Security theater (維安劇場) 一詞首見於資訊安全專家 Bruce Schneier 2003 年所出版的著作 Beyond Fear: Thinking Sensibly about Security in an Uncertain World [超越恐懼: 理性思考不確定世界當中的安全議題]。 它指的是這樣的作為: 煞有介事地佈置各種道具、 門禁、 安檢關卡, 儼然一付嚴陣以待隨時準備好要應付恐怖攻擊之類危險事件的態勢; 但其實戲劇效果遠大於真正的維安效果。 美國自從 2001 年 9/11 事件之後, 國土安全部 (Department of Homeland Security) 及其下所轄的交通安全局 (Transportation Security Administration) 就不斷推出許多侵犯人權與隱私的 「維安措施」, 在國內引起極大的抗議, 連主流媒體 ( NY Times、 CBS、 ABC) 也都用 "security theater" 來描述兩者的作為。
近日美國宣佈臺灣成為免簽國家。 為了配合美國反恐, 移民署將提昇相關軟硬體設備, 以強化出入境維安工作。 臺灣機場是否即將配合美國 TSA 佈置 「維安劇場」, 而公民的人權與隱私是否也將悄悄地在一片免簽叫好聲中逐漸被侵蝕?
一、 概念
雖然我沒讀過 Beyond Fear 這本書, 但就像任何關心資安新聞的人一樣, 不時會讀到 Schneier 部落格的相關文章。 他是資訊安全界的神人啊! 以下摘譯封面介紹, 順便幫這本書廣告一下:
- 讓機長全副武裝有助於航空安全嗎?
- 電子投票會讓選舉結果變得比較精確嗎?
- 線上信用卡購物比較不安全嗎?
- 全國性的身份證系統可以降低恐怖攻擊的風險嗎?
如果你讀新聞或聽名嘴, 可能會認為以上皆是; 但事實可能出人意表。 資訊安全專家 Bruce Schneier 畢生致力於 「安全」 的真實機制 ... 本書透視炒作, 直指真正的重點, 解釋我們如何理性面對安全議題。 ... Schneier 以他諮商世界級企業和政治人物的豐富經驗闡述: 務實的安全措施其實可能簡單到令人跌破眼鏡 ...。
安全並不神秘, 而且也不像大家想像的那麼困難。 最困難的是: 如何區別何者為炒作、 何者是真正重要的事? ...
Schneier 邀請讀者跨越 「恐懼」、 理性思考安全議題。 他解釋為什麼監視錄影器、 警衛、 有相片的證件並不足以保證安全, 為什麼昂貴的科技產品經常反而會掩蓋了真正的安全議題。 他從歷史、 科學、 運動、 電影、 新聞裡面舉例, 列出保護安全的基本思維與行動原則 -- 而這些都是每個人自己可以理解也可以實踐的。 Schneier 不亂拉警報; 他推薦的 「運用常識」 的策略可以帶來立即的效益。 你對自己平日所做的安全決策會更加有信心、 對於別人替你決定的安全政策會獲得更深刻的洞見。 ...
資訊領域有很多 (小格讀者可能熟悉的) 「維安劇場」 的例子。 臺灣銀行界吹捧 「高安全性網路刷卡驗證碼」, 結果反而害顧客 遭盜刷成冤大頭, 這一點也不令人意外。 從 2010 年初 google 因 ie 漏洞遭駭 到 2011 年中的 中韓潰客入侵行政院 再到上個月發生的 IE 7/8/9 第0日安全漏洞, 我們一再被現實提醒: 資訊安全的首要任務應該是處理 IE-only 的問題, 因為步上雲端的交通工具, 是與外界接觸的第一線, 就像人的皮膚一樣重要。 不幸地是, 除了 玉山銀行 之外, 全臺灣其他銀行卻繼續裝死、 繼續強迫用戶使用 IE; 而 卓越的大學也仍舊不敢談論真正的資安問題 甚至繼續用著 不安全的會計系統。 下一次你再看到銀行與大學 (或是 國科會) 推出最新最炫的資訊安全產品, 最好記得帶著看戲的心情欣賞其 「維安劇場」 的演出, 以免過度期待、 為自己的錢包/隱私/電腦帶來傷害。
上述維安劇場尚且只是推銷無效的產品、 忽略真實的安全; 但 DRM 與實現 "信任運算" 機制的 Windows 8 secure boot 則是更積極地以 「維護安全」 之名加碼剝奪消費者的自主權。
核能安全領域也有案例。 「美國核電廠維安措施只是維安劇場」 的說法, 最近又多了一個例證。 今年七月, 82 歲的修女、 63 歲的園丁、 57 歲的油漆工三人 成功地闖入核電廠 噴漆抗議、 表達反核。
二、 案例
機場維安比較像 DRM 與 Windows 8 secure boot -- 「安全」 其實是要你 「棄權」。 首先看看有哪些東西曾經被 TSA 沒收。 請用以下關鍵詞分別跟 TSA 一起搜尋: cupcake (因為她的小蛋糕是膠狀物)、 purse (因為小女孩的錢包上繡有槍枝)、 T-shirt (因為上面有反 TSA 的標語)、 cheese (因為有些爆裂物看起來像起士)、 play-doh (因為有些爆裂物看起來有點像這種類似黏土的玩具)、 lightsaber (因為這是帝國反叛軍絕地武士的武器, 真是太可怖了啊啊啊!) (搜尋範例: 「tsa lightsaber」)
東西被沒收就算了; 隱私被侵犯呢? 通過美國海關時, 你有兩個選擇: 接受穿透衣服全身看光光的 X 光掃描 (body scan) 或接受海關上下其手全身摸透透 (pat down)。 搜尋 「tsa pat down」 可以看到 孕婦、 坐輪椅的小孩、 受驚嚇的女性、 膀胱癌患者、 ... 的故事。 對於 性侵受害者 而言, 這更是可怕的二度傷害。 該文也指出: TSA 刻意要用過度、 侵犯性、 近乎懲罰性的 pat down 逼大家接受 body scan。
但是 body scan 真的有助於找出爆裂物嗎? 國會一份研究報告顯示: 八千七百萬美元的 Body Scanner 白花了。 其實部落客早就親身證實有方法可以對付 body scanner -- 請搜尋 「defeat tsa scanner」。 隱私團體抗議 body scan, 法官要求 TSA 舉辦公聽會, TSA 裝死、 不理會法官判決。
既然效果不佳, 為什麼 TSA 還是堅持要使用 body scanner 呢? 原來國土安全部前官員 Michael Chertoff 跟廠商關係密切, 到後來甚至不避諱地替 Rapiscan Systems 工作; 而這些廠商也大力金援、 甚至政治獻金加碼兩倍, 要求立法採購機場安檢器材 ( 更詳盡的利益關係)
還有一些人, 連選擇被羞辱換取坐飛機權利的機會都沒有。 禁飛黑名單在一年之內 從1萬人驟增至2萬人 其中包含500名美國人; 但是黑名單不公開、 政府也不會回答你是否在黑名單當中。 只有當你被禁飛時, 才會知道自己可能在黑名單當中 -- 就像這位一歲半的小女孩一樣。
另一個爭議是: Body scanner 的幅射劑量是否過高? 是否危及機場常客的健康? 但是 DHS 與 TSA 不僅不願意釋出儀器檢測數據, 國土安全部秘書長 Janet Napolitano 甚至 公然說謊, 把國家標準局 「曾檢測一部機器」 的事實扭曲成 「確認這型機器安全」。 DHS 與 TSA 一直不願意處理這個問題, 最先受傷害的恐怕是長期曝露在不明劑量幅射之下的安檢官員自己。
刀子和手槍輕鬆過關、 甚至官員積極協助走私毒品、 TSA 官員順手牽走旅客 iPad、 ... 一件又一件的醜聞明白顯示 TSA 真正關心的根本就不是國人的安危, 而是如何無限擴張其權限, 並營造恐懼的氣氛。
三、 有根據的研究以及真實的成效
今年三月, 經濟學人辦了一場三回合的線上辯論,
對打的是主張 「後 9/11 維安措施弊多於利」 的
Bruce Schneier 跟主張要繼續強化維安措施的 TSA
創建人也曾是 TSA 首腦
頭號人物 Kip Hawley。 本節內容如果沒有特別給連結,
主要就是摘要 [以及貴哥風格的略微加味轉述] 自
這場辯論 當中 Bruce Schneier
的發言以及
浮華世界的專題報導。
為什麼我懶得摘要 Kip Hawley 的說法?
因為 (沒錯, 我主觀認定) 他的論點貧乏、
只想製造民眾的恐懼感。
也請數數看他給了幾個參考連結。
連結數量多並不代表比較可信;
不過 Hawley 如果連三五個有力案例與研究結果都提不出來,
那麼道理在誰那邊就很明顯了。
TSA 自己公告的 「年度十大查獲」 顯示: 沒有一件與恐怖攻擊有關 -- 如果有的話, 他們早就開記者會並要求國會提高預算了。 TSA 的作為與維安規定只會回顧過去經驗; 但是當所有警力都在查緝保特瓶跟鞋子的時候, 你想真正的恐怖攻擊者會怎麼做? 最不可思議的是: TSA 把 「桀傲不馴的態度」 (arrogant) 視為可疑行為 -- 這會是恐怖攻擊者保持低調的方式嗎?
把精力鎖定在機場、 鎖定在特定的物品, 是很糟的反恐方式。 恐怖攻擊者總是會避開當前的維安重點、 挑選那些維安警力所忽略的場所 -- 到處都有捷運站、 人潮密集的商場、 ... -- 和維安警力所忽略的物品。 無限上綱提高機場安全檢查並非對付恐怖攻擊的最佳方式; 強化情報、 偵查、 危機處理才是。 從 2007 年的訪談到現在, TSA 一直不願意正面回應問題, 甚至也不曾進行標準的成本分析。
9/11 之後的新措施, 只有三件事真正有助於提高飛安: (1) 隔絕並強化駕駛艙 (2) 確認每件行李的主人都在飛機上 (3) 教導乘客要反擊。 除此之外, 多數侵犯人權的措施都只是 security theater。 學界的分析顯示: 9/11 以來的維安措施並未有效提高機場安全。 最近成功阻止的恐怖事件 (例如內褲炸彈客事件與液體炸彈客事件) 都顯示: 9/11 之後的嚴厲措施一點用也沒有; 真正阻擋炸彈客的, 其實是舊的維安機制及情蒐。
那麼這些強化的維安措施到底成就了什麼? 2004 年的數據顯示: 每位旅客平均多浪費 19.5 分鐘跟 TSA 打交道, 也可以換算成每年一百億美元的經濟損失。 許多人為了避免跟 TSA 打交道而改選擇開車, 每年因此而車禍死亡的人數增加 500 人。 以上數字都還只把美國人的損失算進去而已。
公民自由的無形傷害更是難以量化估計。 機場儼然成了人權禁區: 身為旅客, 你無權拒絕搜身、 你的財產可能被沒收、 你不能匿名旅行、 你不能穿上抗議 TSA 文句的衣服、 不能開 TSA 的玩笑。 [貴註: 所以只好用隱晦的方式「刺激」安檢人員或在網路上搞笑, 例如 吃了威而鋼再上路 或寫諷刺文 「TSA 搜身太刺激, 男子射精被捕」]
但是如果心存懷疑的記者在安全專家的指導之下, 就可以自己用影像處理軟體跟雷射印表機印出一張假機票闖進登機區, 那麼這一切又所為何來呢?
四、 停止配合恐怖份子製造恐懼
TSA 官員這些 「沒有特定對象、 恣意攔截旅客強行搜身」 的惡行越來越囂張 -- 反恐搜身蔓延到火車站跟公車站: 喬治亞 (而且 TSA 還公然說謊)、 北卡、 休士頓、 ... 陰謀論者 Al Martin 曾經 指稱: 布希當初聘用 東德國家安全部 Stasi 頭子 Markus Wolf 作為美國 DHS 顧問, 目的就是要建立一個警察國家。 不論陰 Al Martin 的指控是否屬實, TSA 的行為確實越來越像 Stasi。
恐怖主義真正的目標並不是製造墜機、 甚至並不是要製造人員傷亡。 恐怖主義真正的目標是要讓我們的社會陷入恐慌。
TSA 之流的各種行動在人心種下猜忌的種子、 剝奪我們的隱私、 在許多案例裡甚至剝奪我們的尊嚴 (貴註: 哭泣的女子)、 剝奪我們的權利、 用各種沒有原則/講不出道理的規定騷擾我們、 又不斷地提醒我們: 「如果不接受這一切, 就等著死在恐怖份子的手裡吧!」 TSA 的所作所為, 恰恰是照著恐怖份子所寫的劇本演出, 製造社會恐慌。
-- Bruce Schneier
我個人認為: 這幾年來美國已經從自由的天堂迅速淪為 [ 靜靜跳舞都會被逮捕 的] 警察國家。 而臺灣多數人卻還不知道美國從 9/11 以來, 反恐與反盜版文宣塑造了什麼氣氛 (當然, 也有可能是因為我國的掌權者樂意配合美國所設下的集權機制) 先有 盜版三振法、 再有 封鎖 pps、 TPP, 現在又在免簽的糖衣底下包藏警察國家的 「維安」 架構, 美國政府意圖實質掌控臺灣的動作頻頻不斷。 至於失去良知[或判斷力]的媒體及數字取代思考的大學, 到現在還是持續配合美國利益團體對大眾智財洗腦。 如果臺灣民眾珍惜我們現在享有的自由民主, 最好能夠從免簽迷湯裡面醒過來, 要趁我們還有言論自由的時候, 站出來引用網路上搜尋易得的事實, 回應一下即將在主流媒體及大學裡上演的反恐洗腦和 「維安劇場」 security theater。
(本文也刊載於 泛科學)
* * * * *
手邊沒電腦; 口頭推薦本文嗎? 可以請您的朋友搜尋 「」 或 「」。
看完之後覺得Security theater改成Security tragedy也另有一番風味,簡寫相同而且更加押韻了 ˊ,_>ˋ
回覆刪除「下一次你再看到銀行與大學 (或是 國科會) 推出最新最炫的資訊安全產品...帶著看戲的心情欣賞其 「維安劇場」 的演出」
這段也可以搭上此熱門詞的潮流:坐等悲劇。
Theater of Security Tragedy?
刪除對於國科會的網站,我使用時腦中老是浮現「怎麼會有這麼白痴的設計呢???」的疑問。
回覆刪除如果「國科會」真的可以代表一個國家它資訊科技發展的程度,那台灣真的落後到一種令人憂心的地步!!
台灣科技業本來就很落後,有什麼好奇怪的
回覆刪除心得是: 免簽 == 免出國
回覆刪除「維安劇場」和「口號治國」是一樣的,只是用來轉移民眾的注意力。如果務實的安全措施可以簡單到令人跌破眼鏡,民眾將不再支持強人政府和龐大的維安預算。
回覆刪除看看日本民眾對北韓試射飛彈的反應,台灣的媒體只會關心股市。
甲骨文承認Java安全漏洞 稱“很快”將修復
回覆刪除http://news.cnyes.com/Content/20130113/KH5HUV9WTGMP8.shtml
JAVA 貌似並不安全。
java 這種商用的 platform 與 .net 都是不安全的,
刪除