Eric 今日美政 Section 230 是什么鬼? 在关于发放纾困资金的提案中,我们看到了议会和白宫之间眼花缭乱的交锋。简单说,民主党要求多发放,而共和党则要求少发放。代表行政分支的财政部长 Mnuchin 提出每人发 600 美元,最终得到两党支持。但川普又突然反对,要求提高到 2000 美元/人。这下民主党非常高兴,立刻在众议院投票通过,将球踢到了共和党控制的参议院脚下。川普突然和自己的参议院战友们对抗,要求他们立刻通过此提案。与此同时,川普还否决了高达 7400 亿美元的国防预算。但川普的这一否决又被众议院再次推翻,这又要看参议院是否也反对川普。 看上去非常眼花缭乱。但其中有一个核心的问题。令人悲哀的是,这一核心问题,根本与钱无关。 在议会政治中,各利益集团和党派,相互讨价还价是一种常态。这有点类似我小时候自由市场的买卖双方进行的讨价还价。“我要这块瘦肉”,“行,但是如果必须搭配给你一块肥肉,否则我吃亏。” 同样道理,如果要我共和党同意你民主党的一个提案,那么你民主党的提案中,必须搭配我共和党的一个主张。这是美国政治的一种常态。看上去大家讨价还价的内容是提案本身,但很可能大家实际关心的却是那个搭配进去的条款。 在川普一再的否决议会的拨款提案中,他实际上最关心的,是一条叫 Section 230 的法案。无论是他否决纾困法案,还是否决国防拨款,川普都公开承认,最关键的问题是,这两个提案中,都不包含推翻 Section 230 的内容。换句话说,不是我不卖给你这块瘦肉,而是我必须搭配卖给你一块肥肉。你不接受肥肉,瘦肉我也不卖。 这条 Section 230 是在美国 1996 年通过的 CDA (Communications Decency Act)中的一个小节。这一小节在美国互联网建设历史上,有里程碑般的作用。曾有一句话叫 “26 个字创造了美国互联网”。这 26 个字,就来自 Section 230 中的 C1 条款。这一条款规定:“互联网服务的提供商,如果其发布的内容来自第三方,则互联网服务商不被作为出版方,无须为内容负责。” 这就是说,你在脸书上发一条信息或者观点,脸书公司不为这一内容负责。这就使得互联网服务提供商免于传统媒体可能面临的法律诉讼。比如如果纽约时报发一篇稿件攻击某个人,那么这个人可以起诉纽约时报(Sullivan v NY times,1964年)。但在脸书推特上出现类似攻击,你只能起诉发布者,而社媒平台提供商脸书或者推特公司,不为此负责。 可以说,如果没有这一条款,早期互联网社交媒体根本没有可能出现。为后面叙事,我这里先定义这一条款为 “免责权”。 Section 230 还有另一条非常重要的内容,就是 C2 条款 “Good…...
Month: December 2020
坟墓般的危险
Eric 今日美政坟墓般的危险最近,美国网络及基础建设安全局 CISA 称这一次对美国的大规模网络攻击为 “坟墓般的危险” Grave risk。这一次攻击的目标包括美国的一些大型公司,和美国财政部。受到攻击的公司包括 Cisco,Intel,Nvidia 等巨头电脑设备公司,但最令人担心的还是美国的政府部门,这一攻击已经侵入了财政部最高官员的 Email 系统。美国财政部是一个非常敏感的部门,这不仅因为他们负责和美联储协调一些重要的市场调节政策,他们还负责对一些国家的制裁做出评估,美国政府将根据财政部的评估结果来制定制裁的范围和力度。这是一个不但影响美国国内经济,也会影响美国外交手段的部门。这次攻击是怎么进行的呢?攻击方很聪明地利用了一家软件公司 SolarWinds 的产品中的一个漏洞。SolarWinds 本身是一家网络安全软件提供商,是美国很多大型商业机构和美国政府的网络安全解决方案提供商。这一软件产品本身,是用来监控网络攻击的。美国很多大公司,包括微软,都在使用他们的这一产品。美国的很多政府部门,也使用这一产品保证网络安全。攻陷了这一产品,就好像放了一个监听器在负责部门安全的特工身上,黑客巧妙地利用了这一软件的漏洞,先入侵了 SolarWinds 公司,潜伏下来。然后,当这一软件在客户端,也就是那些大商业公司和美国政府部门电脑上,进行自动升级的时候(这时候一定会和 SolarWinds 公司数据库连线),黑客可通过连线和升级程序,顺利突入并获取目标电脑里的资料。目前还不清楚他们仅仅是盗取,还是篡改了资料本身。因为受害者中包括洛斯阿拉莫斯国家实验室,这是负责美国原子弹研究的一个重要部门,它的首任主任就是美国原子弹之父 Robert Oppenheimer。这次攻击是如何被发现的呢?12 月早些时候,非常类似的手段也在攻击一家叫 Fire Eye 的网络安全公司(和 SolarWinds 是同行),被 FireEye 公司发现。美国人才恍然大悟,有人在利用网络监控软件从软件供应商一端入侵目标电脑。这才发现,这一攻击实际上从今年 3 月就开始了。也就是说,这一来自合格的安全的软件供应商的攻击,完全出乎美国网络安全部门的预料。这次攻击没有触发任何美国情报部门的警报。这包括在 2016 年之后设立的专门反网络入侵的 CISA。普利兹奖的获得者,“完美武器:网络时代的战争、破坏和恐惧” 一书的作者,美国著名记者 David Sanger 表示,这是“美国情报史上最大的失败”。目前查明的受到影响的公司,超过 18000 家,最终的数字据估计可能高达 33000 家。目前大多数网络安全机构认为这一极其复杂和大范围的攻击是来自另一个国家政府,而不会是个人行为。SVR(俄罗斯对外情报局),KGB 的继承者,2016 年入侵民主党邮件服务器的机构,被绝大多数美国网络安全机构认为是这一次攻击的始作俑者。这是因为在攻击软件公司时使用的软件工具,和以往一个著名的俄罗斯黑客集团 Cozy Bear 非常类似。而 Cozy Bear 就是 SVR 的一个执行团体。俄罗斯入侵美国网络的行为从 1990 年代开始,就几乎没有中断过。美国的国务卿 Pompeo 表示,“非常清楚,就是俄罗斯干的”。即将离任的司法部长…...
