Amenințarea…

Edge publică un interviu cu Ross Anderson, profesor de inginerie în domeniul securității la Universitatea Cambridge și unul dintre fondatorii domeniului securității informaționale. Este președintele Fundației pentru Cercetare în Domeniul Politicilor Informaționale, este membru al Societății Regale și al Academiei Regale de Inginerie și este câștigător al Medaliei Lovelace, premiul de top al calculatoarelor din Marea Britanie.

O traducere (aproximativă) a opiniilor sale o redau aici:

„AMENINȚAREA

Lucrul fascinant în ceea ce privește cercetarea în domeniul securității informațiilor este că, în ultimii treizeci de ani, a fost un domeniu în creștere rapidă. Am început cu treizeci de ani în urmă, cu doar câteva domenii pe care le-am înțeles destul de bine – matematica din jurul criptografiei și cum s–ți protejezi sistemele de operare prin intermediul controalelor de acces și a modelelor de politici – și restul a fost o ceață vastă, dorință de gândire, ulei de șarpe și inginerie proastă.

Au existat doar câteva domenii de aplicare de care oamenii s-au îngrijorat cu treizeci de ani în urmă: comunicațiile diplomatice și militare la un capăt, precum și securitatea unor lucruri ca bancomatele la cealaltă. Deoarece am pune calculatoarele și comunicațiile în aproape tot ceea ce puteți cumpăra pentru mai mult de zece dolari pe care nu le mănânci și nu le bei, câmpul a crescut. În plus față de bancomatele, oamenii încearcă să controleze taximetre, tahografe, contoare de energie electrică, tot felul de dispozitive din jurul nostru. Acest lucru a fost în creștere în ultimii douăzeci de ani, și aduce tot felul de probleme fascinante odată cu asta.

Pe măsură ce am pus totul împreună, constatăm că securitatea nu mai este ceva ce puteți face prin decrete. Privind înapoi, în vremurile vechi – cu treizeci de ani în urmă, de exemplu, lucram la Barclays Bank căutând siguranța unor lucruri cum ar fi bancomatele, dacă aveai avea o problemă, ea putea fi rezolvată mergând la cel mai mic manager. În mod birocratic, lucrurile ar putea fi sortate după politică. Dar până la sfârșitul anilor 1990 nu mai era cazul. Dintr-o dată am avut totul în comun prin intermediul World Wide Web și al altor protocoale de Internet și, brusc, nivelul de securitate pe care l-am primit într-un sistem a fost o funcție a comportamentului interesat al miilor sau chiar milioanelor de indivizi.

Acesta este un lucru pe care îl găsesc cu adevărat fascinant. Avem artefacte cum ar fi sistemul de plăți mondial pentru a studia, unde ai miliarde de carduri în discuție, milioane de negustori, zeci de mii de bănci și o grămadă de protocoale diferite. În plus, avem o mulțime de oameni lacomi care, chiar dacă nu sunt chiar criminali, încearcă să-și maximizeze bunăstarea în beneficiul tuturor. Realizând acest lucru la sfârșitul anilor ’90, asta ne-a făcut să înțelegem că trebuie să ajungem la economie. Una dintre schimbările de fază, dacă doriți, a fost că am început să îmbrățișăm știința socială. Am făcut asta nu pentru că a fost un lucru la modă de făcut pentru a obține granturi pentru a face lucruri multidisciplinare, ci pentru ca era absolut necesar. A devenit clar că pentru a construi sisteme decente, a trebuit să înțelegem teoria jocurilor în plus față de criptografia, algoritmii și protocoalele pe care le-am folosit.

Am ieșit dintr-o colaborare cu Hal Varian la Berkeley, care este acum economist-șef la Google. De fapt, în întreaga industrie de tehnologie văd că o înțelegere a economiei de rețea este acum văzută ca o condiție prealabilă pentru afaceri. Acum îi învățăm și pe studenții noștri. Dacă vor avea idee dacă start-up-ul lor are vreo șansă sau dacă firma la care se gândește să se alăture ar putea fi de circa cinci ani, atunci este util să știi aceste lucruri.

De asemenea, este important din punctul de vedere al modului în care protejați lucrurile. Deși o eroare de securitate poate fi cauzată de cineva care folosește un tip greșit de mecanism de control al accesului sau de un cifru slab, motivul care stă la baza acestuia este foarte adesea unul dintre stimulente. În mod fundamental, problema este că atunci când Alice apără un sistem și Bob plătește costul eșecului, lucrurile se sparg. Punerea problemei în acești termeni este simplă și directă, dar este adesea mult mai complicat atunci când începem să ne uităm la modul în care lucrurile nu reușesc în viața reală.

În sistemul de plăți, de exemplu, aveți bănci care emit carduri către băncile emitente și aveți bănci care achiziționează, bănci care achiziționează tranzacții de la comercianți și le oferă terminale de comerț. Dacă o bancă dă unui comerciant terminale mai ieftine pentru a le economisi bani, ar putea exista mai multe fraude, dar acele fraude cad pe băncile emitente de carduri. Deci, puteți ajunge la niște rezultate destul de nesatisfăcătoare în care nu există prea multe opțiuni decât pentru un guvern care să intre și să reglementeze. În caz contrar, veți ajunge la niveluri de fraudă care sunt mult mai mari decât ar fi ideal din punct de vedere economic.

Următorul lucru care s-a întâmplat a fost faptul că, în ultimii zece ani, am început să constatăm că, pe măsură ce sistemele au devenit mai dure și mai dificil de penetrat din punct de vedere tehnic, băieții răi s-au întors spre utilizatori. Persoanele care folosesc sistemele tind să aibă relativ puțin de spus deoarece au interese dispersate. Și în cazul sistemelor moderne finanțate de publicitate, ei nu reprezintă clientul, ci produsul.

Când vă uitați la sisteme cum ar fi Facebook, toate sugestiile pe care vi le oferă site-ul sunt spre partajarea datelor dvs., astfel încât acestea să poată fi vândute agenților de publicitate. Toate acestea te fac să te simți că ești într-un loc mult mai sigur și mai cald decât ești în realitate. În aceste condiții, este complet de înțeles că oamenii împărtășesc informații în moduri pe care le regretă mai târziu și care sfârșesc să fie exploatate. Oamenii învață de-a lungul timpului și veți ajunge la o păruială între Facebook și utilizatorii săi prin care Facebook modifică setările de confidențialitate la fiecare câțiva ani pentru a determina pe toți să opteze spre publicitate, sau spre protest sau renunțare. Aceasta nu pare să aibă niciun echilibru stabil.

Între timp, în societate în ansamblu, ceea ce am văzut în ultimii cincisprezece ani este că infracțiunea a trecut online. Acest lucru a fost deosebit de controversat în Marea Britanie. Începând cu anul 2005, guvernul laburist de atunci a încheiat o înțelegere cu băncile și poliția în sensul că fraudele vor fi raportate mai întâi băncilor și poliției după aceea. Au făcut acest lucru destul de cinic pentru a măsura cifrele fraudei. Băncile au mers împreună la asta, pentru că au ajuns să obțină controlul asupra investigațiilor privind fraudele care au fost făcute, iar poliția a fost fericită că are mai puțină muncă pentru ofițerii săi.

Timp de un deceniu, consilierii șefii și miniștrii guvernamentali susțineau că „criminalitatea este în scădere, facem o treabă excelentă”. Unii criminologi disidenți au început să spună: „Stați puțin. Criminalitatea nu e controlată de fapt, ci doar merge online ca orice altceva.” Cu un an și jumătate în urmă, guvernul a început să publice statistici sincere pentru prima dată într-un deceniu. Ei au descoperit, spre propria îngrijorare, că criminalitatea online și electronică este acum cu de mai multe ori peste rata celei tradiționale. De fapt, în acest an, în Marea Britanie, ne așteptăm ca aproximativ un milion de gospodării să sufere o crimă a proprietății tradiționale, cum ar fi furtul de mașini sau furtul de mașini, iar undeva între trei și patru milioane – probabil mai aproape de patru milioane – vor suferi un tip de fraudă sau înșelăciune sau abuz, aproape toate dintre acestea fiind acum online sau electronice.

Din punctul de vedere al forțelor de poliție, am greșit politica. Forța de poliție tipică – consiliul nostru din Cambridgeshire, de exemplu, are un tip petrecând cea mai mare parte a timpului pe criminalitatea informatică. Asta e. Când descoperim că există o înșelătorie de cazare în Cambridge, care vizează noi studenți, de exemplu, este dificil să se facă ceva pentru că escrocii sunt în străinătate, iar aceste cazuri trebuie adresate unităților de poliție din Londra care au și alte lucruri de făcut. Nimic nu se leagă și, prin urmare, nu ajungem la nicio aplicare a legii privind criminalitatea cibernetică, cu excepția câtorva crime principale care îi deranjează pe miniștri.

Avem o zonă marcată de politică care este legată de tehnologie și de vechile structuri de management care nu funcționează. Într-o astfel de situație, există două opțiuni pentru cineva ca mine, un matematician care a devenit om de știință în domeniul informaticii și inginer. Puteți fie să vă retrageți într-un ghetou tehnic și să spuneți: „Ne vom concentra asupra dezvoltării unor instrumente mai bune pentru X, Y și Z”, sau vă puteți angaja în dezbaterea mai largă a politicilor și puteți spune: „Să colectăm dovezile și să arătăm ce este făcut greșit, astfel încât să putem găsi modalități de rezolvare a acesteia.

De-a lungul anilor m-am trezit trecând de la un matematician la un inginer hardware, dintr-un economist, într-un psiholog. Acum, devin cineva implicat în criminologie, politică și aplicare a legii. Acesta este un lucru pe care îl găsesc răcoritor. Înainte de a deveni academician, în primii zeci de ani ai vieții mele active, mi-am schimbat locurile de muncă la fiecare unu sau sau trei ani, așa că am continuat să mă mișc și nu m-am plictisit. De când am devenit academician, am avut un loc de muncă diferit la fiecare doi sau trei ani, pe măsură ce subiectul însuși s-a schimbat. Lucrurile de care suntem îngrijorați, tipurile de sisteme care sunt hack-uite, s-au schimbat, de asemenea. Și nu există nici un semn de a renunța la asta în curând.

Cum am ajuns să mă implic în avocatură? În primul rând, există contextul cultural în care Cambridge a fost mult timp un refugiu pentru disidenți și eretici. Puritanii au ieșit din Cambridge după ce Erasmus a tradus Biblia și „a pus oul pe care l-a lustrat Luther”. Apoi a fost Newton. Mai recent, au existat oameni precum James Clerk Maxwell, desigur, și Charles Darwin. Deci suntem mândri de capacitatea noastră de a scutura lucrurile, de a distruge întregi discipline științifice și întregi religii pentru a le înlocui cu ceva mai bun.

În cazul meu particular, stimulul a fost cripto-războaiele din anii ’90. La scurt timp după ce a fost ales, în 1993, Bill Clinton a fost asmuțit de Agenția Națională de Securitate cu ideea de împuternicire legală. Ideea era că America ar trebui să-și folosească puterea legislativă și de altă natură pentru a se asigura că toate cheile criptografice din lume sunt puse la dispoziția NSA și colegilor săi, astfel încât tot ce era criptat putea fi spionat. Acest lucru a atras scandalul absolut al cercetătorilor din domeniul criptografiei și al securității, precum și din întreaga industrie tehnologică. La vremea aceea, oamenii începuseră să se pregătească pentru ceea ce a devenit combo boom. Începusem să facem să vină din ce în ce mai mulți oameni. Dacă nu aveți criptografie pentru a vă proteja intimitatea și pentru a vă proteja tranzacțiile financiare, atunci cum puteți construi platforma de încredere pe care se construiește lumea în care trăim acum?

O grămadă dintre noi, care făceau cercetări în domeniul criptografiei, s-au angajat să discute, să facă lobby pentru guvern și să sublinieze că propunerile de a profita de toate cheile criptografice ar avea efecte foarte rele asupra afacerilor. Acest lucru și-a continuat drumul în diferite moduri în diferite țări. Aici, în Marea Britanie, ne-am încurcat cu guvernul Blair, care a început să fie împotriva împuternicirii legale în esență, dar a fost apoi convins de Al Gore să ajungă la bordul bandei americane. A trebuit să repetăm ​​asta. În cele din urmă, am obținut ceea ce este acum regulamentul privind puterile de anchetă. În acest proces, am fost implicat în demararea unui ONG numit Fundația pentru Cercetare în domeniul Politicilor Informaționale, iar mai târziu, a devenit clar că acest lucru a fost și unul la scară europeană, Drepturile Digitale Europene, care a fost înființat în 2002 sau 2003.

Contribuțiile Europei la încheierea crizelor au venit la sfârșitul anilor 1990, când Comisia Europeană a adoptat Directiva privind semnătura electronică, care a spus că puteți obține o prezumție de valabilitate a semnăturilor electronice, cu condiția ca cheia de semnare să nu fie cunoscută de o terță parte. Dacă v-ați împărtășit cheia cu NSA sau cu GCHQ, așa cum vroiau aceste agenții, nu ați obține acest certificat legal de aprobare pentru tranzacțiile pe care le efectuați, fie că ați cumpărat prânzul, fie că v-ați vândut casa. Acesta a fost unul dintre lucrurile care au pus capăt primului război criptografic.

În continuare, au apărut și alte probleme legate de drepturile de autor, confidențialitate și protecția datelor. M-am implicat în mod deosebit în problemele legate de înregistrările medicale – fie că pot fi păstrate confidențiale într-o epocă în care totul devine electronic, unde înregistrările migrează în cele din urmă către serviciile cloud și unde aveți și o genomică omniprezentă. Acesta este un domeniu în care am lucrat timp de douăzeci de ani.

În cazul meu, lucrând cu probleme reale, cu clienții adevărați – și în cazul medicamentelor, am sfătuit BMA cu privire la siguranță și intimitate pentru o vreme – punerea lucrurile în perspectivă într-un mod care este uneori greu dacă te uiți doar la matematica din fața unei table. A devenit clar faptul că privim intimitatea medicală care nu înseamnă doar criptarea conținutului care contează, ci și de metadatele – care îți spune cine și unde. Evident, dacă cineva face schimb de e-mailuri criptate cu un psihiatru sau cu un medic HIV sau cu un fizioterapeut, atunci aceasta spune ceva despre ei, chiar dacă aceste e-mailuri nu pot fi citite.

Așa că am început să ne uităm la imaginea de ansamblu. Am început să ne uităm la lucruri precum anonimatul și negarea plauzibilă. Și asta, bineînțeles, este ceea ce oamenii doresc de fapt în multe domenii ale vieții. Ei doresc să dea sfaturi fără a fi invocați de terți.

Dincolo de coliziuni politice și de misiunile ingineriei conexe, am început să obținem o viziune mult mai bogată și mai nuanțată asupra securității informațiilor. A fost extrem de valoros. Implicându-mă în activism am consumat ceva timp cu asta. Chiar dacă oameni ca tatăl meu îmi spuneau: „Nu, nu face asta. Îți vei face dușmani.”, s-a dovedit în cele din urmă că nu a fost doar ceea ce trebuie făcut, ci și ceea ce era corect din punctul de vedere al cercetării.

Computingul este diferit de fizica prin aceea că fizica este despre studierea lumii pentru că este acolo; știința informatică este studiul artefactelor tehnologiei, lucruri care au fost făcute de industria calculatoarelor și de industria de software. Dacă lucrați în IT, nu este prudent să ignorați industria sau să vă prefaceți că nu există.

Există o lungă tradiție în Cambridge de a colabora cu firme de top. Ultimul Sir Maurice Wilkes, care a relansat laboratorul după război, a fost consultant pentru Lyons și apoi pentru IBM. Consilierul meu de teză, Roger Needham, a înființat Microsoft Research în Europa după ce s-a pensionat. Am lucrat pentru companii atât de diverse, precum IBM și Google și am fost consultant pentru companii precum Microsoft, Intel, Samsung și National Panasonic.

Acest lucru este bun pentru că te ține la curent cu preocupările reale ale oamenilor. Te implică în a face produse reale. Și ca inginer, simt o undă de mândrie când îmi văd lucrurile folosite acolo în stradă. Acum șase ani am luat ceva timp sabatic și am lucrat la Google, unde cea mai mare parte a efortului meu s-a consumat în ceea ce este Android Pay. Acesta este mecanismul prin care puteți plăti utilizând telefonul Android pentru a naviga pe tube sau pentru a cumpăra o cafea într-o cafenea.

Cu douăzeci și cinci de ani în urmă, de fapt, am lucrat la un proiect în care proiectam o specificație pentru contoarele de energie electrică preplătită. Acesta ar putea fi lucrul pe care l-am făcut, și care a avut cel mai mare impact, pentru că acum există peste 400 de milioane de metri în întreaga lume ce folosește această specificație. A permis, de exemplu, lui Nelson Mandela să-și facă bine promisiunea electorală de a electrifica două milioane de locuințe în Africa de Sud, după ce a fost ales în 1994.

Mai recent, când m-am dus în Nairobi acum câteva luni, am aflat că se instalează doar contoare de tipul nostru. Iar acum, când nu au brevet de invenție, producătorii chinezi le elimină la prețuri ridicole mici. Toată lumea le folosește. Acesta este un exemplu al modului în care tehnologia criptografică poate fi un factor real de dezvoltare. Dacă aveți oameni care nici măcar nu au adrese, să nu mai vorbim de eligibilitate de credit, cum le vindeți de energie? Ei bine, este ușor. Proiectați un contor care va distribui energia electrică atunci când tastați un număr magic de douăzeci de cifre. Criptografia care face lucrul ăsta, este lucrul pe care am lucrat. Puteți obține numărul dvs. magic de douăzeci de cifre dacă vă aflați în centrul orașului Johannesburg, mergând la un bancomat și obținând un imprimat și contul dvs. debitat. Dacă sunteți în Kenya rurală, folosiți bani mobili și obțineți numărul dvs. de douăzeci de cifre pe telefonul dvs. mobil. Este într-adevăr o tehnologie flexibilă și transportabilă, care este un exemplu al bunului pe care îl puteți face cu mecanismele criptografice.

În cazul în care știința informatică este ceva legat de inima sa, este vorba de complexitate. Este relativ simplu să scriu programe scurte care fac lucruri simple, dar când începeți să scrieți programe lungi și complexe care fac zeci de lucruri pentru sute de oameni, atunci lucrurile pe care încercați să le faceți încep să interacționeze, și oamenii pe care-i deservești interacționează început; întregul lucru devine mai puțin previzibil, mai puțin ușor de gestionat și mai dificil. Chiar și atunci când începeți să dezvoltați proiecte software care implică mai mult decât, de exemplu, o jumătate de duzină de oameni timp de o lună, atunci complexitatea interacțiunii dintre inginerii care construiesc lucrurile începe să devină un factor limitator.

Am făcut pași enormi în ultimii patruzeci de ani în a învăța cum să facem față complexității de diferite tipuri la diferite niveluri. Dar există o buclă de feedback aici. Vedeți, cu patruzeci de ani în urmă, probabil că 30% din toate proiectele mari de software au eșuat. Ceea ce am considerat un proiect software de mare anvergură ar fi în prezent considerat un proiect pe termen lung pentru o jumătate de duzină de studenți. Dar încă mai avem eșecuri în aproape 30% din proiectele mari. Doar le-am făcut mai mari, cu dezastre mai mici, mai bune pentru că avem instrumente mult mai sofisticate de gestionare.

Factorul limitator aici nu este numărul de mii de linii de cod – cu instrumente mai bune, puteți coda programe mai mari – factorul limitativ este cel social. Dacă desfășurați o afacere, atunci este treaba dvs. să faceți profit pentru acționari. Profitul este recompensa pentru riscuri, deci este treaba dvs. să vă asumați riscuri. Deci, dacă o treime din proiectele tale eșuează, e în regulă. Unde începe să devină interesant, este atunci când observați achizițiile din sectorul public, unde doar 30% din proiectele mari reușesc. Și totuși, miniștrii și funcționarii publici încearcă să se răzbune de risc și să se comporte în tot felul de căi ciudate pentru a obține banii și a evita răspunderea. Deci, de ce aveți un astfel de rezultat pervers?

Când explicați complexitatea, nu o puteți face pur și simplu în termeni de proces, pur și simplu în ceea ce privește utilizarea metodologiei de dezvoltare potrivită. Mai trebuie să înțelegeți modul în care oamenii interacționează în cadrul organizațiilor și modul în care acestea interacționează cu tipurile de lucruri pe care le faceți în proiecte. Când facem astfel de lucruri, nu suntem deosebit de diferiți de tipul de management de proiect pe care îl puteți vedea într-un șantier naval sau într-un șantier de construcții foarte mare. De fapt, ajungem la conversații interesante cu oameni ai căror locuri de muncă presupune rezolvarea marii dezordini în proiecte de construcții mari. Am descoperit că avem multe despre care să vorbim! Dar IT-ul are propriile complexități în ceea ce privește efectele de rețea și blocarea tehnică și așa mai departe, ceea ce face dificilă gestionarea financiară a proiectelor mari.

Dacă mergem înapoi în 1983, întrebarea mare a fost dezvoltarea software-ului pentru PC-ul IBM în primul rând, sau pentru Mac mai întâi, sau pentru ambele? Pentru un timp, aceia dintre noi care scriau software-ul, le-ar fi dezvoltat pentru ambele sau pentru unul sau altul. Dar, până la sfârșitul lui 1983, a devenit clar faptul că IBM a avansat, deoarece Shell, BP, Barclays Bank și serviciul public au început să cumpere IBM, nu Mac. Toată lumea a început să scrie software-ul pentru PC-ul IBM mai întâi și pentru Mac, dacă e deloc.

PC-ul IBM a decolat. De fapt, Microsoft a luat toți banii pentru că erau mai deștepți decât IBM. Ei și-au dat seama că ceea ce blochează oamenii nu era faptul că hardware-ul a fost produs de IBM, dar sistemul de operare a fost produs de Microsoft. IBM a crezut că vor bloca acest lucru prin oferirea a trei sisteme de operare diferite, dar, desigur, unul dintre acestea a devenit predominant, piața a fost înclinată, iar Microsoft a finalizat prin a lua toată crema.

Acesta este un exemplu de efecte de rețea. Acum înțelegem că acestea sunt absolut permeabile în industria IT. De aceea avem atâtea monopoluri. Sfaturile pieței din motive tehnice, din cauza piețelor cu două fețe și, de asemenea, din motive sociale. Aproximativ zece ani în urmă, am avut câțiva noi studenți care au venit la mine, așa că i-am întrebat ce voiau să studieze. Ei au spus, „Nu veți crede acest lucru, Ross, dar vrem să studiem confidențialitatea Facebook”. Și am spus: „Ce?” Ei au spus: „Poate că un tip căsătorit, în vârstă, ca tine poate nu înțelege asta, Dar aici, în Cambridge toate invitațiile la chefuri vin acum prin Facebook. Dacă nu ești pe Facebook, nu te duci la petreceri, nu te întâlnești cu fete, nu ai parte de sex, nu ai copii și genele tale dispar. Este simplu. Trebuie să fii pe Facebook. Dar pare că nu avem intimitate. Poate fi rezolvată chestia asta?”Au plecat și l-au studiat câteva luni și au ajuns la concluzia că nu, nu poate fi rezolvată, dar oricum trebuiau să fie pe Facebook. Aceasta este puterea efectelor de rețea. Unul dintre lucrurile pe care le-am realizat în ultimii cincisprezece ani este că un număr foarte mare de eșecuri de securitate care ne afectează din cauza efectelor de rețea.

La începutul anilor ’90, de exemplu, dacă ați fi vizitat campusul Microsoft din Redmond și ați fi subliniat că lucrurile la care oamenii lucrau la un defect ar fi put să fie îmbunătățite, ți s-ar fi spus: „Nu, trebuie să fie gata marți și adu-l exact la versiunea 3.” Și asta spunea toată lumea: „Adu-l marți. Fă-l la versiunea 3.” Asta era filosofia. IBM și alte companii înființate au dus coborât ștacheta. Ei spuneau: „Acești tipi de la Microsoft sunt doar o grămadă de hackeri. Ei nu știu cum să scrie software-ul corespunzător.

Dar Bill a înțeles că, într-o lume în care piețele se epuizează datorită efectelor de rețea, este absolut important să fii primul. Iată de ce software-ul Microsoft este atât de nesigur și de ce tot ceea ce predomină pe piață începe să fie nesigur. Oamenii se luptă pentru a obține acea poziție pe piață, iar în acest proces i-au făcut foarte ușor pe oameni să scrie software pentru platforma lor. Nu s-au încurcat cu lucruri plictisitoare, cum ar fi controlul accesului sau criptografia adecvată.

Odată ce ai ocupat poziția dominantă, ai lăsat securitatea pe mai târziu, dar o faci într-un mod care să servească intereselor tale corporative, mai degrabă, decât intereselor clienților sau utilizatorilor tăi. Tu o faci în așa fel încât să-ți blochezi baza de clienți, baza de utilizatori. Odată ce am înțeles asta, a fost un moment mare pentru mine în 2000 sau 2001. A devenit imediat evident că înțelegerea în detaliu a economiei rețelei a fost absolut esențială pentru a face chiar și o jumătate de treabă bună de inginerie a securității în lumea modernă.

Oamenii vorbesc despre malițiozitatea Inteligenței Artificiale și despre aceste povestiri cu ceea ce se întâmplă dacă roboții preiau comanda. De fapt, Martin Rees crede că ar fi o idee bună dacă roboții o vor prelua, deoarece atunci ar putea zbura spre stele, o întreprindere pentru care nu trăim destul de mult. Sunt prea inginer pentru asta. Preocuparea mea este că acum avem oameni ale căror abilități, conștiință și a căror percepție este sporită enorm de utilizarea instrumentelor.

Am început să realizez acest lucru în 1996, când m-am jucat pentru prima dată cu AltaVista, primul motor de căutare propriu-zis. Am fost pe cale de a contribui la un lobby al guvernului în privința vieții private. Am vrut să cercetăm câteva companii care păreau că au o greșeală. La sfârșitul unei după-amieze când mi-am dat seama că, folosind AltaVista, ca să aflu totul despre aceste companii, despre conturile lor, directorii lor, hobby-urile și interesele directorilor, mi-am dat seama că, cu un motor de căutare, am un fel de putere în vârful degetelor mele pe care anul trecut doar prim-ministrul a avut-o prin agențiile de securitate și de informații.

De atunci, am văzut mai multe din aceleași lucruri. Persoanele care sunt capabile să trăiască vieți digitale îmbunătățite, în sensul că pot folosi toate instrumentele disponibile în cea mai mare măsură, sunt mult mai productive, mai capabile și mai puternice decât cei care sunt încă blocați în realitate. Este ca și cum ai avea o pădure unde toate animalele ar putea vedea doar în alb și negru, și dintr-o dată, vine o mutație într-unul dintre prădători care îi permite să vadă în culori. Dintr-o dată, el mănâncă toate celelalte animale, cel puțin pe cele care nu pot vedea în culori, iar celelalte animale nu au nicio idee despre ce se întâmplă. Ei nu au nici o idee de ce camuflajul lor nu mai funcționează. Ei nu au nici o idee de unde provine noua amenințare. Acesta este felul de schimbare ce se petrece, odată ce oamenii au acces la servicii online cu adevărat puternice.

Atâta timp cât a fost cazul ca toți cei care ar putea fi deranjați să învețe au avut acces la AltaVista, Google, Facebook sau orice altceva, atunci a fost bine. Problema cu care ne confruntăm acum este că tot mai multe dintre sistemele cu adevărat capabile nu mai sunt deschise tuturor. Acestea sunt deschise guvernului, sunt deschise afacerilor mari și sunt deschise rețelelor de publicitate puternice.

Cu douăzeci de ani în urmă, puteam găsi despre tine tot ce era pe World Wide Web și tu puteai să-mi faci același lucru, așa că a existat o reciprocitate. Acum, dacă sunteți pregătit să plătiți banii și să cumpărați în rețelele de publicitate, puteți cumpăra tot felul de lucruri despre clickstream-ul meu și să afi unde locuiesc și pe ce mi-am cheltuit banii, și asa mai departe. Dacă ești în cortul agențiilor de informații, așa cum ne-a învățat Snowden, atunci este mult mai mult. Există istoricul locațiilor mele, istoricul navigării, există tot.

Aceasta este amenințarea. A fost o amenințare înainte ca domnul Trump să fie ales președinte. Acum, când domnul Trump a fost ales, trebuie să fie clar pentru toți că guvernul, având puteri de supraveghere foarte intruzive, nu este ceva care se potrivește neapărat cu o societate sănătoasă și democratică durabilă.

Unul dintre lucrurile la care le digerăm greu acum este Internetul lucrurilor. Mulți oameni cred că problemele de securitate ale Internetului obiectelor sunt doar intimitate și există o mulțime de probleme. Am văzut, de exemplu, că o păpușă este interzisă în Germania, pentru că este practic un microfon deschis în dormitorul copilului tău și este împotriva legii privind confidențialitatea. Dar schimbarea reală transformatoare cu Internetul Lucrurilor va fi siguranța. Securitatea va fi tot mai importantă în ceea ce privește siguranța.

Anul trecut, am făcut un mare proiect pentru Comisia Europeană, care încearcă să stabilească ce se întâmplă cu reglementarea în domeniul securității în această lume nouă. Europa reglementează o mulțime de lucruri la fel ca DC. Ei au agenții care reglementează vehicule, mașini, trenuri, avioane, dispozitive medicale, contoare de energie electrică, tot felul de lucruri. Cum se schimbă aceste date când totul este online? În trecut, siguranța mașinii a fost aceea de a face un producător să creeze câteva prototipuri, să pună manechinele de test în acestea, să le lovească de perete, să filmeze rezultatele, să le analizeze, să inspecteze software-ul în unitatea de management al motorului și ABS , să bifeze toate elementele și mașina intră în producție. Deci este vorba despre testul și inspecția înainte de piață și are un ciclu de zece ani.

Ceea ce începe acum este că primești actualizări de software în mașină una după alta. Tesla se actualizează în mod regulat, de exemplu; Ford începe să se actualizeze prin aer; Toyota spune că vor ajunge la asta până în 2019. În câțiva ani, fiecare mașină își va actualiza software-ul probabil o dată pe lună.

Acum este și bine și rău. Este bine pentru că înseamnă că, dacă există o defecțiune de siguranță, o puteți rezolva în întregul parc auto fără a fi nevoie să cheltuiți miliarde de dolari, rechemându-i pe toți la garaj. Va fi o provocare enormă pentru autoritățile de reglementare în domeniul siguranței, deoarece vor trebui să lucreze la o viteză de o sută de ori mai mare – într-o constantă de timp de o lună, mai degrabă decât o constantă de timp de zece ani.

Aceasta va aduce o complexitate enormă în actualizarea software-ului, deoarece siguranța unei mașini nu este doar un computer central. O mașină ar putea avea o sută de CPU-uri diferite, iar multe dintre subsistemele critice nu sunt produse de marca a cărei insignă se află pe partea din față a mașinii. Nu sunt făcute de domnul Mercedes, de exemplu, ci de domnul Bosch sau domnul ZF sau de oricine altcineva. Cum ai face asta? Cum faceți testarea? Cum faceți integrarea? Cum vă asigurați că upgrade-urile sunt expediate? Este deja destul de greu să faceți upgrade la telefonul dvs. mobil dacă acesta este un dispozitiv care nu mai este vândut în mod activ. Deci avem toate aceste probleme.

De ce contează asta? Dacă aveți un defect de siguranță într-o mașină tradițională – să zicem, Mercedes-ul din clasa A, care se va rostogoli dacă ați frânat și v-ați mișcat prea tare pentru a evita un elan, au replicat asta – au livrat un pachet de service și au schimbat geometria de direcție. Nimeni nu a murit, așa că e bine. Dar dacă aveți un defect care poate fi exploatat de la distanță prin Internet – dacă puteți ajunge la malware și-l pui pe zece milioane de jeep-uri diferite, atunci sunt lucruri serioase. Acest lucru s-a întâmplat pentru prima dată în public acum câțiva ani, când câțiva tipi au condus un Jeep Cherokee de pe șosea. Apoi industria a început să se așeze și să le acorde atenție.

Acest lucru poate fi de asemenea folosit ca armă diplomatică. Vrei sancțiuni în Zimbabwe? Opriți toate automobilele negre de la Mercedes pe care dl Mugabe le-a împărțit acoperiților săi ca plăți. Am ridicat problema guvernului german. Care ar fi reacția dvs. la cererea americană de a face asta? Ei bine, a fost o indignare absolută! Deci aici intervine diplomația.

De asemenea, vine conflictul. Dacă sunt, să zicem, guvernul chinez și sunt implicat într-un conflict cu guvernul american asupra unor insule din Marea Chinei de Sud, este bine dacă am lucruri cu care îi pot amenința pentru a face față unui schimb nuclear.

Dacă pot amenința că milioane de mașini în America să se întoarcă în dreapta și să accelereze brusc în cea mai apropiată clădire, provocând cel mai mare degringoladă văzută vreodată în fiecare oraș american simultan, poate doar ucid câteva sute sau câteva mii de oameni. Blocarea traficului în toate orașele americane – nu este o armă interesantă care merită dezvoltată dacă ești laboratorul R & D din Forțele Armate Chinezești? Nu există nici o îndoială că astfel de arme pot fi dezvoltate.

Dintr-o dată începi să ai tot felul de implicații. Dacă ai o vulnerabilitate care poate fi exploatată de la distanță, aceasta poate fi exploatată la scară. Am văzut acest lucru făcut de criminali. Am văzut 200.000 de camere CCTV preluate de la distanță de botnetul Mirai pentru a doborî Twitter câteva ore. Și acesta este un tip care o face pentru a-și impresiona prietena sau prietenul sau orice altceva. Îți poți imagina ce se poate face dacă un stat-națiune se întoarce la el?

Siguranța devine brusc fațadă și centrul. Și asta, la rândul său, schimbă dezbaterea de politică. În prezent, dezbaterea despre accesul la cheile pe care le-a avut asupra jafurilor din SUA Jim Comey cu propriul nostruInvestigatory Powers Act în Marea Britanie a fost în legătură cu întrebarea dacă FBI sau Serviciul de Securitate britanic ar trebui să poată atinge iPhone-ul, de exemplu, punând malware pe el. Oamenii ar putea spune: „Ei bine, nu există nici un rău dacă FBI-ul merge și primește un mandat și pune mâna pe telefonul lui John Gotti. Nu voi avea insomnii din asta.” Dar dacă FBI-ul vă poate accidenta mașina? Mai vrei să dai FBI-ului o cheie backdoor de aur la toate computerele din lume? Chiar dacă este păstrat de NSA, atunci următorul Snowden poate să nu vândă cheia de aur The Guardian, poate că o va vinde FSB-ului rus.

Intrăm dintr-o dată pe un teren de politică foarte diferit, în care dezbaterile despre cine primește acces la ce, când, și cum și de ce, sunt brusc ascuțite. Nu este vorba doar de intimitatea ta, care e pe linie, ci de viața ta.

Internetul, la fel ca multe alte artefacte umane, aduce mai multă binecuvântare decât blesteme, altfel nu am vrea să continuăm. Ne-am opri! Și ca multe lucruri, sunt trei pași înainte și un pas înapoi. Industria este destul de rea pentru a recunoaște pașii înapoi. Tinde să sporească speranța că alți oameni își vor curăța mizeria, așa cum au făcut-o în trecut în trecut.

Există paralele foarte interesante cu istoria căilor ferate, de exemplu, și istoria canalelor înainte de aceasta, care în cele din urmă aveau nevoie de reglementare. Aveți nevoie de reglementări care să spună că căile ferate au trebuit să transporte toate mărfurile cu aceleași tarife și nu putea face discriminări și oferte de dragoste companiilor pe care le deținea cumnatul dvs. Baronii feroviari timpurii au făcut acest lucru și au fost total abuzivi; au reușit să extragă o mulțime de bani din zonele pe care le serveau.

În mod similar, trebuie să aveți pârghiile de reglementare guvernamentale treze și la locul de muncă și să vedeți că ei apără lucruri precum neutralitatea rețelei, ceva care pare să fi fost amenințat acum de administrația SUA. Vrem să ne întoarcem chiar mai mult într-o epocă de aur, unde un mic număr de baroni tâlhari reușesc să extragă tot surplusul de la toți ceilalți? Excelent dacă construiți case vaste în Newport sau vindeți iahturi foarte fanteziste, dar în cele din urmă acest lucru aduce costuri sociale. În cele din urmă, asta de împinge înapoi și, în cele din urmă, FDR sau orice nou președinte revoluționar, trebuie să corecteze asta.

Nu sunt aleșii oficiali cei care creează inegalitatea, ci natura afacerii în sine. Pentru a construi căi ferate, trebuie să aveți o lege a Parlamentului care să dea un domeniu eminent companiei feroviare pe o fâșie de pământ, în caz contrar Ducele de Roxburghe te va ține până la răscumpărare pentru toată valoarea unei linii de cale ferată între Scoția și Anglia, pentru că el deține acea bandă de pământ. Trebuie să aveți un domeniu eminent. Dar, odată ce ai un domeniu eminent, ai un monopol natural și dacă asta poate să-i perceapă fiecărui client la dorința sa marginală de a plăti, atunci poate extrage toată valoarea și chiar mai mult.

Proiectul mare pe care îl avem în acest moment, Cambridge Cybercrime Centre, are misiunea de a face cercetarea în domeniul criminalității informatice o știință. Până în prezent, practic nici o cercetare nu a fost repetată. Cineva care face un doctorat, de exemplu, începe prin a colecta câteva date; el ar putea petrece un an sau doi să convingă o companie că este suficient de încredere pentru a avea acces la unele din jurnalele lor; scrie câteva programe; scrie teza de doctorat; dacă atunci ar pleca să lucreze pentru Facebook și datele nu vor mai fi disponibile nimănui. Dacă te-ai uita pe lucrare și ai crede că ai fi putut face mai bine această analiză, nu ar posibil să pui mâna pe date sau pe date echivalente, astfel încât să poți efectua propria analiză.

Am ridicat banii și sprijinul de la diverse corporații pentru a avea un centru care să funcționeze de cinci ani cu o jumătate de duzină de oameni. Acesta va colecta o mulțime de date din surse diferite, de la companii de retragere, de la companii mari de servicii, de la registratori, de la tot felul de locuri, și va pune la dispoziția cadrelor universitare care sunt pregătite să-i autorizeze utilizarea.

O mare parte din date sunt ușor murdare. Niciuna dintre acestea nu este într-adevăr dată cu caracter personal sensibilă; nu atingem lucruri cum ar fi numere de cărți de credit sau ceva de genul acesta, dar multe dintre ele au lucruri precum adresele IP care ridică unele preocupări în cadrul regimurilor de confidențialitate ale unor țări. Deci, toată lumea trebuie să semneze o NDA. Avem acorduri standard de intrare și ieșire, astfel încât companiile care agreează să facă acest lucru ne pot permite să avem datele cu privire la faptul că singurele persoane care vor avea acces la aceasta vor fi bona fide academicienii care au semnat un acord de licență adecvat și NDA.

Aceasta înseamnă că, pentru prima dată, avem o bază de date cuantificată, care va permite oamenilor să facă cercetări pe aceeași bază cu persoanele din Google sau Facebook sau cu NSA care lucrează în domeniul criminalității informatice. Acest tip de cercetare va fi repetabil, va fi scalabil și va fi deschis mai multor echipe de cercetare pentru a începe să concureze între ele.

În 2020, când vom merge și vom aplica pentru finanțarea ulterioară, vom judeca succesul ei nu prin numărul de lucrări pe care le-am scris despre fraude și înșelăciuni și abuzuri online, ci și prin numărul de lucrări pe care alte persoane le-au scris. Este crearea acestui tip de resurse partajate care credem că a susținut cercetări pe această temă în ultimul deceniu.

Ceea ce am învățat în ultimii ani este că toate conflictele din lume dobândesc un element online. Acest lucru se întâmplă cu crima, în loc de a vă sparge casa, cineva poate fura de la distanță din contul dvs. bancar. Mulți oameni pot crede că este o îmbunătățire: nu sunteți expus unui risc personal și, cu oarece noroc, banca vă va despăgubi. În mod similar, conflictele care au un avantaj diplomatic sau militar se mișcă online. Am văzut folosirea atacurilor online asupra propagandei în conflicte din Georgia și din alte părți. Am văzut că NSA și israelienii atacă centrifugele iraniene folosind programe malware, ceea ce pare să fi condus la un rezultat rezonabil în ceea ce privește acordul de pace din Iran. Cu siguranță a fost mai puțin distructivă decât trimiterea avioanelor de război pentru a bombarda orașele.

Este folosirea conflictului cibernetic, în loc de conflict armat, cu ajutorul avioanelor, tancurilor și dronelor, o îmbunătățire? Ei bine, va trebui să așteptăm și să vedem. Există riscul ca pragul pentru declanșarea unui conflict cibernetic să fie mai mic. Oamenii vor crede că pot scăpa de el, că atribuirea este grea. Ei fac adesea greșeli. Guvernul britanic a făcut o greșeală foarte gravă atunci când a crezut că ar putea să intre în Belgacom pentru a-l trimite la Comisia Europeană, deoarece Snowden a dat alarma asupra a ceea ce făceau. Ceea ce a deranjat serios oamenii din Comisia Europeană, chiar într-un moment în care Marea Britanie nu avea nevoie de asta. Există riscuri în reducerea pragului de conflict.

În ceea ce privește conflictul electoral, am văzut adoptarea progresivă a tehnicilor de social media și a mesageriei, nu doar în alegerile naționale din America și Marea Britanie – plecând de la primele alegeri ale lui Obama – am văzut-o în referendum. Am văzut-o în referendumul din Scoția în 2014, în care susținătorii pro-naționaliști hărțuiau și abuzau de persoanele care erau în favoarea rămânerii în Marea Britanie, deoarece erau mai militanți și aveau mai mulți oameni activi online.

Am văzut același lucru în referendumul Brexit din Marea Britanie. Cu siguranță am văzut în SUA modul în care tehnicile au fost folosite mai eficient de către dl Trump decât erau de către doamna Clinton.

Ceea ce va învăța pe toată lumea este că, dacă sunteți în politică, trebuie să obțineți bine aceste lucruri și trebuie să le obțineți repede, altfel nu mai aveți un loc de muncă. Va avea loc o dezvoltare rapidă și agresivă a tehnicilor de supraveghere intruzivă, a profilării psihologice a alegătorilor și a micro-orientării mesajelor politice. Și nu știm care vor fi consecințele acestei acțiuni.

Știm deja că există o tendință ca oamenii să se ciocnească într-un univers roșu și într-un univers albastru, unde auziți numai acele mesaje de la oameni care vă sunt simpatici, deoarece domnul Facebook și domnul Google vă vor direcționa mesajele care vă mențin pe site-ul lor pentru mai mult timp, astfel încât să faceți clic pe mai multe anunțuri. Prin urmare, avem un spațiu politic mai puțin polis, unde putem interacționa și discuta cu oamenii cu care nu ne sunt agreabili neapărat tot timpul.

Ce se întâmplă atunci când se merge pe micro-ținte? Știi pe cineva care este interesat de controlul armelor și primește mesaje numai cu privire la controlul armelor; sau cineva care se opune controlului armelor; sau cineva care este în favoarea creșterii vârstei de pensionare; sau cineva care este în favoarea scăderii vârstei de pensionare, atunci ei primesc aceste mesaje obsesiv tot timpul, cu prețul anulării oricărei dezbateri politice mai largi din societate.

Poate asta se întâmplă cu știri false? Cine să spună? Întotdeauna am avut știri false, atâta timp cât am avut ziare tabloide, care există de un secol. Au fost editori de ziare care s-au jucat cu oamenii, nu cu mingea. Aceasta va deveni noua normă și, dacă da, ce se întâmplă cu democrația? Acestea sunt tipurile de probleme cu care vom lupta pentru următorul deceniu.”

Sunt opinii ale unui om care știe ce vorbește. El le spune ca un cunoscător al fenomenului și sistemului. În acest context recomand și articolul Google și procesul de filtrarea a informației

 

Lasă un răspuns

Denumire
Email
Pagină web

Acest sit folosește Akismet pentru a reduce spamul. Află cum sunt procesate datele comentariilor tale.