误杀,随着病毒数量的飞速增长,安全厂商也在不断完善提高响应病毒速度,量的增长也衍生了误杀的增多。McAfee在四月发生了错误病毒码事件,误杀系统文件,造成不少顾客的电脑强迫关机。此事件在微博或博客上引起不小的声浪;NOD32对于搜狐输入法的误杀同样令人深刻,imm32.dll动态链接库文件的损坏影响了我们日常的使用;还有些彼此如此这般的“误杀”,酿造的杯具最终受益于用户自身,也影响到了用户的感受。
于是乎这些人纷纷开始质疑,这些声称在保护我们的软件,到底是真的保护我们,还是在伤害我们。事实上,除了几乎每台电脑上都会安装的杀毒软件,包括操作系统、浏览器、电子邮件、即时通讯,零零散散我们每天都会用到的各种应用程序,都已备有各种安全上网的功能,提醒我们三思而后行: 要下载、安装、或执行一支程序,我们都会被提醒,这个不明的程序可能有风险,您是不是真的要下载它?真的要安装它?真的要执行它?
连接到一个具有凭证错误的网站,我们也会被提醒,这个网站可能有风险,您是不是真的要进去这个网站?
有朋友用MSN传来一个网址要你过去看看,MSN也会来提醒,这个网页也许有钓鱼的风险,你是不是真的要连接这个网页?
我们每天上的各种网站,也要求你使用更强的密码,甚至还会提醒你要定期去更改密码。
这些所谓的安全保护措施,日日夜夜时时刻刻都在提醒我们,凡事都会有风险,您是不是真的要做这个? 要不要别做那个。乍看之下,彷佛这些“安全建议”,尽忠职守地避免我们受到安全威胁,这应该是好事吧?!但是,讽刺的是,这些怀着善意给我们的“安全建议”,在日渐迷乱的今日,却未必为人们带来好的结果。
根据一篇微软研究使用者行为的论文指出,许多所谓的“安全建议”,虽然都是出自于善心好意,其引发的后果,就经济的角度而言,未必是好的。这些安全建议对IT世界造成的损失,反而大过于它想避免之安全威胁所遭致的损失。
外部性,又称外部成本,是一个经济学上的名词,意指一个人的行为直接影响到他人的利益,却没有承担相对应的义务或获得回报。很多坏事都具有负面的外部性,例如噪音、污染。许多用不正当手段谋取利益的犯罪份子,他们的犯罪手段对社会造成的灾害,时常更甚于其获得的不法利益,他们造成有害的外部成本,转嫁由社会来承担。
在实际生活中,山老鼠盗伐林木,砍下几棵神木或许可以获得几百万的报酬,但是砍伐树木后对于森林与水土保持、生态保育上的灾害,可能不只是数
拿网络上的例子,2008年有份资料指出,一名Spammer,发出了3亿5千万封的垃圾邮件,他所获得的报酬仅仅美金2,731元。但是这3亿5千万封垃圾邮件耗用的网络带宽资源,以及被Spam的人浪费在处理垃圾邮件之时间成本,这些损失恐怕是数十倍于Spammer的所得。
我们就来算算,这一个Spammer造成的外部成本吧!被浪费掉的网络带宽值多少钱不太容易取得,我们就来算算时间成本:
假设这3亿5千万封的垃圾邮件,有1%的机率会进入网络使用者的收信夹中,就有350万封垃圾邮件的垃圾邮件需要被处理,也许是直接删除,或许是回报系统管理员。假设一封信要花上 2 秒钟来处理,就是700万秒,相当于1944个小时。在美国,***时薪是7.25美金,以两倍时薪来计算平均时薪,这1944个小时就相当于28188美金,超过这名Spammer犯罪所得之十倍有余!光是一个Spammer,就浪费掉这个世界美金两万五千元的时间成本,更何况其他浪费掉的网络资源,甚至还有更多Spammer浪费掉的时间成本!
这些例子,都是有害的外部性。有害的外部成本不是由作恶的人来承担,而是转嫁给外部的其他人身上。
然而讽刺的是,想要保护网络使用者免于威胁的“安全建议”,竟然很相似地也有外部成本,转嫁给全世界的网络使用者来分担,这庞大的外部成本,甚至大过于受害者的直接损失。
再者,我们可以来计算这些“安全建议”,为这个世界带来了多少的成本。
假设有某一个安全上的威胁,每年有1%的电脑使用者会因为这个威胁而受害,一旦成为受害者,使用者必须花上10个小时的时间,来清除这个威胁造成的损害。为了避免大家变成这个威胁的受害者,A公司发明了一种“安全建议”,当使用者面临该威胁之风险时,会跳出来“提醒”使用者要三思。请问,A公司的“安全建议”,每天要花使用者多少时间成本,才是经济学上理性的建议呢?
答案是:使用者每天花必须小于 10 x 1% / 365 小时,也就是 0.986 秒,才是一个经济学上理性的建议。
读者,请你回想一下,在你每天使用电脑的过程中,你花在处理各个安全建议的时间,每个建议是否超过 0.986 秒?
遵守这种安全建议,真的是理性的吗?
安全建议理应是要保护数位世界免于威胁的,怎麽反而比这些威胁还要大?
给信息安全社区的反思
当信息安全社区的人士看到电脑使用者对于各种安全建议视若无睹,想都不想就按OK,莫不自以为是地摇头叹息曰:使用者真是无可救药。如今这篇研究论文,正给了信息安全社区一个反省的机会。事实上,使用者比所谓的信息安全专家们,还要来得更为理性。使用者之所以不理会这些安全建议,正是因为这些安全建议,没有做好风险的评估,不说明白威胁的发生机率,不说明白威胁发生后的伤害大小,没有办法协助使用者做好损益分析,莫怪使用者不懂,这是使用者对这些不理性之安全建议的抗议。
身为信息安全社区的一员,这对我自己也是当头棒喝,我的意思决不是叫使用者们无需理会安全建议,而是要提醒信息安全社区,我们真的做的还不够好,我们的建议既不够有效、也没能好好地降低顾客的损失。既然口口声声说要保护这IT世界的安全,我们的思考模式不应是挂念着哪个威胁没拦到该怎么办, 而应该要时时刻刻以使用者的时间与成本为念。否则,自以为是保国安民的建议,失去了使用者为中心的体认,反倒成为劳民伤财的坏话。
【编辑推荐】
