伊恩·博格斯特:怎么从推特的安全危机,绕着弯“黑”到抖音

来源:观察者网

2020-07-30 08:19

伊恩·博格斯特

伊恩·博格斯特作者

佐治亚理工媒体研究特聘教授、交互式计算教授

【导读】 推特近日爆发重大安全危机,奥巴马、拜登、比尔·盖茨、马斯克等等账号被盗用,并发帖以骗取比特币。 然而,本文作者在批判了一番“(平台)集权式的网络安全环境”后,笔锋一转,开始谈论抖音这个“新平台”的“新风险”,认为“一些评论家并没有……认为这项服务具有内在威胁性,而是自欺欺人地庆贺抖音成为一股迷人的新文化潮流”,反思“现在我们先下载再提问,直到出现严重问题”,暗示不应该下载安装抖音等热门APP。 当然,作者作为业内人士,有一种网络去中心化的理想主义,似乎对所有大平台“一视同仁”地加以批评,但同时又提到“冷战期间”的“威胁”,是否也自觉或不自觉地透露出某些深层的想法呢? 观察者网翻译本文,谨供读者参考。

【文/伊恩·博格斯特 译/观察者网 由冠群】

7月16日晚,坎耶•韦斯特、埃隆•马斯克、比尔•盖茨和巴拉克•奥巴马都忽然慷慨大方起来,他们在自己的推特账号上表示任何向他们支付比特币的人都将获得双倍返还。当然,这不是真的。他们的推特账号被黑客入侵了。或者更确切的说,是推特本身遭到了黑客攻击,原因显然很愚蠢:侵入者盗窃并转卖推特账号,并冒充高关注度用户来试图从普通用户手中骗取加密货币。

纳撒尼尔•波普尔(Nathaniel Popper)和凯特•康格(Kate Conger)在《纽约时报》上报道说:“这次袭击不像是俄罗斯这样的一国所为。而是一群年轻人合伙做案 …… 他们都痴迷于稀有或不寻常的网名,因而相互结识。”黑客通过“协同社会工程攻击”(Coordinated Social Engineering Attack)获得了推特的工具和网络控制权。推特的客服账号如此称呼这种攻击手段,等于变相承认黑客假扮推特员工实施了此次攻击。当时总共有130个账号被窃取。推特首席执行官杰克•多西上周在一次财报电话会议上发表了讲话,他说:“对此次安全事件,我们感到糟透了。”

乔·拜登的推特账号被黑客攻击 图片来源:推特

这次黑客攻击事件使推特显得很无能,而且时机不对——它的广告收入正在下降,正疲于奔命忙于挽回局面。这也凸显出科技公司脆弱的网络安全生态,有些科技公司向一些员工开放了几乎无限的用户账号和数据控制权。据报道,多达1000名推特员工可以访问被窃取的内部工具。

然而风险不小。虽然纯就用户数量而言,推特比脸书小的多,但推特却是一个发布实时网上信息的地方,尤其是少数权威用户会在推特发布一些新闻和政治方面的信息。这就使得推特服务的脆弱性尤为令人担忧,它已经成为发布实时信息的基本工具,信息本身已经变成了武器。现在已经很明显,发布这些信息的现实账号并不难窃取。这展现了一个可怕的前景,尤其是在11月美国总统大选即将到来之际,一位痴迷于发推文但又不善于保护自己账号的总统正高居其位。现在整个互联网应像拉响民防警报那样警铃大作。

就像许多“已验证”的推特高粘度核心用户一样,在攻击事件发生后,我也暂时无法发布推文。当时推特采取了极端措施来平息混乱。我修改了自己的密码,在出现安全漏洞的情况下,这似乎是合理的做法。推特在惊慌失措之下,锁定了在过去30天曾尝试修改密码的账号。我《大西洋月刊》的某些同事就因为曾修改过密码,所以他们的账号都被冻结了。这种不辨龙蛇的一刀切做法使我们产生了一种虚幻的自大感(我的账号也值得被窃取?)和被迫害妄想(我的推特啊啊啊啊啊啊!)。不到一天的时间,我们大多数人就都找回了自己的账号,然而却是在我们一位编辑的协助下,他代表我们联系了推特。

这种状况凸显出现在的互联网已经变的有多么集权:根据《泰晤士报》的报道,一名黑客黑入了一个Slack聊天群。在这个聊天群里,他找到了访问推特内部工具的证书,然后利用这个证书盗用和转卖合适的账号,此后还在网络大V的账号内张贴信息,试图诈取粉丝的财物。在《大西洋月刊》,某些中招的同事能及时找回自己的账号有赖于我们是在一家大型媒体公司工作,可以与推特工作人员直线联系。互联网曾经是很多人的露天集市,但那样的日子早已一去不返,虽然现在人人都能随时发推文畅所欲言。

集权变得比提供网络服务更重要是极具讽刺意味的,因为发明互联网的最初目的就是分散通讯网络节点——尤其是为了确保通讯网络在遭受核攻击时仍畅通无阻。

20世纪60年代初,商业电话网和军事指挥控制网并不安全。两者都利用中央交换设备转接通信到目的地,这些设备有点像机场枢纽。如果这些设备中的一到两个在敌人的攻击下丢失,整个系统就会崩溃。1962年,兰德公司(RAND)的研究员保罗•巴兰(Paul Baran)设想出一个可能的解决方案:一个由许多自动化节点组成的网络,取代中央交换机,将通讯任务分配到整个网络中。

第二年,五角大楼高级研究计划局(Advanced Research Projects Agency,ARPA)的计算机专家利克莱德(J.C.R.Licklider)构思了一种星座式计算机网络,它可以使所有的计算机,也就使所有使用计算机的人,连接成一个整体。到1969年,利克莱德的继任者们在巴兰概念设计的基础上建立了一个可操作通讯网络。这个网络最初被称作“阿帕网”,后来发展成互联网,你现在就在这个无聊乏味的网上阅读我这篇文章。

利克莱德在工作中 图片来源:资料图

多年来,互联网的分散式设计成为社会和政治风气的隐喻:任何人都可以向其它人发布任何类型的信息,事先无需获得出版商或媒体网络等中央看门人的同意。蒂姆•伯纳斯•李的万维网最成功的诠释了这种风气。不管是哥特摇滚电子杂志、性玩具买卖、彩虹仙子粉丝社区(译注:1985年出品的一部著名美国动画片),还是其他任何东西,你都可以将它们搬到网上。

一段时间以来,网络的基础设施分散性与其内容和运作的分散性相匹配。许多人将信息发布到本地网络服务提供商托管的服务器上;那时大多数人还都是拨号上网,而且本地电话拨号是免费的。但随着电子商务和宣传软件演变成博客,一个问题出现了:分布式出版仍然需要大量的专业知识。你必须知道如何连接到服务器,上传文件,写标记,也许还要编写一些代码等等。这些本事一直是少数人才有的。

于是中央集权开始了。以前想使用博客,你必须首先在自己的服务器上安装软件,而现在诸如Blogger、Typepad、WordPress和Tumblr这样的博客服务早已飞入寻常百姓家。社交媒体服务如脸书、推特、Instagram、Snapchat、抖音等都在争抢用户,主要是为了吸引庞大的受众来扩大自己的广告销售业务。这些社交服务开始设计的更具有强迫性,因为获得更多用户的关注就能使自己的广告更有价值。社交人脉,比如脸书上的朋友、推特上的关注者、领英上的同事,都开始依附于这些平台,而不再具有独立性,早先试图分散这些关系的努力也就此烟消云散了。甚至电子邮件,曾经是互联网服务提供商或雇主提供本地邮件服务,现在也都由Hotmail和Gmail等集中提供服务。

在此过程中,人和他们创造的素材成了科技巨头的棋子。一些博客平台被更大的科技公司(谷歌的Blogger,雅虎的Tumblr)收购,随之而来的是更多的审查(尤其是对涉性内容的审查),而权力分散化本应抹去这种审查。

在当今信息战中,最紧迫的问题之一是,脸书应该怎样(而不是是否)在其庞大、集中的全球网络中扮演内容守门人的角色。事实上,“内容”可能是这个时代最具启发性的化石,这个词现在用来描述人们在网上制作的任何东西,包括业余工匠的操作视频、记者撰写的文章以及各国领导人的政策声明。一个人可能曾经是作家、摄影师,甚至是色情作品制作者,而他现在的出版工作就是去填满大公司提供的那些预制空容器。在这个全球网络上仍是百花齐放,但百花都依赖于少数网络节点并最终将自己的收获交还给这几个节点,就像阿帕网出现之前的通信系统一样。

与1963年相比,核战争的威胁更小,但集中通信系统的风险一直存在,甚至恶化。相比之下,像推特和脸书这样的集中化在线服务已经成为谣言和阴谋的温床,现实条件改变了民主进程,并且可能是永远的改变。一个全球性的、分散的网络承诺将每个人都连接起来,就像它的拥趸所梦想的那样。但这些联系使网络本身变的危险,这在某种程度上是利克莱德和其他人所没有预料到的。

这种集权式的网络安全环境令人深感不安。由于商业巨头、明星达人和世界领袖都在使用(有时还会滥用)推特和其他服务,集中攻击和控制泰勒•斯威夫特或唐纳德•特朗普的任一或所有账号,可能造成的损失将远远超过某一天的比特币欺诈事件。而且,如果企业或选举成为被攻击目标呢?

事实上,此次黑客攻击推特的事件并没有造成严重后果,从而使公众远离信息基础设施集中化带来的风险。大多数推特用户可能根本没有注意到这场闹剧。据我们所知,少数被黑客攻击的人也只受到有限的不良影响。而像我这样中招的低端用户要么找回了账号继续像以前一样使用,要么(现在)还没有找回,也就是说集中通信给我们造成的损失根本无法统计。

其中一个受害者是我在《大西洋月刊》的同事——埃伦•库欣(Ellen Cushing)。她告诉我,她不能登录推特已经有一段时间了,她已决定不再费心找回自己的账号。她现在又对媒体的网站重燃兴趣了。

但是,库欣已经意识到她现在失去了什么:只有推特才能提供的时政观点。推特实现了自己的愿望,成为人们获取实时新闻信息的场所。但这也意味着,当它像在这次入侵事件中那样失效时,我们的部分通信基础设施也就失效了。推特不仅仅是一个张贴表情包或新闻的地方,甚至也不是总统发布豆腐块声明的新闻发布会。在推特,天气预报服务、银行和你孩子的学校会随时分享实时信息。虽然推特看似无关紧要,但实际上它以某种使其必不可少的方式将自己融入到了当代人的生活中。

这给我们带来了世界上最糟糕的情况。避免通信网络发生灾难性故障的物理和逻辑基础设施已经退化成了一个指挥控制模型。与此同时,公众对这些网络的依赖也越来越深。脸书(拥有Instagram和WhatsApp)、谷歌(包括YouTube)、推特和Snap总共价值1.7万亿美元。在禁止使用西方信息服务的中国,微信、微博和QQ空间大约有20亿用户。科技企业“规模化”的冲动巩固了这些公司的财富和权力,但也将它们更多地暴露在危险之中。坏蛋们专门在脸书和推特上造谣,正是因为这些服务可以促进其广泛传播。回想起来,利克莱德的星座式计算机网络本应从一开始就像是来自外星球的威胁。

互联网服务基本被几个大公司所垄断 图片来源:资料图

但即使脸书、推特、YouTube等屡遭破坏和威胁,科技界仍对集中化痴心不改。脸书和帕兰提尔科技(Palantir)的投资者彼得•泰尔(Peter Thiel)将垄断讴歌为商业的典范。内容制作创业公司进入市场不是为了打破谷歌或脸书的垄断,而是希望自己被它们收购,成为这些公司的一部分。有些年轻人觉得脸书索然无味,于是开始关注新奇的社交网络,如抖音。但这些新社交网络的操作套路也是换汤不换药:都是将尽可能多的用户吸引到一个平台上,以便将他们的注意力点石成金。

在此过程中,新平台也带来了新风险。由于总部设在中国,美国官员担心,抖音可能对国家安全构成威胁,抖音可被用来散布谣言或收集美国公民的个人信息。但是,一些评论家并没有像前辈们那样认为这项服务具有内在威胁性,而是自欺欺人的庆贺抖音成为一股迷人的新文化潮流。杰弗里•A•福勒(Geoffrey A. Fowler)曾在《华盛顿邮报》撰文,将国家安全忧虑与排外情绪相比较。在冷战期间,为了应对潜在威胁,甚至是遥远的威胁,美国采取措施为备灾投入了大量的资金和人力。互联网本身就是从这种偏执迷雾中诞生的。现在我们先下载再提问(如果有问题的话),直到出现严重问题,也许即使出现严重问题也不会提问。

在线服务所面临的风险与以往相比数量更多,种类更杂,尤其是在目前全世界数十亿人都接受这种服务的情况下。不知何故,尽管实际的风险与半个世纪前一样令人担忧,甚至比半个世纪前更糟,但能想到的后果似乎仍然是微不足道的(虚拟房地产或加密货币诈骗)。发明互联网是为了预测核战争的后果,幸好这场战争从未发生过。但其技术后裔引发的信息战每天都在发生,即使你无法登录推特看到它。

(观察者网由冠群译自美国《大西洋月刊》)

本文系观察者网独家稿件,文章内容纯属作者个人观点,不代表平台观点,未经授权,不得转载,否则将追究法律责任。关注观察者网微信guanchacn,每日阅读趣味文章。

责任编辑:由冠群
互联网 网络安全
观察者APP,更好阅读体验

国防部表态:中方不会在南海问题上任菲胡来

关于ASML出口管制,荷兰首相在华表态

警惕!“隐秘”的调查暗藏国家安全风险

巴总理召开紧急会议,“事关在巴中国公民”

习近平会见美国工商界和战略学术界代表