微软,脸谱网,信任和隐私

  • 有组织地滥用facebook和FB试图做出回应之间有着很强的相似性,在过去的24个月里,以及Windows和Office上的恶意软件,以及微软的回应,20年前。

  • 在这两种情况下,最初的响应都采取了两条路径:对开发的战术性更改和API实践,以使现有模型更加安全,并试图扫描已知的不良行为体和不良行为(当时的病毒扫描器和现在的人类调节器)

  • 对于微软的恶意软件问题,然而,这并不是一个长期的答案:相反,行业改变了安全性,转向SaaS和云,然后转向根本不同的操作系统模型(Chromeos,使恶意软件威胁变得无关紧要。

  • Facebook转向消息传递和端到端加密(部分)是一种尝试:改变模式,使威胁无关紧要。但在没有微软的情况下,向SaaS和新操作系统的转移主要发生在哪里,Facebook正试图推动变革本身


必威足球回到1995年,当它们在地球上只有一亿五千万个时,有人有个好主意。或者,正如格林奇所说,美妙的,糟糕的主意。

微软在把Office变成一个开放的开发平台上付出了巨大的努力。各种大小企业都创建了嵌入在Office文档中的程序(称为“宏”),并允许它们创建出色的自动化工作流,围绕着创建和扩展这一点,有一个很大的开发人员社区。

但是格林奇意识到有一个API可以用来查看你的地址簿,用于发送电子邮件的API和用于在打开文档时自动运行宏的API。如果你把这些按正确的顺序放在一起,然后你有了一种病毒,它会把自己通过电子邮件发送给你认识的每个人,在一个看起来无害的Word文档中,一旦他们打开它就会扩散到每个人身上他们知道。

这就是“概念”病毒,实际上它只感染了大约35000台电脑。但四年后“梅丽莎”,做同样的事情,真的很流行:有一次它甚至关闭了五角大楼的部分。

在过去的一两年里,当我在Facebook上看到有关虐待和敌对国家活动的新闻时,我经常想起这段古老的历史。YouTube和其他社交平台,因为就像微软的宏病毒一样,Facebook上的“坏演员”做了手册中提到的事情。他们没有撬开大楼后面一扇锁着的窗户——他们敲了敲前门走了进来。他们做了你应该做的事,但结合起来的顺序和恶意的意图,并没有真正预期到。

比较微软和Facebook的公开讨论也很有趣。之前这些事件。在20世纪90年代,微软是“邪恶帝国”,科技领域的很多叙述都集中在如何更开放,使人们更容易开发与办公室垄断合作的软件,使信息进出其产品更加容易。如果微软做了什么让开发者的生活更艰难的话,那就是“邪恶”。不幸的是,不管你怎么想这个故事,当涉及到这个用例时,它指向了错误的方向。在这里,微软太开放了,不要太封闭。

同样地,在过去的10年里,许多人认为Facebook太像一个“围墙花园”,太难获取你的信息,太难让研究人员从整个平台获取信息。人们认为Facebook对第三方开发者如何使用该平台的限制太大了。人们也反对facebook试图强制使用账户的单一真实身份。至于微软,所有这些论点都很可能是正义的,但对于微软来说,在这个特定的场景中,他们指出了错误的方向。对于互联网研究机构,这对于Facebook来说太容易开发了,太容易获取数据,很容易改变你的身份。有围墙的花园围墙不够。

当我们考虑到这些公司及其周围的行业如何试图应对这些滥用平台的行为时,这种情况仍在继续:

  • 2002,比尔盖茨写了一份公司范围的备忘录,题为可信计算,这标志着该公司对其产品安全性的看法发生了转变。微软会更系统地思考如何避免造成漏洞,以及“坏行动者”如何使用它选择创建的工具,尽量减少滥用的机会

  • 同时,安全软件(首先来自第三方,然后来自微软)出现了激增,试图扫描已知的坏软件,扫描计算机上已经存在的软件行为,寻找可能表明它是一个以前未知的坏角色的东西。

概念上,这几乎正是Facebook所做的:努力消除现有的滥用机会,避免创造新的机会,扫描坏演员。

微软 脸谱网
移除滥用的开口 关闭API并查找漏洞 关闭API并查找漏洞
扫描不良行为 病毒和恶意软件扫描仪 人的节制

(值得注意的是,这些步骤正是人们以前坚持认为的邪恶——微软决定你可以在自己的计算机上运行什么代码,以及开发人员可以使用什么API,和Facebook决策(人要求高的由Facebook决定)分发对象和内容。)

然而,虽然微软的方法都是为了让现有的模型不受滥用,在过去的二十年里,该行业转向了新的模式,使得针对微软的各种滥用变得越来越无关紧要。开发环境从win32移动到了云端,客户端从Windows(有时是Mac)移动到Web浏览器,然后增加到设备,在这些设备中,病毒和恶意软件的整个概念是不可能的,或者难以达到数量级模式,以色球的形式,iOS,在某种程度上也包括Android。

如果您的计算机上没有存储任何数据,那么对计算机的破坏不会对攻击者造成太大的影响。如果应用程序是沙盒的,并且不能读取其他应用程序的数据,那么它就不能窃取您的数据。如果应用程序不能在后台运行,应用程序就不能在后台运行并窃取密码。如果没有应用程序,你就不能欺骗用户安装坏的应用程序。当然,人类的创造力是无限的,这一变化导致了新的攻击模型的建立,最明显的是网络钓鱼,但不管怎样,必威足球这些都与微软无关。我们通过移动到新的架构来“解决”病毒,消除了病毒需要的机制,以及微软不在场的地方。

换言之,微软在窗户上安装了更好的锁和运动传感器,世界正朝着一个离地200英尺的窗户不开的模式迈进。

所以。

上周马克·扎克伯格写了他的比尔·盖茨版本的“值得信赖的计算”备忘录。关注隐私的社交网络愿景'.这里面有很多有趣的东西,但在这次讨论的背景下,有两件事很重要:

  • Facebook的大部分用途(他预计)都是面对面的信息,不是一对多分享

  • 所有这些消息传递都将使用端到端加密。

就像从窗户移到云和色球,您可以将其视为试图消除问题而不是修补问题。如果没有新闻稿,俄罗斯人就不能在你的新闻稿中传播病毒。如果facebook没有你的数据,“研究人员”就无法搜集你的数据。你通过使问题无关紧要来解决它。

这是通过改变核心力学来解必威足球决问题的一种方法,但是还有其他的。例如,Instagram有一对多的订阅源,但不建议你自己不关注的人提供内容,也不允许你转载到朋友的订阅源中。你的饲料中可能含有抗VAX的成分,但是你的一个真正的朋友已经决定和你分享它。与此同时,在印度,危险谣言的传播等问题依赖于信息传递而不是分享——信息传递不是灵丹妙药。

的确,扎克伯格的备忘录提出的问题和答案一样多——最明显的是,广告是如何运作的?有广告吗?如果是这样,它的目标是什么?加密意味着Facebook不知道你在说什么,但你手机上的Facebook应用程序必须知道(在加密之前)。那么目标定位是在本地发生的吗?与此同时,尤其是加密在解决其他类型的滥用方面存在问题:如果你不能阅读剥削者的信息,你如何帮助执法部门处理对儿童的剥削(备忘录明确地将这称为一个挑战)?Facebook的区块链项目在这一切中处于什么位置?

有很多大问题,当然,如果在2002年你说所有的企业软件都将进入云计算,那么问题也会很多。但不同的是,Facebook正在尝试(或谈论尝试)自己做柔道动作,做一个微软不能做的基础架构改变。