用戶哭了 微軟火了

《數位日內瓦公約》(Digital Geneva Convention),若不是今年母親節週末爆發的「真想哭」(Wanna Cry)勒索軟體全球肆虐,許多人可能還不知道有這麼一個公約在提倡。

那是今年二月在金山舉辦的網路安全年度會議RSA Conference上,微軟總裁兼首席法務長Brad Smith所提出來的。他說正如長期以來保護戰時平民的《日內瓦第四公約(Fourth Geneva Convention)一樣,現在也很需要個《數位日內瓦公約》,以保護網路攻擊烽火下的無辜用戶。他舉例紅十字會在《日內瓦第四公約》起的正面作用,各科技公司也該合作為用戶提供積極協助,創建一個「數位瑞士」(Digital Switzerland)來庇護他們免於攻擊,並贏得世界信任。

這個偉大理想包含六大領域:一、絕不針對科技公司私營部門或關鍵基礎設施;二、努力協助私營部門從事件中發現、遏制、回應及恢復;三、向供應商報告漏洞,而不是囤積銷售或利用它們;四、限制開發網路武器,確保已開發的武器被限制、精且不可再演進與利用;五、致力於防止網路武器擴散;六、限制擊行為,避免演變成大規模事件

這份公約看起來像是防止核擴散、禁止使用與囤積大規模殺傷武器等戰爭相關條款的綜合體,讓網路時代下的你我驚覺,除非上網,否則大家都是駭客刀俎下的魚肉Smith在會議上還呼籲世界各國政府要齊聚一堂,共同建立網路安全國際規範,並行有約束力的公約。事實上,世界各國在朝這方向努力,例如大家已有共識禁止政府部門,利用資訊及通訊科技來從事惡意行為,或毀壞它國的重要基礎設施。但從「真想哭」事件的病毒源頭看,美國聯邦政府部門實在讓Smith傷心,難怪他會立即就此事做出公開聲明。

這起事件直接受害者電腦用戶,但身為他們的作業系統供應商,微軟一點不好過,因為有些人就對比說幸好用的是蘋果而不是微軟,但微軟第一時間的反應的確令人稱讚,至少總裁在四十八小時內的發言與處置,便值得包括民航業在內的許多產業學習。他於事件爆發後兩天的514日,在微軟官網發表《迫切需要集體合作來維護人們上網安全:上週網路攻擊事件的學習,他代表微軟做了三大檢討:

一、自我檢討:做為當事人之的微軟公司本身,當然有最優先責任來解決這問題。內容雖強調微軟內部有多少人在做網路安全工作,相關部門與項目琳瑯滿目,但仍有可能抵擋不住無縫不鑽的惡意攻擊,所以竭盡所能地幫助受害用戶,即使他們多是使用早已不支援的作業系統,或根本忽略微軟老早就發出的漏洞補丁,並將這次經驗與世界各國政府、執法單位與客戶分享。

二、戶檢討:他強調了這起事件是個公司與用戶都責任的標,因為這個漏洞微軟早於兩個月前就發布補丁堵漏,但用戶本身卻忽視定期更新的重要性,導致本可避免的危害發生。此外,用過去的刀斧對抗現代核武行不通的,所以保持作業系統仍在支援與隨時更新,是戶端應的責任。

三、政府檢討:這可能是Smith在全篇聲明中最想說的部份,為什麼政府機關囤積那麼多民間公司漏洞武器?不但不主動告知幫,還造成引起大規模傷害,這點完全違背Smith積極提倡的《數位日內瓦公約》精神,也難怪他舉出美軍戰斧巡弋彈被竊事件來做比,可見他心中有多火他在聲明中指名道姓地批評中情局與國安局的囤積武器行為,且要不是維基解密披露,他們與大眾可能都還蒙在鼓裡,於是寫道:「最近這起攻擊事件代表了一種,威脅當今世界網路安全的兩大最無意且最令人憂心的連結:國家行為與組織犯罪。」

微軟的怒火令人想起去年聯邦調查局上蘋果事件,聯調局使出渾身解數要蘋果就範,幫忙San Bernardino恐攻犯iPhone手機,蘋果抵死不從地堅定站在用戶這一邊,當時還讓全球果迷們為之傾倒,就連它牌手機持有者也對蘋果硬漢作風豎起大拇指,儼然是數位時代的約翰韋恩(John Wayne)。但從今天這起勒索事件回頭看,好像也不得不蘋果的先見之明,一旦幫了聯邦政府,堅守多年的潘朵拉盒子可能就被打開,他們用起盒子內的漏洞武器可是毫不手軟以後就「國家安全」需要自己來而不再求廠商了。

連續兩年,連續兩大科技龍頭都對聯邦不滿,其它不見報的小廠小事件就不必說了,國家安全總是聯邦部門拿來擋眾口的盾牌,但通報廠商一聲,尤其是像微軟這種「大到不能亂」的公司,有那麼難說出口嗎?還是覺得瞞著不說未來好辦事?一旦類似事件多了,從公司火大醞釀民怨聯邦可真要想想這樣明智嗎?

記者 / Pegasus J. Juan

Leave a Reply

This site uses Akismet to reduce spam. Learn how your comment data is processed.