7月13日国际报道:作为微软首席隐私战略师,Peter Cullen任务繁重。
微软软件例行公事的从世界各地,成千上万台电脑上手机信息,悄无声息的,很多时候,用户对此毫无所知。
收集此类的隐私信息似乎是件扰民的事情,但微软却表示,这么做有有充足的理由-微软获得的用户信息越多,他们就能够更好的保护用户。
例如,微软支持的“发送者身份”系统(Sender ID)就会检查电子邮件的信头,以确保邮件不是来自垃圾邮件发送者。微软声称,这项技术能够帮助人们避免钓鱼式邮件欺诈攻击。
以下是Cullen的专访,他谈到了微软如何反击身份信息大盗,日渐严重的钓鱼式邮件攻击以及从来就没有停息过的垃圾邮件问题。
你如何看待自己首席安全官的角色?
Cullen:从核心定义层面上讲,安全就是如何去保持信息的机密,而隐私是信息的使用问题。但两者紧密相联。以钓鱼式邮件攻击为例,它起始于一种安全活动-用户的信息被不恰当的收集-结束于用户的信息被滥用,也许对于身份信息窃贼来说,这是一个隐私问题。全世界,所有的隐私信息都有一种安全的成分在里面。
谈到身份信息失窃,微软能够做些什么,如何帮助人们避免这种事情的发生?
Cullen:我们采取了很多种方法。以应对垃圾邮件问题为例。我们从4个方面来应对这一问题。一是技术方案。二是教育,其中包括对用户的教育。
另外一个领域就是,我们致力于和业内厂商建立合作关系。因此,如果我们开始与垃圾邮件作战,那么其它业内公司会和我们站在一起。
最后是政府,尤其是与政府的执法机构来应对垃圾邮件。我们在全球已经采取了120项行动,来对付垃圾邮件发送者,钓鱼式邮件传播者以及间谍软件制造商。
两年之前,垃圾邮件的内容还是诸如商品广告宣传这样的内容,如今,垃圾邮件已经变为间谍软件与钓鱼式攻击的载体。因此,我们将间谍软件看作是垃圾邮件的一个组成部分。我们也关注钓鱼式攻击问题,但它仍然属于垃圾邮件问题的组成部分。当我们封锁垃圾邮件,钓鱼式邮件攻击就很难发生。
从隐私角度上讲,最大的问题是什么?是钓鱼式邮件攻击吗?
Cullen:很难讲什么是最大的问题。一年前,“钓鱼式邮件攻击”这种名词还不存在。间谍软件在一年之前还主要是跟踪用户的上网习惯,它们的目的是为用户发送广告。而现在,间谍软件已经内藏键盘记录器。
以垃圾邮件为例。我们每天在MSN及其Outlook上要封锁近32亿封垃圾邮件,但是,仍然有65%的电子邮件是垃圾邮件。这就是我们为何认为整个“发送者身份”系统构架非常好的原因了,目前,25%的MSN邮件已经有发送者身份系统在起作用。这意味着,我们可以专心应对另外那75%,而不是100%的邮件。
总体上讲,这些手段可以让我们跟上趟,我们能够将焦点集中在坏家伙们身上。
你认为英国的芯片密码技术以及其它地方,在每张信用卡中实施的个人身份数字技术是加强隐私的有效途径吗?
Cullen:芯片密码技术很棒,但是它存在一些操作上的问题。比如,如果我丢了它会发生什么?我认为,会有不同形式的解决方案。
世界其它地方,比如美国和加拿大,网上银行喜欢不用智能卡,它们仅使用密码和用户身份。
我们认为,身份认证需要双向实施。
从身份认证的角度上讲,你们有没有特别喜欢的方法?
Cullen:我们对此进行了大量的思考,我们的系统本身需要能够与多种不同的技术方案进行兼容。需要非常的兼容,而不是仅能兼容单一的方案。我们认为这才是关键。因此,我们设计了一套协作规则。即使来自开源社区的人都能帮上忙,这样一来,我们的技术方案将真正能够满足那些标准。我们将这套规则叫做“身份七律”。我们认为,这套规律是一种成功的身份管理框架。