47
阿裏雲肖力:時間會把一切還給我們
客戶的東西永遠屬於他自己,沒有第二種可能。
瑞士銀行用三百年的時間,讓這個商業信條飄散到遙遠東方的中國,人盡皆知。蘇黎世班霍夫大街兩側的花崗岩厚牆,被世人視作恪守商業信條的明證。
我們要說的,正與此有關。
【瑞士蘇黎世銀行最早的保險箱】
瑞士1934年頒布的《銀行保密法》裏規定:除非有確鑿證據證明存款人存在犯罪行為,否則賬戶的信息會受到永久性保護,任何政府機關,甚至是法院都無權查看、調查與幹涉。
據此,包括銀行在內的所有人都無權查看用戶保險箱裏的內容。
法條看上去天經地義。不過圍繞著這個“天經地義”,卻有很多耐人尋味的故事。
現實世界總是很狗血,讓人不忍卒讀。
不久前,《我叫MT》的遊戲公司樂動卓越因為發現有公司開設自家遊戲的私服,而把對方訴上了法庭。不過由於私服座落在阿裏雲上,導致阿裏雲承擔連帶責任,法院一審判決阿裏雲敗訴,賠償26萬元。
對於判決結果,阿裏雲難以置信:作為雲計算服務商,自己沒有任何權利審查任何用戶的數據,所以無從判斷是否侵權。在對方沒有提供明確司法證據之前,不可能停止對另一個客戶的服務。
有人很難理解。這似乎意味著,某個公寓裏出現了盜竊行為,小區物業也受到了懲罰。判決不久,阿裏雲發布了微博:對不起,這個官司我不服。
“即使輸掉官司,我們也不會改變數據安全第一原則。”
這個中國雲計算的老大哥,此刻突然充滿了理想主義的悲情。
我想知道,這種悲情如何席卷一個個具體的人。在一周以後的上海雲棲大會上,我見到了肖力。
【肖力】
肖力有一個特別的身份,他是阿裏巴巴第一個安全工程師。2005年到如今,12年過去了,他早已成為阿裏雲安全資深總監,但是提到親手締造的阿裏雲安全,他總是揚起嘴角,就像剛喝下一杯濃醇的酒。
2015年的時候,FBI為了調查一起恐怖襲擊案件,要求蘋果解鎖一部嫌疑人的 iPhone 手機。但是庫克和蘋果公司認為,保護用戶的隱私是天條。哪怕是蘋果公司也沒有權力解鎖、查看任何用戶的信息。他們頂住了 FBI 一波一波的進攻,最終蘋果終於贏了,它用行動讓用戶感覺到了安全。
說到這裏,他若有所思。
【蘋果公司 CEO 庫克在和 FBI“世紀大戰”期間最廣為流傳的形象】
顯然阿裏雲不是蘋果,我們也沒有 FBI。
不知為何,與其說不甘,我從這些話裏更多地感覺到了自責。
這些天,肖力和阿裏雲安全團隊被卷入了洪流。菜鳥和順豐的爭端,根本來說是商業利益糾葛,但是阿裏雲的安全團隊卻被懷疑想要“截流”用戶數據。而就在這件事發生的兩天前,肥鵝旅行的技術人員在朋友圈發難,懷疑阿裏雲擅自查看自己公司的隱私數據。
【肥鵝旅行朱峰的朋友圈和阿裏雲的回複】
做了十幾年安全,肖力知道,不被信任是安全人的一種苦難,或者宿命。
你覺得淘寶會擔心阿裏雲查看自己的數據嗎?
肖力問我。
我了解淘寶,我也了解阿裏雲。淘寶的業務運行在阿裏雲上。這兩天我一直在想,如果淘寶是獨立於阿裏巴巴的電商,他會不會擔心自己的數據被阿裏雲拿走呢?經過仔細思考,我覺得淘寶是不會擔心數據安全問題的。
他說。
他把數據在雲上的主要行為歸納為傳輸和存儲。
在傳輸方麵,淘寶和很多網站都在使用的 HTTPS 協議可以把傳輸的內容加密,在全鏈路防嗅探,即使雲服務商截獲了這些數據,也依然沒有能力讀取。
因為解開數據的密鑰,掌握在數據交換雙方的手裏。
就好像一個快遞員,負責運送一個保險箱。雖然他全程都拿著這個箱子,但是卻沒有能力撬開它查看裏麵的情況。
阿裏巴巴是數據安全的親曆者,受害者。在使用 HTTPS 協議之前,有些網絡運營商直接能說出雙11淘寶賣的最好的是哪一家店。但現在這種事情不會發生了。我們也不想讓這種事情出現在阿裏雲的用戶身上。看到每個月雲上的用戶使用 HTTPS 協議的比例越來越大,我很開心。
肖力說。
在存儲方麵,同樣有國家認定的方式來加密存儲對象,就像淘寶後台的圖片,數據庫,都是進行加密的,如果沒有密鑰,看到的就是“!@#¥%*&”一串亂碼。
例如某手機行業巨頭,用戶所有的圖片都會存儲在阿裏雲上,每張圖片的上傳都是全鏈路加密,存儲也是加密存儲,阿裏雲沒有可能接近這些數據。
就像京東不用擔心自己的數據被騰訊獲得一樣。
他說。
知乎上有一個帖子,有人分析說,阿裏雲並不需要掌握客戶的詳細數據,隻要得知終端用戶的 IP,就可以通過數據分析“算出”背後的人和具體行為。
我把這個質疑拋給了肖力。
他說,
通過 IP 定位到個人,這在技術上是沒有辦法實現的。由於 IP 資源有限,所以分配給具體目標的 IP 一直在變換,在和黑產的對抗中,僅僅通過封禁對方 IP 的模式,是無法達到精準打擊的效果的。
我是個技術人,我知道在技術上永遠存在可能性,但我們沒有必要對尚不能實現的技術過於憂慮。就像運營商,他們手裏有所有人的網絡流量數據,但他們不可能通過這些數據來分析每個人的動向。技術不可以,算力不支持,法律更不允許。
實際上,肖力怎麼也想不通為什麼有人覺得使用雲計算會降低自身的安全性。在他眼裏,上雲之後的安全性才恰恰有了保證。
還用住宅小區做比喻,企業入駐雲,就像是進入了一間間公寓。每間公寓當然要加裝門鎖,如果不信任物業贈送的鎖,也可以自己換成安全性更高的鎖。這就是企業對數據的加密。
但在家門之外,還有一圈小區的圍牆,這圈牆在凶險的世界裏,把住戶隔離出來。
如果你住在小區裏,可以懷疑物業對你圖謀不過,但如果你搬離小區,在田野裏建一座自己的房子,你將麵對整個世界的蠻荒。
肖力把企業的安全進行粗略評分:
如果一家公司,資金和人才都非常充裕,網絡安全實踐積累豐富,安全可以做到3.5分。
但是絕大多數的企業,可能並沒有那麼多安全投入。更多公司的情況是有專職安全團隊,但是人數較少一些。這樣的企業,安全性可以拿到2.5-3分。
比較令人擔憂的是,大量的企業,安全可能隻能拿到0-0.5分。因為他們大量的業務跑在互聯網上,但在網絡安全方麵,卻隻買了一個防火牆。
我希望,這些企業可以部署到公共雲上來。這就像搬進了一個有安保的社區,不需要重新積累團隊,磨煉技術,依賴公共雲的安全資源,他們獲得的安全能力,就是阿裏雲的安全水平。
這是肖力的理想國。
讓人印象深刻的是,阿裏雲總裁胡曉明坐在媒體間,一字一頓地說,
阿裏雲活了8年,如果連用戶數據隱私保護都做不好,就不配活在世界上,就應該倒閉。我們會追究所有造謠者的法律責任。
可見,最近的一場官司兩次質疑,給阿裏雲上上下下帶來了很大壓力。
【胡曉明在雲棲大會上重申用戶數據隱私第一】
我問肖力是否覺得委屈,他想了想說,也許阿裏雲被誤解了,被一些人誤解了,也可能被很多人誤解了,但真相總會回來,或早或晚,這是我的人生經驗。
有關樂動卓越和阿裏雲的訴訟,阿裏雲已經提起了上訴。肖力說,執法者麵對新的技術,難免會有誤解,但他最終相信法律的公正。
6月1日,網絡安全法實施。這個時點對於阿裏雲來說,有些巧合。
窺探用戶隱私、違規獲取個人數據、未能妥善保管用戶數據,這些都已入刑。觸犯法律的企業負責人,將會受到應有的懲罰。
用每一則法條來審視我們吧。
肖力說。
采訪快結束時,我突然想起蘋果和 FBI 的世紀戰爭。於是有了以下的對話。
我:麵對 FBI 所代表的國家利益,如果你是庫克,你會怎麼做?
肖力:用戶是上帝,保護用戶的隱私是我們的天職。我會和庫克做出相同的選擇。
我:如果你回到這場官司前,當有人要求你審查其他公司數據的時候,你還會如此決絕地拒絕嗎?
肖力:是的。
我:經曆了這麼多波折,回到當初做出決定的時候,會不會多一絲猶豫?
肖力:不會。
感謝淺黑科技的深度報道。
原文鏈接
最後更新:2017-06-13 10:31:42