不安全行业
当我拿到新手机时,我做的第一件事就是把它拆开。我这样做不是为了满足修补匠的冲动,也不是出于政治原则,而仅仅是因为操作不安全。修复硬件,也就是通过手术移除隐藏在里面的两三个微型麦克风,只是一个艰巨过程的第一步,但即使经过几天的这些 DIY 安全改进,我的智能手机仍将是我拥有的最危险的物品.在本周的 Pegasus 项目之前,主要报纸进行了一项全球报道,旨在揭露 NSO 集团的致命后果——这是失控的不安全行业的新私营部门面孔——大多数智能手机制造商以及世界大部分媒体每当我公开将全新的 iPhone 识别为潜在的致命威胁时,他们都会对我翻白眼。尽管多年的报道表明 NSO 集团以营利为目的窃取电话与记者和人权捍卫者的死亡和拘留有关;尽管多年来有报道称智能手机操作系统充满了灾难性的安全漏洞(由于它们的代码是用长期以来被认为不安全的过时的编程语言编写的,这种情况更加严重);尽管多年来有报道称,即使一切都按预期进行,移动生态系统是终端用户监控和直接终端用户操纵的反乌托邦地狱景观,但许多人仍然难以接受感觉良好的东西实际上可能并非如此好。在过去的八年里,我经常觉得有人试图说服他们一个拒绝长大的朋友戒烟并减少饮酒量——与此同时,杂志广告仍然说“十个医生中有九个抽 iPhone!”和“不安全的移动浏览令人耳目一新!”然而,在我无限的乐观中,我不禁将飞马计划的到来视为一个转折点——一个关于“有翅膀”的“特洛伊木马”的经过充分研究、来源详尽、坦率地说是疯狂的故事名为“Pegasus”的感染基本上将您口袋中的手机变成了一个全能的跟踪设备,可以远程打开或关闭,而您(口袋的所有者)并不知情。简而言之,您手中的电话始终处于不安全状态,任何愿意将钱投入到这个新的不安全行业手中的人都会受到感染。该行业的整个业务涉及制造新的感染类型,这些感染将绕过最新的数字疫苗——也就是安全更新——然后将它们出售给占据维恩图的炽热交叉点的国家压迫”和“严重缺乏在国内生产它们的复杂性”。像这样一个以制造漏洞为唯一目的的行业,应该被拆除。即使我们明天醒来,国家统计局集团及其所有私营部门都被一座特别具有公众意识的火山喷发消灭了,这也不会改变我们正处于最伟大的国家之中的事实。计算机历史上的计算机安全危机。为每台重要设备开发软件的人——帮助制造苹果、谷歌、微软的人,一群想卖东西而不是修理东西的吝啬芯片制造商,以及想要修理东西的好心的 Linux 开发人员东西,而不是卖东西——都乐于用我们知道不安全的编程语言编写代码,因为,嗯,这就是他们一直在做的事情,而且现代化需要大量的努力,更不用说大量的支出了。由于与计算机如何在编写代码的确切时间跟踪它应该做什么有关的技术原因,引入了绝大多数后来被不安全行业发现和利用的漏洞,这使得选择更安全的语言是一种重要的保护……但很少有人会这样做。
如果你想看到改变,你需要激励改变。例如,如果您想看到 Microsoft 心脏病发作,请谈谈为商业产品中的不良代码定义法律责任的想法。如果你想让 Facebook 做噩梦,请谈谈让它对我们个人记录的任何和所有泄露承担法律责任的想法,这些泄露可以说服陪审团被不必要地收集。想象一下马克扎克伯格会多快开始粉碎删除键。在没有责任的地方,就没有问责制……这将我们带到了国家。国家赞助的黑客活动已成为一项常规比赛,它应该在东京拥有自己的奥运类别。每个国家都谴责对方的行为是犯罪,同时拒绝承认对自己的违法行为负责。那么,当牙买加带着自己的雪橇队出现时,我们怎么能说感到惊讶呢?或者,当一家自称“牙买加”的私营公司出现并声称与民族国家拥有同样的“酷跑”权利时?如果黑客在我们做的时候不违法,那么他们做的时候也不违法——而且“他们”正日益成为私营部门。这是资本主义的一个基本原则:它只是生意。如果其他人都这样做,为什么我不这样做?这是军控历史上几乎所有扩散问题产生的表面逻辑推理,由于网络的互连性和同质性,核冲突所暗示的相互确保的破坏在数字冲突中几乎得到了保证.回想一下我们之前关于 NSO Group 的 Pegasus 的主题,该主题特别但并非专门针对 iPhone。虽然 iPhone 在默认情况下更加私密,并且有时从安全角度来看比谷歌的 Android 操作系统设计得更好,但它们也构成了单一文化:如果你找到感染其中一个的方法,你可以(可能)感染所有这些,Apple 的黑匣子拒绝允许客户对 iOS 设备的操作方式进行任何有意义的修改,从而加剧了这个问题。当你将这种单一文化和黑拳与苹果在全球精英中几乎普遍的流行结合起来时,NSO 集团固执 iPhone 的原因就变得显而易见了。政府必须开始理解,允许(更不用说补贴)NSO 集团及其恶意同行的存在并不符合他们的利益,无论客户或客户国家位于威权轴心的哪个位置:最后一位总统的美国总统在他不打高尔夫球的时候都在办公室里用 iPhone 发推文,我敢打赌,每个其他国家的一半最高级官员和他们的同事都在他们的 iPhone 上阅读这些推文(也许在高尔夫球场)。
无论我们喜欢与否,对手和盟友共享一个共同的环境,而且日新月异,我们越来越依赖运行共同代码的设备。认为我们这个时代的大国——美国、中国、俄罗斯,甚至以色列——对阿塞拜疆在情报收集方面实现战略平等感兴趣,当然是大错特错的。这些政府根本没有把握住威胁,因为能力差距还没有消失。技术和公共卫生一样,为了保护任何人,我们必须保护每一个人。朝这个方向迈出的第一步——至少是第一个数字化步骤——必须是禁止入侵软件的商业交易。我们不允许生物感染即服务市场,数字感染也必须如此。消除利润动机可降低扩散风险,同时保护进步,为具有公众意识的研究和固有的政府工作留出空间。虽然从商业市场上删除入侵软件并不会将其从各州带走,但它确实确保了鲁莽的毒贩和好莱坞性犯罪制片人可以从他们的沙发垫中挖出几百万或者地球上的每一部 iPhone,都会危及拿铁级闪亮的地位。然而,这种暂停只是一种分类:它只会为我们赢得时间。禁令之后,下一步是责任。了解 NSO 集团业务的规模及其对全球社会造成的后果,如果没有从 Novalpina Capital(欧洲)和 Francisco Partners(美国)等非道德公司获得全球资本,就不可能实现,了解这一点至关重要。口号很简单:如果公司不剥离,所有者就应该被逮捕。这个行业的专属产品是故意的、可预见的伤害,而这些公司是知情的帮凶。此外,当发现企业在国家的指导下从事此类活动时,责任应该超越更多普通的民法和刑法,以引起协调的国际反应。想象一下你是华盛顿邮报的编辑委员会(首先你必须摆脱你的脊椎)。想象一下,你的专栏作家被谋杀了,然后低声呼吁谋杀案的策划者,下次他们应该填写更多的文书工作。坦率地说,《华盛顿邮报》对 NSO 丑闻的回应是如此令人尴尬,以至于它本身就是一个丑闻:有多少作家需要死去才能说服他们相信这个过程不能代替禁令?沙特阿拉伯使用“Pegasus”窃听了贾马尔·卡舒吉前妻及其未婚妻的电话,并利用收集到的信息为他的可怕杀戮和随后的掩盖做准备。
但卡舒吉只是 Pegasus 遇难者中最著名的一个——因为他谋杀的冷血和可怕的性质。 NSO 集团的“产品”(读作:“刑事服务”)已被用来监视无数其他记者、法官甚至教师。反对派候选人,目标的配偶和子女,他们的医生,他们的律师,甚至他们的牧师。这就是认为禁令“过于极端”的人总是错过的:这个行业出售了在洗车场枪杀你不喜欢的记者的机会。如果我们不采取任何措施来阻止这项技术的销售,那将不仅仅是 50,000 个目标:它将成为 5000 万个目标,而且它发生的速度将比我们任何人预期的要快得多。这将是未来:一个人们忙于玩手机的世界,甚至不会注意到其他人在控制他们。
