2012年4月2日 星期一

微軟更新中英文詞語的意義: 「棄權」 就是 「安全」

微軟對用戶說: 「小乖乖, 你的手如果沒有銬起來,
一不小心就會傷害到自己哦! 這一切都是為了 *安全* 著想, 懂嗎? 微軟經常談論安全。 微軟在消費者心中所深植的安全概念很簡單: 「你不懂電腦。 不懂電腦的人, 常常會做傻事。 做傻事, 很不安全。 讓我幫你把手綁起來, 讓我替你行使各種基本的選擇權。 放棄自主選擇權, 你就會很安全。 因為我最懂, 我幫你做的選擇最安全。」

但事實是: 很多時候微軟真正關心的, 並不是用戶的安全, 而是別人的安全。 過去發生的許多事件一再地證明: 微軟語的真正意義其實是: 你的 「棄權」, 就是別人的 「安全」。

交談中提及 piratebay 的連結? msn 說: 這個連結不安全 從三月底開始, 如果你在 msn 交談當中提及 piratebay 的連結, msn 會告訴你: 「這個連結不安全, 我們把它擋下來了。」 點擊 piratebay 的連結到底會傷害到你的安全, 還是會傷害到你朋友的安全呢? 不是這樣解釋的。 微軟要保護的, 其實是 "企圖管制影片音樂的 MPAA 及 RIAA" 的安全。 身為閱聽者的你願意棄權 (因為你選用微軟的 msn), MPAA 跟 RIAA 的會員廠商才能享有著作權的安全。

去年 10 月微軟要求硬體廠商 (如果想得到 windows 8 認證標章的話, 就必須) 禁止用戶拿自製的光碟、 隨身碟開機。 這個功能美其名為 「secure boot 安全開機」。 如果允許你任意行使開機自主權, 嘗試使用各種不同的作業系統, 這到底會傷害到你的安全、 會傷害到那些 "想要幫你修電腦" 的電腦醫師的安全, 還是會傷害到那些 "幫回收電腦安裝 linux" 的資訊志工的安全呢? 不是這樣解釋的。 微軟要保護的, 其實是微軟自己在市場上的壟斷地位。 身為消費者的你願意棄權 (因為你選用支援微軟的平板電腦), 微軟才能享有壟斷市場的安全。

MS Office 2007 (或更新的版本) 有一個 進階資訊版權管理和原則功能:

2007 Microsoft Office system 版本包含精密的 IRM 功能和原則控制, 設計目的在於協助組織保護數位資訊的安全,以防未經授權的使用。

所以使用 MS Office 2007 或更新的版本來創作文件, 採用內含秘密格式的 docx 格式來存檔, 文件就很保密、 很安全對嗎? 如果你沒空認識 DRM 遙控數位枷鎖, 那麼請簡單自問: 你身為讀者的時間多, 還是身為作者的時間多? MS Office 的 IRM 功能, 大多數時間是在保護你, 還是在限制你? 沒錯, 微軟 聲稱 要保護的, 是文件作者的安全。 但是請注意: 如果收到文件的讀者改用 「沒上手銬」 的 OO.o, 他就可以打開被封鎖的文件了。 所以... 其實 MS Office 的 IRM 機制也並沒有保護到作者的安全。 至於... 更常身為閱讀者的你, 因為你願意棄權 (因為你選用 「銬上微軟 IRM 枷鎖」 的新版 MS Office), 所以愛用新版 Office 的作者才能享有 想像中的 保密安全。 沒看懂嗎? 這個案例的 「安全」 根本就沒有保護到任何人好嗎? 只是藉機幫所有新版 MS Office 用戶 (不論你自己寫作時有沒有用到 IRM 功能) 銬上手銬而已。

Obscurity provides no security, only an illusion of it. -- Gernot Heiser

再早一點, 2007 年 9 月, 網友發現: 即使設定要求 Windows 只通知但不要自動更新, Windows 還是會自動強制更新。 姑且撇開暗中更新的爭議不談, 既然是自動強制更新, 想必跟重要資訊安全漏洞有關囉? Windows 專家發現: 這個更新不但異常地欠缺說明文件 (Knowledge Base article) 而且還會導致那些曾經使用修復功能 (repair) 的電腦無法安裝其他八十多個安全更新。 這種神秘的作風, 到底是在保護誰的安全? 我們很難揣測。 唯一可以確定的是: 這看起來一點都不像是在保護用戶的安全, 反而比較可能是在侵犯用戶的權利 (所以微軟才需要偷偷摸摸地做)。 類似的 「暗中強制更新」 在 2009 年 2010 年 又發生了兩次。 2009 年那一次 Microsoft .NET Framework Assistant 的暗中強制更新當中, 微軟不只動到它自己的產品, 還 偷偷為 firefox 裝了一個外掛套件, 而且禁止用戶反安裝。 2010 年那次暗中強制更新的代碼為 KB982217。 再一次地, 微軟在你的 firefox 上偷偷安裝了奇怪的外掛套件; 再一次地, 這個強迫中獎的套件無法簡單地直接移除。

更早以前, 2006 年的 fairuse4wm 事件 當中, 身為閱聽者的你願意棄權 (因為你接受微軟的安全更新、 願意放棄 fairuse4wm 幫你爭取的影音媒體 「合理使用權」), MPAA 跟 RIAA 的會員廠商才能享有著作權的安全。 有趣的是, 就在 fairuse4wm 事件之前發生的 Sony rootkit 事件當中, 微軟卻反而無視客戶的安全, 對 Sony 的入侵沒有做出任何反應。 這些事我在 「作業系統開機鑰匙不在你家」 已經說過, 就不再重複了。 當初用這種態度面對客戶安全被侵犯的微軟, 現在竟然還自己推出 Microsoft Security Essentials - Windows 免費防毒軟體, 想來實在有點令人不安。

當然, 並不是每次微軟談論 「安全」, 就一定是要你棄權。 微軟呼籲大家支持 ie6countdown, 這件事的確是在顧慮你的安全。 多數具有清楚說明文件 (Knowledge Base article) 的安全更新, 可能也都是真的在顧慮你的安全。 至於那些偷偷摸摸進行、 或是支吾其詞避重就輕的 「安全」 說辭, 你可就要提高警覺了。 請隨時帶著警戒心、 上網搜尋蒐集事實、 留意自己的自主選擇權有沒有被剝奪, 下次當你再聽到微軟談論 「安全」 時, 才能心智清楚地判斷到底微軟心中的主詞是誰。 至於有些 品牌忠誠的肥羊 永遠無法相信微軟會欺騙他、 傷害他 (例如 Office 證照卓越大學 裡面某些 追隨錯誤強權的資訊教授?) 面對這些隨時準備 「棄權」 以換取 「安全」 的人, 我就只能送幾句希特勒的名言給他們了...

編織一個天大的謊言。 要夠簡單, 要不斷地重複。 然後人們就會相信它。
人們不太思考。 這對領袖而言是多麼讚的一件事啊!
抵抗信心永遠比抵抗知識要更加困難。 -- 阿道夫 希特勒

* * * * *

手邊沒電腦; 口頭推薦本文嗎? 可以請您的朋友搜尋 「你棄權 微軟安全」。

18 則留言:

  1. @Ckhung:
    微軟有說x86的windows 8 oem必須提供把secure boot關掉的功能才能有認証標章

    回覆刪除
    回覆
    1. http://msdn.microsoft.com/en-us/library/windows/hardware/hh748200.aspx

      刪除
    2. 是的,在微軟有認證文書規定x86上必須要有開關可以關閉secure boot的功能
      但同時認證文書也規定在ARM上必須要強制開啟secure boot,不可關閉:
      http://www.ubuntu-tw.org/modules/newbb/viewtopic.php?post_id=214226

      刪除
    3. Microsoft不過是想將Linux標記成不安全的作業系統,讓對Linux認識不深的用戶不會有原動力用Windows。

      刪除
    4. 應該說是windows以外的OS

      刪除
  2. 最近在Ubuntu-tw論壇上有這麼一串討論
    http://www.ubuntu-tw.org/modules/newbb/viewtopic.php?post_id=221202#forumpost221202

    台灣最頂尖的資安人員(該人的來歷在文末的回應中有)表示:「Windows是世界上僅次於OpenBSD外最注重安全的作業系統」

    回覆刪除
  3. ms的垃圾程度不輸apple

    回覆刪除
  4. 編謊話那段話應該是納粹宣傳部長Goebbels說的
    http://en.wikiquote.org/wiki/Joseph_Goebbels

    回覆刪除
  5. 謝謝 Joseph。 Goebbels 的那一句 好像比較長耶。 說不定希特勒會說那句話也是受到 Goebbels 影響的...

    @UGP: 資安技術並非我的專長; 不過對我來說, 「到底要不要把自己的安全交到某人的手中?」 對方的 心態 顯然遠遠比他的技術能力更加重要。 如果一個人在 「選擇託付自身安全」 時只看對方的能力而不看心態, 那麼也許他會決定移民到納粹政府 (或北韓政府) 的統治之下, 或者她會選擇嫁給黑幫老大。 也不能說這有什麼錯啦... 就只是... 祝福他啦。

    (大感謝 UGP 一直幫小格帶來流量)

    回覆刪除
    回覆
    1. 我認為linux常常加入極為實驗性且未經充份測試的新功能
      由ckhung的看法,bsd在心態上是否是比較正確的?

      刪除
  6. 其實 linux 版本很多, 每個小眾次文化對於追新的態度都不太相同; 我並不覺得「linux 追新所以不安全」是一個很好的描述耶。 這裡有一堆強調資安的版本。 那位 「台灣最頂尖的資安人員」 可曾拿這些版本跟 windows 比較過? 如果有比較報告文/教學使用文, 就麻煩大家貼一下連結囉。

    回覆刪除
    回覆
    1. @ckhung: 我並不清楚這些強調資安的linux是否安全,但是我認為不同的linux應該要分開來看,畢竟不同的linux內容可能差很多,有的安全有的不安全,有的有non-free blob而有的沒有

      刪除
    2. 相同的 distro 讓不同的人使用, 有的安全有的不安全。有些 distro 強調親和性, 預設安裝較不安全的套件, 不表示使用者不能自行安裝 。free 和 non-free 只是 License 不同, 要穩定選 stable 。ckhung 講的其實很簡單, 「你願不願意微軟幫你把手綁起來, 代替你做選擇 ?」

      刪除
    3. lun說的對極了

      刪除
    4. @ckhung: 我指的是linux kernel

      刪除
  7. @ckhung:我也想知道,常常改版的 Windows kernel 是否安全?還是 base on BSD 的 Apple 心態上比較正確?當朝陽科大率先升級 Windows 8 -----包括平板、桌機。電腦中毒的時候,上課還有粉筆可以用嗎?

    「台灣最頂尖的資安人員」要拿到 Windows 的 kernel 才能和可以自行 compile kernel 的 linux 做比較吧?

    回覆刪除
  8. 哈哈, 如果要談 kernel 那就找錯地方了。 格主離技術已經越來越遠。 (而且就算是熟技術的人, 也會因為 lun 所說的問題而無法討論 windows kernel 的安全性。)

    本文的重點是「以安全為幌子, 對用戶進行管制」的詐騙手法。

    請想像: 掌管你家安全的, 是一家具有多次不良意圖記錄的國際級保全公司。 如果「匿名」堅持的話, 當然可以繼續去鑽研「這家公司跟其他小公司的技術優劣之比較」; 不過我沒興趣奉陪耶。 就像我不會浪費時間去研究詐騙集團所提出來的優匯利率跟其他正當經營的銀行所提供的利率誰家的方案比較划算一樣。

    回覆刪除
  9. Microsoft Said To Give Zero Day Exploits To US Government Before It Patches Them
    https://www.techdirt.com/articles/20130614/02110223467/microsoft-said-to-give-zero-day-exploits-to-us-government-before-it-patches-them.shtml
    http://www.bloomberg.com/news/2013-06-14/u-s-agencies-said-to-swap-data-with-thousands-of-firms.html

    回覆刪除

請見 留言審核及授權政策