在失败的自动化安全系统案例中,最为有名的是斯坦利·库布里克的电影《奇爱博士》中提到的“世界末日装置”,在这部影片中,苏联政府设置了一套“世界末日装置”,在地下埋藏了50颗炸弹,用“钴钍G”进行引爆,即使面对已经成功推出第一次核攻击的西部国家的攻击,这套装置也可以抵制得住。然而,这套自动装置的并没有考虑到使用它去抵制核攻击所带来的后果,因为一个疯狂的美国空军将领的不明智行为,“世界末日装置”可能真的会毁灭世界。
危险的自动化安全系统案例并不仅仅存在于科幻小说中,事实上,就拿近期的斯诺登泄露美国国家安全局的机密这一事件来说,至少我们可以看到两个方面的警示:
斯诺登的“死囚开关”游戏
英国卫报的记者格林沃尔德称:“斯诺登已经采取极端的防范措施,确保世界各地不同的人拥有这些档案,以便这些文件能被公布”,他还补充到:“斯诺登告诉我,他已经安排好了,如果他真的出了事,会让这些文件拥有者获得访问完整档案的权限”。
“死囚开关”理论上来说,能够阻止美国伤害斯诺登,但是安全专家布鲁斯-施奈尔却认为这反而给斯诺登的生命安全带来了威胁。布鲁斯说:“(如果我是斯诺登)我更加担心的是有人为了获取这些被公布的文件,而不是为了阻止这些文件被公布而要我的性命。在现实中会存在很多不确定的因素,那么在设计一个安全系统的时候,最重要的就是要把他们统统考虑进来”。
美国国家安全局(DHS)的数据泄漏防护
当《华盛顿邮报》报道斯诺登的泄密事件的时候,美国国家安全局就已经警告过其员工,浏览“非机密政府工作站”的文件将会被诉讼。国安局通信说:“每个员工之前都签署了保护国家机密的协议,但是他们也有可能违背这份协议。”
国安局泄露的幻灯片——如果你是国安局的一名员工,那么你的计算机就已经被列为“绝密”行列。
虽然国安局的反应看起来有点自欺欺人,但是深入了解之后,或许可以让我们根据背后的原因得到一些有根据的推测。
从momo的记录中我们可以推断,美国国安局至少有两个网络,一个网络用来记录机密资料,这个网络可能并没有联网,另一个是记录非机密资料的联网网络。这两个网络之间很可能通过“缝隙屏显”技术而相互独立,为了确保机密信息不会被机密网络错误地泄露给非机密网络,顶级机密文件都是用数码技术打上了水印的,然后在非机密工作站装有一个软件代理,用来监视工作站所有的水印文件。当发现有水印文件事件传到该工作站,此软件代理就会向国安局的安全运营中心(简称SOC)发出警报,安全运营中心会立刻隔离这个工作站来缓解问题,然后再恢复工作站的运营,如果情况不是很严重的话,该工作站依然是非机密工作站。
如果这个猜想是正确的,那么在早晨,当《华盛顿邮报》报道国安局的绝密文件被泄露的时候,国安局的安全运营中心就会忙于处理警报事件。因为当工作站的软件代理发现了水印文件,向安全中心发出警报的时候,就会有很多国安局的员工就已经看到了传到非机密工作站的这份水印文件的内容。安全运营中心忙于解决警报事件,就无法进行安全实时监控,因而国安局不得不告诫它的员工不要去浏览这些文件的具体内容。
这次事件的根本原因在于国安局的数据加密防护安全策略只考虑到了由于机密网站的信息泄露,导致绝密文件会被传送到非机密工作站的这一可能性,他们没想到的是,绝密文件的来源实际上是互联网,通过互联网就很容易破坏他们设计系统的时候所作的一系列设想,导致系统完全瘫痪。
设想的系统是很危险的,基于这些设想来实现自动化更危险
总之,在复杂的现实世界的事件里,会涉及到多个敌对因素,比如当前的互联网安全领域,当设计一个安全系统的时候,有很重要的一点就是把所有因素都考虑进来。这是一个很艰难的任务,我们需要做好准备,因为我们之前所做好的设想随时都有可能失败。因此,当我们部署一项新的自动化安全机制的时候,我们一定要谨慎而行,当我们遗漏掉任何一个基本设想时,自动化机制就会很容易受到攻击。
