如果你还记得“古老”的 Concept、Melisa 病毒,也许你会发现现在的 Facebook“隐私门”事件,和二十年前的微软有着惊人的相似之处。区别在于,Facebook 正在尝试主动做出一些改进的举措,并做出微软无法做到的根本性的架构改变......
以下为译文:
发生在 Facebook 上的有组织的数据滥用和 Facebook 在过去 24 个月的试图回应,与 20 年前发生在微软身上的 Windows 和 Office 上的恶意软件,以及微软的试图回应之间——存在着惊人的相似之处。
对于这两次危机,两家公司最初的反应都是采取了两条措施:
· 对系统开发和 API 实践作一些策略性的改变,使现有的模型更安全;
· 同时扫描已知的恶意行为人和他们的恶意行为(类似当时的病毒扫描程序和现在的人工干预程序)。
然而,对于微软的恶意软件问题,这并不是一个最终的解决之道。相反这个问题得以解决是因为整个软件行业转向了 SaaS 和云端,然后又转向了完全不同于微软的操作系统(如 ChromeOS、iOS),使得恶意软件的威胁变得无关紧要,最终问题得以解决。
Facebook 将重心转向消息传递和端到端加密(部分)是为了实现同样的目标:改变模式,使得威胁变得无关紧要。但是不同的是,转向 SaaS 和新操作系统的变革并不是微软的参与和推动,而这一次,Facebook 试图自己来主动推行这一变革。
时间回溯到 1995 年,当时地球上只有一亿五千万台个人电脑,有人想出了一个好主意。或者,就像 Grinch(电影绿毛怪的主角)说的那样,一个美妙的,但非常可怕的主意。
微软付出了巨大的努力,把 Office 变成了一个开放的开发平台。各式各样的大大小小的企业都创建了嵌入在 Office 文档中的程序(我们称之为“宏”),以便他们创建出美妙的自动化的工作流。围绕着宏的创建和扩展,一个庞大的开发人员社区形成了。
但是 Grinch 看到了,我们有了一个用于查看地址簿的 API,一个用于发送电子邮件的 API,以及一个用于在打开文档时自动运行宏的 API。如果你把这些 API 按正确的次序放在一起,那么你就创造了一种病毒,这个病毒会通过一个看似无害的 Word 文档,向你认识的每一个人发送电子邮件,一旦对方打开这个电子邮件,它就会继续传播给他们认识的每一个人。
这就是被称为“Concept”的病毒,实际上它只感染了大约 35000 台计算机。但四年后的“Melisa”做了很多同样的事情,那一次它真的像病毒一样传播开来了,甚至在某个时间,导致了五角大楼不得不关闭它的部分设施。
在过去的一两年里,当我在 Facebook、YouTube 和其他社交平台上看到有关滥用平台和其它负面活动的新闻时,我经常想起这段古老的历史。因为就像微软的宏病毒一样,Facebook 上的“坏蛋们”也做了用户手册里写的事情。他们并没有撬开大楼后面的锁着的窗户,他们只是敲了敲前门,就轻易地走了进来。然后做了一些你也能够做到的事情,只不过他们以一种人们很难预料到的次序和恶意的意图将这些事情结合在了一起。
在这些事件发生之前, 比较一下对微软和 Facebook 的公开讨论是一件很有趣的事。在 20 世纪 90 年代,微软被称之为一个“邪恶帝国”,科技界的许多讨论都集中在如何使微软变得更加开放,让人们更容易开发一些与微软 Office 这个垄断软件一起工作的软件,以及使得和它们与 Office 之间的信息交换更为容易。如果微软做了什么让开发者的生活更艰难的事情,那么它就是邪恶的。不幸的是,无论你如何看待这些公开讨论,针对这些场景,它给微软指向了一个错误的方向。事实是微软是太开放了,而不是太封闭。
同样地,在过去的 10 年里,许多人都认为 Facebook 太像一个“有围墙的花园”,人们很难获取你的信息,研究人员也很难跨平台获取所需的信息。人们普遍认为 Facebook 对第三方开发者使用这个平台的限制太严格了。人们也普遍反对 Facebook 试图强制用户使用单一的真实身份。像微软一样,这些指控可能都是公正的,但是同样像对微软一样,当涉及到这个特定的场景时,这些指控也是指向了一个错误的方向。因为这使得一些研究机构太容易开发针对 Facebook 的应用,太容易从 Facebook 获取数据,太容易改变你的身份。所以,Facebook 这个“有围墙的花园”远远不够封闭。
当我们想到这些公司及其周围的行业如何试图对这些滥用平台的行为做出反应时,这种情况仍在继续:
“2002 年,比尔盖茨在公司范围内写了一份题为“可信计算”的备忘录,这标志着公司对其产品安全性的看法发生了转变。微软将试图更加系统地考虑如何避免制造系统漏洞,以及如何减少"坏蛋们"使用漏洞制造工具的机会。
与此同时,安全软件(首先是来自第三方,然后是来自微软)迅猛发展,这些安全软件试图扫描已知的恶意软件,并扫描计算机上已有软件的行为,以发现可能做出恶意行为的恶意软件。”
从概念上讲,这几乎正是 Facebook 所做的:消除现有的滥用的可能,避免创造新的滥用机会,并扫描/审查恶意行为者(“坏蛋们”)。
值得注意的是,这些步骤正是人们以前坚持认为是“邪恶的”东西:微软决定我们可以自己的电脑上运行什么代码,微软决定开发人员可以使用什么 API,Facebook 决定谁能发布和发布什么。
然而,尽管微软为了使已有的软件模式不被恶意利用做出了很多努力 ,但在过去 20 年里,软件行业已经转向了新的模式,这使得针对微软软件的各种类型的恶意利用变得越来越无关紧要。开发环境从 Win32 转移到了云端,客户机从 Windows(有时是 Mac)转移到了 Web 浏览器,然后又转移到了病毒和恶意软件不可能出现或者出现难度高出几个数量级的设备上,比如 ChromeOS、 iOS,甚至还包括 Android 系统。
如果你的计算机上没有存储任何数据,那么对计算机的攻击不会有太大的危害。如果一个应用程序是沙箱式的,并且不能读取其他应用程序的数据,那么它就不能窃取你的数据。如果应用程序不能在后台运行,那么应用程序就不能在后台运行,并窃取你的密码。如果不用应用程序,那么谁也不能欺骗一个用户去安装一个“坏”程序。当然,人类的创造力是无限的,这种变化只是导致了新的攻击模式的产生,最明显的是网络钓鱼的出现。但不管怎样,这一切都与微软无关。我们通过移动到新的架构,让微软不再出现,消除了病毒产生需要的土壤,就这样“解决了”病毒问题。
换句话说,微软在窗户上安装了更好的锁和活动检测传感器,但世界却正在朝着这样的模式转变:窗户离地面 200 英尺,并且不能打开。
所以——前不久,Mark Zuckerberg(马克·扎克伯格)写了他的比尔·盖茨式的“信任计算”备忘录:“关注隐私的社交网络愿景”。这里面有很多有趣的事情,但是在这个讨论的背景下,有两件事很重要:
· (他希望)Facebook 的大部分使用都是个人对个人的信息传递,而不是一对多的分享。
· 所有这些消息传递都将使用端到端加密。
就像从 Windows 转移到云端和 Chromeos 一样,你可以将其视为移除问题而不是修补问题的尝试。如果没有 News Feed,俄罗斯人就不可能在你的 News Feed 中走红。如果 Facebook 没有你的数据,“研究人员”就无法获取你的数据。你想要解决问题,就要使问题变得无关紧要。
这是通过改变核心机制来解决问题的一种方法,但还有其他方法。例如,Instagram 确实有一对多的订阅源(feed),但它不会把你没有关注的人在主订阅源中发布的内容推荐给你,也不允许你把它转发到朋友的订阅源中。你的订阅源中可能有反对疫苗接种的内容,那是因为你的一个真正的朋友决定分享给你的。与此同时,诸如危险谣言在印度蔓延等问题的原因却是信息传递而非共享。所以信息传递也并不是灵丹妙药。
事实上,扎克伯格的备忘录提出的问题和答案一样多。最明显的是,广告是如何运作的?在信息传递中有广告吗?如果有,它是如何定位目标受众的?加密意味着 Facebook 不知道你在说什么,但你手机上的 Facebook 应用程序应该知道(在加密之前),那么目标定位将在本地设备上发生吗?与此同时,加密也给解决其他类型的滥用带来了问题:如果你不能读懂儿童剥削者的信息,你如何帮助执法部门解决剥削儿童的问题? (备忘录明确地将这称为一个挑战)?而 Facebook 的区块链项目又在这一切中扮演什么角色?
有很多大问题亟待解决。当然,如果在 2002 年你说所有的企业软件都将进入云端,当然同样也有很多的问题。但这里的区别在于,Facebook 正在尝试(或者说正在谈论尝试)主动做出这些改进的举措,并做出微软无法做到的根本性的架构改变。
原文来自:
本文地址://gulass.cn/become-microsoft-20.html编辑:吴康宁,审核员:逄增宝
Linux大全:
Linux系统大全: