殺毒軟件安全建議 對用戶真安全嗎?
誤殺,隨著病毒數量的飛速增長,安全廠商也在不斷完善提高響應病毒速度,量的增長也衍生了誤殺的增多。McAfee在四月發生了錯誤病毒碼事件,誤殺系統文件,造成不少顧客的電腦強迫關機。此事件在微博或博客上引起不小的聲浪;NOD32對于搜狐輸入法的誤殺同樣令人深刻,imm32.dll動態鏈接庫文件的損壞影響了我們日常的使用;還有些彼此如此這般的“誤殺”,釀造的杯具最終受益于用戶自身,也影響到了用戶的感受。
于是乎這些人紛紛開始質疑,這些聲稱在保護我們的軟件,到底是真的保護我們,還是在傷害我們。事實上,除了幾乎每臺電腦上都會安裝的殺毒軟件,包括操作系統、瀏覽器、電子郵件、即時通訊,零零散散我們每天都會用到的各種應用程序,都已備有各種安全上網的功能,提醒我們三思而后行: 要下載、安裝、或執行一支程序,我們都會被提醒,這個不明的程序可能有風險,您是不是真的要下載它?真的要安裝它?真的要執行它?
連接到一個具有憑證錯誤的網站,我們也會被提醒,這個網站可能有風險,您是不是真的要進去這個網站?
有朋友用MSN傳來一個網址要你過去看看,MSN也會來提醒,這個網頁也許有釣魚的風險,你是不是真的要連接這個網頁?
我們每天上的各種網站,也要求你使用更強的密碼,甚至還會提醒你要定期去更改密碼。
這些所謂的安全保護措施,日日夜夜時時刻刻都在提醒我們,凡事都會有風險,您是不是真的要做這個? 要不要別做那個。乍看之下,彷佛這些“安全建議”,盡忠職守地避免我們受到安全威脅,這應該是好事吧?!但是,諷刺的是,這些懷著善意給我們的“安全建議”,在日漸迷亂的今日,卻未必為人們帶來好的結果。
根據一篇微軟研究使用者行為的論文指出,許多所謂的“安全建議”,雖然都是出自于善心好意,其引發的后果,就經濟的角度而言,未必是好的。這些安全建議對IT世界造成的損失,反而大過于它想避免之安全威脅所遭致的損失。
外部性,又稱外部成本,是一個經濟學上的名詞,意指一個人的行為直接影響到他人的利益,卻沒有承擔相對應的義務或獲得回報。很多壞事都具有負面的外部性,例如噪音、污染。許多用不正當手段謀取利益的犯罪份子,他們的犯罪手段對社會造成的災害,時常更甚于其獲得的不法利益,他們造成有害的外部成本,轉嫁由社會來承擔。
在實際生活中,山老鼠盜伐林木,砍下幾棵神木或許可以獲得幾百萬的報酬,但是砍伐樹木后對于森林與水土保持、生態保育上的災害,可能不只是數
拿網絡上的例子,2008年有份資料指出,一名Spammer,發出了3億5千萬封的垃圾郵件,他所獲得的報酬僅僅美金2,731元。但是這3億5千萬封垃圾郵件耗用的網絡帶寬資源,以及被Spam的人浪費在處理垃圾郵件之時間成本,這些損失恐怕是數十倍于Spammer的所得。
我們就來算算,這一個Spammer造成的外部成本吧!被浪費掉的網絡帶寬值多少錢不太容易取得,我們就來算算時間成本:
假設這3億5千萬封的垃圾郵件,有1%的機率會進入網絡使用者的收信夾中,就有350萬封垃圾郵件的垃圾郵件需要被處理,也許是直接刪除,或許是回報系統管理員。假設一封信要花上 2 秒鐘來處理,就是700萬秒,相當于1944個小時。在美國,***時薪是7.25美金,以兩倍時薪來計算平均時薪,這1944個小時就相當于28188美金,超過這名Spammer犯罪所得之十倍有余!光是一個Spammer,就浪費掉這個世界美金兩萬五千元的時間成本,更何況其他浪費掉的網絡資源,甚至還有更多Spammer浪費掉的時間成本!
這些例子,都是有害的外部性。有害的外部成本不是由作惡的人來承擔,而是轉嫁給外部的其他人身上。
然而諷刺的是,想要保護網絡使用者免于威脅的“安全建議”,竟然很相似地也有外部成本,轉嫁給全世界的網絡使用者來分擔,這龐大的外部成本,甚至大過于受害者的直接損失。
再者,我們可以來計算這些“安全建議”,為這個世界帶來了多少的成本。
假設有某一個安全上的威脅,每年有1%的電腦使用者會因為這個威脅而受害,一旦成為受害者,使用者必須花上10個小時的時間,來清除這個威脅造成的損害。為了避免大家變成這個威脅的受害者,A公司發明了一種“安全建議”,當使用者面臨該威脅之風險時,會跳出來“提醒”使用者要三思。請問,A公司的“安全建議”,每天要花使用者多少時間成本,才是經濟學上理性的建議呢?
答案是:使用者每天花必須小于 10 x 1% / 365 小時,也就是 0.986 秒,才是一個經濟學上理性的建議。
讀者,請你回想一下,在你每天使用電腦的過程中,你花在處理各個安全建議的時間,每個建議是否超過 0.986 秒?
遵守這種安全建議,真的是理性的嗎?
安全建議理應是要保護數位世界免于威脅的,怎麼反而比這些威脅還要大?
給信息安全社區的反思
當信息安全社區的人士看到電腦使用者對于各種安全建議視若無睹,想都不想就按OK,莫不自以為是地搖頭嘆息曰:使用者真是無可救藥。如今這篇研究論文,正給了信息安全社區一個反省的機會。事實上,使用者比所謂的信息安全專家們,還要來得更為理性。使用者之所以不理會這些安全建議,正是因為這些安全建議,沒有做好風險的評估,不說明白威脅的發生機率,不說明白威脅發生后的傷害大小,沒有辦法協助使用者做好損益分析,莫怪使用者不懂,這是使用者對這些不理性之安全建議的抗議。
身為信息安全社區的一員,這對我自己也是當頭棒喝,我的意思決不是叫使用者們無需理會安全建議,而是要提醒信息安全社區,我們真的做的還不夠好,我們的建議既不夠有效、也沒能好好地降低顧客的損失。既然口口聲聲說要保護這IT世界的安全,我們的思考模式不應是掛念著哪個威脅沒攔到該怎么辦, 而應該要時時刻刻以使用者的時間與成本為念。否則,自以為是保國安民的建議,失去了使用者為中心的體認,反倒成為勞民傷財的壞話。
【編輯推薦】
