麼對計算機的攻擊不會有太大的危害。如果一個應用程式是沙箱式的,並且不能讀取其他應用程式的資料,那麼它就不能竊取你的資料。如果應用程式不能在後臺執行,那麼應用程式就不能在後臺執行,並竊取你的密碼。如果不用應用程式,那麼誰也不能欺騙一個使用者去安裝一個“壞”程式。當然,人類的創造力是無限的,這種變化只是導致了新的攻擊模式的產生,最明顯的是網路釣魚的出現。但不管怎樣,這一切都與微軟無關。我們通過移動到新的架構,讓微軟不再出現,消除了病毒產生需要的土壤,就這樣“解決了”病毒問題。

  換句話說,微軟在窗戶上安裝了更好的鎖和活動檢測感測器,但世界卻正在朝著這樣的模式轉變:窗戶離地面 200 英尺,並且不能開啟。

  所以——前不久,Mark Zuckerberg(馬克·祖克伯)寫了他的比爾·蓋茨式的“信任計算”備忘錄:“關注隱私的社交網路願景”。這裡面有很多有趣的事情,但是在這個討論的背景下,有兩件事很重要:

  · (他希望)Facebook 的大部分使用都是個人對個人的資訊傳遞,而不是一對多的分享。

  · 所有這些訊息傳遞都將使用端到端加密。

  就像從 Windows 轉移到雲端和 Chromeos 一樣,你可以將其視為移除問題而不是修補問題的嘗試。如果沒有 News Feed,俄羅斯人就不可能在你的 News Feed 中走紅。如果 Facebook 沒有你的資料,“研究人員”就無法獲取你的資料。你想要解決問題,就要使問題變得無關緊要。

  這是通過改變核心機制來解決問題的一種方法,但還有其他方法。例如,Instagram 確實有一對多的訂閱源(feed),但它不會把你沒有關注的人在主訂閱源中釋出的內容推薦給你,也不允許你把它轉發到朋友的訂閱源中。你的訂閱源中可能有反對疫苗接種的內容,那是因為你的一個真正的朋友決定分享給你的。與此同時,諸如危險謠言在印度蔓延等問題的原因卻是資訊傳遞而非共享。所以資訊傳遞也並不是靈丹妙藥。

  事實上,祖克伯的備忘錄提出的問題和答案一樣多。最明顯的是,廣告是如何運作的?在資訊傳遞中有廣告嗎?如果有,它是如何定位目標受眾的?加密意味著 Facebook 不知道你在說什麼,但你手機上的 Facebook 應用程式應該知道(在加密之前),那麼目標定位將在本地裝置上發生嗎?與此同時,加密也給解決其他型別的濫用帶來了問題:如果你不能讀懂兒童剝削者的資訊,你如何幫助執法部門解決剝削兒童的問題? (備忘錄明確地將這稱為一個挑戰)?而 Facebook 的區塊鏈專案又在這一切中扮演什麼角色?

  有很多大問題亟待解決。當然,如果在 2002 年你說所有的企業軟體都將進入雲端,當然同樣也有很多的問題。但這裡的區別在於,Facebook 正在嘗試(或者說正在談論嘗試)主動做出這些改進的舉措,並做出微軟無法做到的根本性的架構改變。


來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/31559985/viewspace-2641873/,如需轉載,請註明出處,否則將追究法律責任。

相關文章