如果说,今年好莱坞最大的意外票房生力军是迪斯尼电影公司的《星际异攻队》(Guardians of the Galaxy),那么,好莱坞最大的意外黑客,非索尼影业的「和平守护者」(Guardians of Peace)莫属了。这故事就像出自于一部电影:不平凡的大人物、A咖明星、又神秘、又像闹剧、有国际阴谋、复仇,以及计算机制造的特效,吸引着全世界观众的注意。没有事业能比演艺事业更有意思了。
索尼事件如果是真的,那么「守护者」黑客是怎么与北韩有关系,仍然是一个悬而未决的谜。要播放索尼影业的《名嘴出任务》 (The Interview)的戏院都面临令人不安的暴力威胁。这部电影正是造成这整个事件的关键。(根据最新消息指出,索尼已经决定取消这部电影的上映,而据说美国官员现在认为北韩与此黑客有关联。)但没有人怀疑,索尼的网络防御系统已经糟到了令人觉得可耻的地步。该公司的网络已经被损坏,而最隐密的通信已被公诸于世。「被宠坏的小孩」安洁莉娜‧裘莉(Angelina Jolie) 对索尼影业董事长帕斯卡尔(Amy Pascal)恨之入骨的眼神,一定会成为狗仔队的经典影像。
我们先不要幸灾乐祸。索尼事件之所以受到大家重视,不只是因为它同时暴露了技术缺陷和泄漏秘密,而是因为它所凸显出来的运营挑战。想要更了解全球接下来所面临的黑客风险,计算机犯罪,和网络冲突吗?那么,问问自己,在索尼这个故事中,谁会笑最大声:
•普丁和俄罗斯经验丰富的网络战士?
•中国的「爱国者黑客」?
•维基解密的朱利安.阿桑奇(Julian Assange)那群人?
•匿名者?
•爱德华.史诺登(Edward Snowden)?
•侵入美国Target百货公司的网络黑客族群?
答案是:所有这些人。在整个这件索尼的传奇故事中,完全没有让数字世界中行为偏差和具破坏性的人,有一丝半点的威胁或吓阻的作用。一点都没有。
相反的,真正的恐惧和威胁遍布整个网络的系统,从恶作剧到破坏行为,正成为一个全球性的新常态。随着世界各地越多的人变得越依赖网络和其各种设备,他们正在鼓励更多计算机制造出混乱的机会。
我们很快将目睹和经历公民数字社会的加速侵蚀。也就是说,网络世界正在复制已故伟大政治学家詹姆士.威尔逊 (James Q. Wilson)及与他合作的教授乔治.凯林 (George Kelling)所详细阐述的「破窗效应」,也就是城市的犯罪和腐烂。
「如果某一个建筑物的一扇窗户被打破,未经修理,其他的窗户很快也将被打破。」凯林和威尔逊两位教授在管理类书籍《大西洋月刊》(The Atlantic)中写道。如果这些窗户和这些建筑物被留下来,都不去修复,而破坏者也未经惩罚,周边整个小区不可避免地会腐烂。社会和法律制度,警察和小区之间的合作不只是修复破碎的窗子,而是查明和惩罚破坏者和犯罪集团。这一种双方的承诺,在数字空间中,无论是在理论或是实际上都不存在。
世界各地的律师和法官也许都太喜欢引用美国最高法院大法官奥立佛.霍姆斯(Oliver Wendell Holmes)的名言。他曾警告说:「困难的案子生出坏的法律。」但律师和政策制定者都不敢勇于去承认,相反的道理,也可以成立:「坏的法律使得案件变困难」。这就是为什么在网络世界中,法治把胜利给了破坏者。这就是为什么被破坏的网络无所不在。
从史诺登、Target百货公司、乌克兰、美商摩根大通,到现在的索尼影业,世界上每一个象样的公司和政府机构都了解内部人员和外部网络攻击所造成的威胁。大家都知道。
但是,这些组织在面对来自世界各地,残酷的网络侵略下,真正能做些什么来保护自己和他们的客户呢?依照法律上的答案是:「并不多。」法律提供给真正想要抵御攻击的组织极少的支持。美国国内的数字法律不好;国际法更坏。其中真正清楚的地方都是没用的、琐碎的,或是被禁用的。
比如说,在网络世界里,没有既定的,或非正式的自我防卫权利。你要打电话给警察,随时请便。但警察并没有法律义务用任何方式来保护你。一个大的美国银行,理论上,可以致电咨询美国联邦调查局(FBI),美国国家安全局(NSA),或美国中央情报局(CIA),并寻求协助找到攻击者,或许可以通过改变其数字防御和安全系统的方式。不过,这些机构没有义务提供服务。如果这间美国银行的业务在欧洲、中国或是拉丁美洲受到攻击,这些地区的法律单位也同样没有义务帮忙。
更糟的是,许多国家的法律反而造成公司在设置入侵检测系统时,可能违反犯罪分子/破坏者/袭击者的隐私。如果有人闯入你的办公室,偷了东西,你可能不被永许追着他跑,并跟着追到他家。同样的,如果有人侵入你的网络系统窃取东西,你可能不会被法律允许,用数字的方式追踪到他的家庭计算机,尤其是如果需要跨越国际边界时。
反过来反黑客? 想都不必想了!想要在虚拟世界中反击可能的攻击者,这想法是最具争议的计算机相关法律之一。受尊敬的律师和决策者完全无法同意何种等级的自卫才应该在法律上被允许。
隐私权倡导者将不会允许给予政府进入专用网的途径,甚至是受到攻击的网络都不行。对于这个问题,拥有敏感数据的企业,也不会让国外黑客盗取其数据,或给美国政府它的网络的通行权。
从政策面看,如果企业可以聘请自己的网络维护专员,对抗攻击者,想必大家会更开心。这将大大帮助原本人力薄弱的政府调查人员,并减少政府需要获得进入专用网的必要。消除政府主动防御网络安全的独大地位,可能会增加反黑客社交的多样性,想象力和其影响力。
然而,这却会造成显而易见,又不难理解的争议。
稍早的贴文都表示,在地和全球业务的网络攻击将不可避免地增加,因为他们的预期收益绝对超过成本。在网络的信息高速公路上越来越多虚拟「震碎的玻璃」。如果你是一个全球性的组织,正在做其他地方某个人不喜欢的事,那么,你和你的网络可能会在虚拟世界中被抢劫,你网络中及服务器里的数据同时被偷走。从最小的客户到CEO都有可能经历这样的事。
不幸的事实是,索尼的案子是一个信号。如果法治不从根本上改善,网络世界将成为破坏者、治安维持者、和雇佣军之间的影子战争。这些战争有一些会受到国家的支持,其他有些由想要保护自己全球利益的企业支付。这将是丑陋,而且非常危险的。