0

互联网免疫系统

纽约——病毒,网络钓鱼,间谍软件,垃圾邮件,DOS攻击,僵尸网络....你可能听到过这些名词,不管你有没有意识到,你也可能也是它们的受害者。

让我试图提供一个简单的思路来解释(不是解决)这些安全问题,我的方法 不需要政府之间相互签订的协议,更不需要一个全球警察组织或是什么全球联盟机构来解决。你要做的就是增加安全的意识,让政府来对付那些真正的犯罪行为。

Chicago Pollution

Climate Change in the Trumpocene Age

Bo Lidegaard argues that the US president-elect’s ability to derail global progress toward a green economy is more limited than many believe.

我们应当将计算机安全看作类似于公共健康或是社会经济是否健康的一个问题,大家要有自我保护的能力,更要有惩罚加害者的机制。每一个人都需要能自我保护,防止受到的侵害后无意识地又加害了其他的无辜者,同时减少加害者的犯罪几率。

这听起来有一些挑战。不过还是有一些有效的方法,例如无需跟踪上网记录,登录的时候更不需要注册ID等。跟踪上网纪录不能抓到坏人或是阻止他们的恶行,而只是可能妨碍我们对网络的使用。我们不能以牺牲网络的开放性来打击犯罪。

为了有效地保障网络的安全,作为网络服务的门户,网络服务提供商(ISP)应该担负起主要的责任。作为一个技术性很强的机构,他们有能力来保护我们,打击网络犯罪。他们和最终用户有着直接的联系,给用户提供商业的服务,所以,不像政府,他们如果做的不好的话,自身也会大大地受到影响。

ISP比起政府来说,应该提供简单的安全防范——杀毒软件,反钓鱼软件,防范垃圾邮件等等——这些都是一些基本的网络用户所需要的服务,实施起来也不会很困难。当然,杀毒软件的公司也能提供安全网络服务。ISP可以选择他们其中的一家,或者是几家的组合。ISP可以教会用户使用这些工具——对公众进行网络安全知识的普及宣传,这更象是要求公众勤洗手这些简单的健康知识。

对于垃圾邮件,ISP(包括邮件服务提供商)应该对用户发送邮件的数量有所限制,比方说,一天最多100封邮件。如果超过100封,你就要付费或通过安全测试证明是无害的。同时,ISP们应该实施一种EMAIL ID系统(目前有两个好的方法:Domain Keys和SPF),这倒不是追踪用户的邮件,而是为了防范坏人作恶。

ISP们限制那些没有加入网络安全防范的ISP的流量,这样的话,没有安全防范的ISP用户就会抱怨网速变慢,而要求他们的ISP加入网络安全防范,非法用户就不能通过这些没有安全防范的ISP来攻击其他ISP。由于这是ISP行业内部的处理,不是由政府来主导的,所以相互之间可以保持举报者的匿名性。

至于反钓鱼软件和木马软件,有好几种方法来追踪和屏蔽“非法网站”,用户可以自由的浏览网站,当他们进入一些危险网站的时候,会收到一些安全提示信息。

谷歌在StopBadware.org(我是顾问委员会成员之一)的帮助下,对搜寻的结果会作出安全提示。其他的一些网络游览器例如,Mozilla 火狐狸和微软的IE也有类似的保护措施。对于那些专业用户或是测试软件的用户来说,他们可以有所突破,不受到以上的限制,前提是支付费用,以作出对系统安全的保证。

此项措施的目的利用经济手段来减少网络犯罪,当然,真正的罪犯不会被阻止。但这样的系统可以减少我们受害的可能,从而达到防范的目的。

为什么我们还没有实施以上的措施呢?有几个原因。首先是惰性,也可能是理想主义情怀——例如认为网络不仅应该自由浏览,而且应该完全免费。为了人们安全的使用网络,一些必要的费用支出也是应该的。

实际上,对用户和ISP来说,费用的支出也是第二个障碍。我们应该对费用支出表示认可(就象我们针对环境污染那样),并将相关的费用分摊到具体的用户。毕竟,我们可以接受警察队伍和公共安全健康和的费用支出,这当然不仅仅是医院,而且包括干净的用水,安全食物等等。

那我们应该怎么做呢?ISP应该将费用分摊到用户的头上。但目前,ISP由相互之间的价格战,也许不这么做,所以说用户应该对ISP提出这样的要求,ISP也应该有行业的规范,对那些没有安全设施的ISP作出限制。

进一步来说,当ISP容忍一些非法网络行为的时候,应该有人对他们提出法律诉讼。现在这样的诉讼不是太多,而是还不够。当ISP拒绝对网络犯罪作出防范时,疏失不能是他们逃避法律制裁的借口。

Fake news or real views Learn More

但ISP的费用应该包括警告用户浏览不良网站的措施,就是有一个提示网站主人系统受到侵害的提示——这样他们就可以知道自己正在受到侵害并解决问题。建立这样的系统的成本应该不便宜,但如果没有的话,后期所付出的费用应该更高。

以上这样的改变不可能解决所有的问题,不是象一个数字化的中枢神经大脑,更象一个免疫系统,让它无处不在。这也会大大地改善目前的网络环境:让普通人有安全感和法律的保障。安全专家可以将精力放在对付那些对网络安全更大的威胁上面。