来自旧金山的消息称,据美国前网络安全沙皇称,美国国家安全局(NSA)在去年的监视活动遭到披露,表明极权国家机制存在的可能性。
在2014年的云安全联盟的高峰会议(RSA大会的非官方前奏)上,Richard Clarke,作为总部位于华盛顿特区的良港咨询公司的主席,以及总统奥巴马的前网络安全顾问,他在对挤得满满的观众讲话时,讨论了自己在2013年12月参与国安局、中央情报局、联邦调查局的审查数据收集和监视能力时的活动。
Clarke说,前NSA雇员斯诺登所披露问题的反应可能被扩大了,当时他把这三个机构(国安局、中央情报局、联邦调查局)的雇员描述为“令人难以置信的聪明的人”,他们致力于对付恐怖主义,并惩罚违反人权的行为。作为审查过程的一部分,Clarke和他的小组得到了他所谓的全权查所有机构的情报收集能力的安全许可。
Clarke说,这些雇员目前并没有监听随机的电话呼叫和阅读电子邮件,但这并不意味着美国公司应当忽视这些机构日渐增长的能力。
Clarke说,在收集情报方面,他们很擅长。但是由于技术的发展,他们已经创造了极权国家的可能性。
Clarke说,这种担忧几乎不算什么新鲜事儿,他指的是美国前参议员弗兰克•丘奇为首的政府委员会。当时,丘奇曾警告说,情报机构的技术正在以一种惊人的速率发展,如果启用了所有技术,那么美国将绝不可能将其关闭,而且还要有效地构建一个极权国家,全部人口都受到持续的监视。
虽然这种警告看似可怕,Clarke指出,当前政府的监控活动看似无边无界,这主要是由于缺乏策略制定者的严格指导造成的。他说,交给白宫的报告的一个重要方面只不过是提出以前未曾问过的问题:我们的情报机构在收集什么?他们应当收集什么?如果我们应当收集数据,我们应如何保护它?如果我们在收集数据,我们如何与美国传统的的隐私和政府监督保持一致?
他说,那些高层决策者已经脱离了这个过程,他们现在需要花费大量的时间决定情报机构应当收集哪些类型的数据,不应当收集哪些类型的数据。
如果你不具体,监听电话的机构就会在电话上安装窃听器。Clarke说,国安局是就像一个锤子,其它的一切看起来都像是钉子。
Clarke警告说,需要尽早实施这种措施。2001年9月11日的恐怖份子攻击事件,引发了大量以安全为重点的立法,如爱国者法案,这奠定了当今美国所拥有的情报收集能力的基础,他说,另一种大型的恐怖事件可能会推动国家进一步朝着极权国家发展。
“且不管所有的混乱,国安局曾是一种很好的力量。它可以与另一位总统一起或是在另一个9.11之后,成为一种不好的力量,”Clarke说,“一旦你放弃了自己的权利,你就再也不能得到它。一旦你启动了这个极权国家,你就绝不可能关闭它。”
与会者大卫•罗斯是澳大利亚ANTACS集团的顾问,他说,Clarke的谈话引起了与澳大利亚的政治局势的许多类比。该地区的印度尼西亚和其它国家被澳大利亚的信号处所进行的监控活动激怒了。他说,虽然这种讨论主要是“政治上的较量。”
他个人并不十分担心澳大利亚或美国的政府监控,尤其是他在加密方面的专业技术使他对于所使用的标准十分谨慎。罗斯在本质上同意Clarke关于美国国安局和其它类似机构是锤子在找钉子的比喻。
罗斯说,“很奇怪,公众会对间谍机构监视人们感到吃惊。”
尼尔•麦克唐纳是康涅狄格州斯坦福Gartner公司的高级分析师和名誉研究员,他认为多数人都同意国家需要这些机构提供的情报,但是真正需要关注的问题是捕获的广度、捕获的法律框架和对捕获者的监督。
麦克唐纳说,“在我们前进时,我们需要积极主动地准备好监督,从而使未来的监控不会被滥用。”
美国的云供应商丧失市场
对国安局监控事件的许多讨论应当围绕公司自由和个人隐私,但是据Clarke说,导致广泛数据监控的“政策错误”也在对美国云供应商带来负面影响。
虽然其范围并不明确,但Clarke说,欧洲尤其是亚洲的云供应商竞争对手正在成功地夸大对美国提供给客户的云服务中潜在国安局后门的恐惧。他指出,如果考虑到全世界的政府机构都在从事类似国安局的许多同样活动,这种卖点是可笑的。
Clarke说,“很滑稽的部分是美国的云供应商并没有这些后门,而是亚洲的产品有。”
他还警告说,欧盟和其它地区数据本地化的要求,基本上都是为了确保数据只能在物理上保存在某些国家或地区的服务器内,这主要是受经济上的考虑驱使的。这些国家希望本地公司对国际云供应商更具有竞争力,而不是真正关注这种措施是否减轻监控活动。
Clarke说,“如果你认为通过一部法律要求数据本地化就可以阻止国安局进入这些数据库,不妨再想想,这是受本质推动的。”
Clarke建议,公司不要依赖数据本地化,而是重视真正地保障各自的云环境的安全,其中包括采取措施实施由云安全联盟所提供的标准。
但是,Clarke并没有为美国政府解脱责任。他说,报告中有给白宫的尚未被采用的建议,但会改善对美国云供应商的信任。
例如,根据Clarke的说法,政府间谍机构应当在发现潜在零日漏洞的任何时间通知世界,而不是将其隐藏在武库中以便于将来使用。他说,需要这种措施来保护美国公司对付国家资助的黑客和网络犯罪联盟(其中的许多犯罪依靠日益发展的零日漏洞黑市来破坏企业,最终会使企业花费数千亿美元。)
Clarke还建议政府委任一个强大的独立咨询委员会来监视隐私和国民自由问题。一个称为P俱乐部的团体已经存在于政府内部,他指出,但它目前缺乏必要的权力,无法提供对情报机构的真正监督。美国公民需要一种看得见的负责任的机构来向公众保证这种事情的发展趋势。
也许政府需要重获信心的最关键方面是加密,Clarke建议,尤其是去年晚期浮出水面的报告显示出国安局向安全厂商RSA支付了1000万美元之后,实施一种故意弱化的随机数字生成算法,以作为RSA Bsafe系列产品的默认选项。
在云环境中,可能数据安全的最佳路线是为传输中、使用中及静态数据实施可信任的加密标准。
“虽未大量发生,但是所发生的问题已经足以极大地损害了对加密的信任”, Clarke说,“美国政府必须从搅和加密标准的事务中走出来。”