监视技术廉价到无法计量

阻止“老大哥”将需要对整个系统进行昂贵的改革。

Poul-Hening Kamp

风险管理专家 Dan Geer 在他的主题演讲中向 2014 年 Black Hat 大会的听众提出了一个问题：“如果监视技术廉价到无法计量，会怎么样？”

正如核电的例子一样，技术与此无关：这是一个关于经济的问题，特别是关于最小阻力路径的经济问题。

对于政府而言，监视技术非常廉价。许多政府已经通过法律，规定监视行业——最值得注意的是移动网络运营商——以“成本价”分享他们的数据，而且我们知道执法部门经常使用这些数据。

那么，为什么有如此多廉价的监视技术可供购买呢？

电话之所以能工作，是因为电信公司可以将呼叫路由到电话和从电话路由出来。骨干网及其路由表与从移动基站到无线设备的空中接口相比微不足道，在空中接口中，无法逃脱了解哪些电话在哪里。由于带宽有限，而且现在每个人及其物联网 (Internet of things) 设备都有一张 SIM 卡，移动基站的密度增加了，这使得位置的不确定性从 1960 年代的数十公里降低到今天的数十米。

理论上，移动网络公司可以在手机移动到不同位置时立即丢弃该信息——但他们实际上做的却恰恰相反。

首先，收集数据深深植根于电信公司的 DNA 中。如果你试图说服他们不要这样做，Prosser 先生会回答说：“这是通话数据记录！你必须收集通话数据记录！” 如果你真的逼问网络公司，他们会告诉你以前的故事，有人拒绝支付长途电话费而被起诉，并被出示证据。别忘了，今天几乎所有合同都是固定价格的，人们只有在受到第三方、游轮网络、游戏内购买等掠夺性收费时才会抱怨。

其次，数据可以帮助诊断网络在前几天的故障。这在早期几代移动网络中非常重要，但现在已不那么重要了。

第三，这确实是很有趣的数据。AT&T 过去常常发布新闻稿，说明他们每年处理了多少节日电话；同样，现代电信公司经常吹嘘有多少手机在体育赛事和体育场音乐会上。

但是，最重要的是，这是廉价的数据。无论你是否想要，数据都会从系统中涌出，而磁盘空间一文不值。

为了阻止监视，移动网络将不得不让他们的设备供应商进行更改；他们将不得不更改自己的后台系统；他们将不得不重新制定客户合同，以便他们不会依赖数据在发生争议时可用；等等。

即使忽略立法者通常已将收集监视数据作为移动网络许可证的要求这一事实，电信公司停止监视客户的成本也将高于继续监视的成本。

这正是“监视技术廉价到无法计量”的字面意思。

电信公司随后发现其监视数据的其他客户——例如，以“市场研究人员”身份出现但通常是私人或公共情报机构的幌子的客户——这一事实只会使情况变得更糟。

在无线连接的另一端，只有两种选择：要么你是 Apple，要么你在你的产品上安装 Google 的 Android 智能手机软件。这两个平台都建立在监视经济之上。

客观上，Apple 或 Google 没有理由知道你每次打电话或发送消息，但由于他们的利润建立在他们知道的基础上，你不会轻易配置你的手机不告诉他们——如果你设法这样做，你将不断受到不祥的警告和通知的困扰。我的手机花费四到五秒钟试图告诉 Google 有来电，然后会发出关于其失败的通知，这是由于我未能正确配置它造成的，然后它才会激活铃声。

如果你为任一平台编写应用程序，你必须通过各自的围墙花园发布它，你可以免费这样做——但随后它必须包含内置广告，这些广告向 Apple 和 Google 提供你用户的监视数据。如果你想保护你的用户免受其害，你必须出售该应用程序以赚钱，并将一部分利润上交给 Apple 和 Google，以补偿他们错失的广告和监视收入。平台本身当然仍然会报告你的应用程序何时、何地以及如何被使用。

这再次是监视技术廉价到无法计量：减少它实际上要花钱，在这种情况下，你完全消除它的唯一方法是不拥有智能手机。

再次切换回空中接口，你会听到，在推出新一代移动网络的论证中，诸如“更好的流媒体”、“更好的游戏”和“总体上更好的移动体验”之类的措辞。

最后一个是真实的，因为用户想要的内容上钉着的所有监视意味着，与它们本可以达到的水平相比，大多数移动体验都相当糟糕。

几乎总是这样，在你看到任何内容之前，超过十几个——通常是数百个——组织会知道你试图访问哪个网站，以及你想在网站上看到什么。这只是电子拍卖的一部分，目的是出售你很快将看到的广告。

否则，“定向广告”如何实现？

这需要令人难以置信的大量 RTT（往返时间），这就是为什么过去 10 年 HTTP 的工作重点一直集中在想方设法避免 TCP 的三次握手，同时尽可能地掩盖大型平台正在收集多少以及哪些监视数据。

如果你不相信这一点，请尝试禁用 JavaScript 浏览网页。是的，许多网站看起来像立体派甚至印象派，因为它们的“反应式”设计依赖于 JavaScript，但你会惊讶地发现，当从沉重的监视污垢中解放出来时，通常缓慢的网站突然变得多么快速。

这也是为什么最新一代移动网络的设计非常注重 RTT 的原因。正如信息论之父克劳德·香农所表明的那样，这需要更多的带宽，这意味着更高的载波频率，这意味着更短的覆盖范围，因此需要更密集的移动基站网络。因此，移动网络会将你的下一部手机三角定位到几米之内。

客户将为全新的移动网络付费，以降低监视成本，进一步为更多监视铺平道路，而且他们不会为他们的钱获得“总体上更好的移动体验”。

Facebook 在 10 月初搞砸其 BGP（边界网关协议）路由并将其 DNS（域名系统）服务器从 Internet 上移除时，提供了一个完美的案例研究。

DNS 的设计正是为了避免这个问题，但 Facebook 使用 DNS 请求来监视网络上的几乎所有人，方法是始终强制查找一直返回到母舰。每当你在一个网页上看到那些“在 Facebook 上分享”图标时，你的浏览器都会直接向 Facebook 的服务器发出 DNS 请求和 HTTP 请求，以获取该小图像。响应不允许缓存，这些请求直接进入 Facebook 监视怪兽的胃口。

由于 Facebook 的 DNS 响应是不可缓存的，因此它分发的所有间谍软件都在拼命地告诉 Facebook 每个人都在做什么，这冲击了整个网络的 DNS 解析器——这与 Paul Mockapetris 在 RFC1034 中的意图恰恰相反。

所以，是的，监视技术廉价到无法计量，这可能就是 Dan Geer 现在住在一个移动信号很差的偏远农场的原因。

IT 书呆子倾向于为各种问题——经济、政治、社会学等等——找到技术解决方案。在大多数情况下，这些解决方案不会使问题变得更糟，但是当问题纯粹是经济性质时，只有影响局势经济状况的解决方案才有可能奏效。当根本问题是监视技术廉价到无法计量时，密码学或智能编程都无法稍微改变局面。

要么我们对监视数据征收重税，要么我们学会热爱全景监狱。

Poul-Henning Kamp ([email protected]) 在成为 Varnish HTTP 缓存软件的首席开发人员之一之前，花了十多年的时间作为 FreeBSD 操作系统的主要开发人员之一，大约五分之一的网络流量在某个时刻会通过该软件。他住在他的故乡丹麦，在那里他以独立承包商的身份谋生，专门从事让计算机做奇怪的事情。他最近的项目之一是一个超级计算机集群，用于阻止欧洲南方天文台 (ESO) 新的 ELT（极大望远镜）的镜子中的星星闪烁。

最初发表于 Queue vol. 19, no. 6—
在数字图书馆中评论本文

更多相关文章

Mark Russinovich, Cédric Fournet, Greg Zaverucha, Josh Benaloh, Brandon Murdoch, Manuel Costa - 机密计算证明
证明是用于完整性和隐私的强大工具，使验证者能够委托计算并仍然验证其正确执行，并使证明者能够对计算的细节保密。 CCP 和 ZKP 都可以实现可靠性和零知识，但存在重要差异。 CCP 依赖于硬件信任假设，这产生了高性能和对证明者的额外保密保护，但对于某些应用程序而言可能是不可接受的。 CCP 通常也更易于使用，特别是对于现有代码，而 ZKP 带有大量的证明者开销，这对于某些应用程序而言可能是不切实际的。

Raphael Auer, Rainer Böhme, Jeremy Clark, Didem Demirag - 央行数字货币的隐私格局
随着世界各地的中央银行转向数字化现金，隐私问题需要提到首位。采取的路径可能取决于每个利益相关者群体的需求：注重隐私的用户、数据持有者和执法部门。

Sutapa Mondal, Mangesh S. Gharote, Sachin P. Lodha - 个人信息隐私
每次与外部服务的在线互动都会创建关于用户的数据，这些数据会被数字化记录和存储。这些外部服务可能是信用卡交易、医疗咨询、人口普查数据收集、选民登记等。尽管表面上收集数据是为了向公民提供更好的服务，但个人的隐私不可避免地会受到威胁。随着互联网覆盖范围的扩大和生成的数据量不断增加，数据保护，特别是保护个人隐私，已变得尤为重要。

Kallista Bonawitz, Peter Kairouz, Brendan McMahan, Daniel Ramage - 联邦学习和隐私
如果数据管理不当，集中式数据收集可能会使个人面临隐私风险，并使组织面临法律风险。联邦学习是一种机器学习设置，其中多个实体在中央服务器或服务提供商的协调下协作解决机器学习问题。每个客户端的原始数据都存储在本地，不会交换或传输；相反，旨在立即聚合的重点更新用于实现学习目标。