和民主党“邮件门”主角波德斯塔谈电邮安全、假新闻和俄罗斯

下一篇文章

WTF is|点击诱饵是什么鬼?

和民主党“邮件门”主角波德斯塔谈电邮安全、假新闻和俄罗斯

在 2016 年 10 月之前,约翰·波德斯塔(John Podesta)最为人所知的身份是一位铁杆民主党活动家,他曾于比尔·克林顿(Bill Clinton)执政时期担任白宫幕僚长,本届总统大选则担任了希拉里·克林顿(Hillary Clinton)竞选团队的主席。

但在 2016 年大选前的最后一个月,当维基解密(WikiLeaks)开始公布大量来自波德斯塔的电子邮件时,他可能成了最广为人知的黑客攻击受害者。美国情报机构判断,是俄罗斯黑客窃取了波德斯塔的电邮——其中包含了各种各样的内容,既有他个人收藏的意大利调味饭食谱,也有克林顿在华尔街内部演讲的文稿——并把它们泄露出来,以期为特朗普的竞选加把油。cw1ftw7xuayv5bh

在周三举行的 NewCo Shift 论坛 上,连同肖恩·亨利(Shawn Henry)和马克·伊莱亚斯(Marc Elias)一道——前者是负责调查民主党全国委员会(DNC)被黑事件的网络安全公司的总裁,后者则是曾经担任希拉里竞选团队法律总顾问的律师——波德斯塔回顾了黑客攻击事件和它带来的后果。波德斯塔点了美国联邦调查局(FBI)和维基解密的名,称他们破坏了竞选。此外,他还就假新闻的泛滥向科技和媒体行业发出警告。

“我认为,时至今日,在俄罗斯黑客窃取 DNC 电邮这件事情上,他们对待调查的态度如此随便,这说不过去。他们甚至懒得向 DNC 派遣调查员,而只是给这里的 IT 服务台留下了几句话,‘你们可能要小心一些。’”波德斯塔说“至少可以说,FBI 内部有一些人希望她输。”

CrowdStrike 的总裁亨利曾在 FBI 担任执行助理局长,他也对该机构在这次牵累希拉里竞选的黑客攻击事件上的反应提出了质疑。亨利回忆称,他个人曾向奥巴马和麦凯恩的竞选团队提醒过发生在 2008 年大选前夕的数据泄露事件。

“很明显,就优先级而言,DNC 应该排在他们名单的前列,而跟那里对接的 FBI 特工似乎没有搞清楚发生了什么事。我认为,他们没有对攻击的严重性、谁对什么发起了攻击以及潜在的后果给予足够的重视。”亨利说,“我们必须要有一种紧迫感,如果我们不把针对选举系统的攻击视为国家面临的安全威胁……那么我们就跑偏了。”

CrowdStrike 对 DNC 被黑事件进行了调查,并在去年 6 月 归罪于俄罗斯 ,这个时间远远早于情报界公布的 结论 ,也早于 BuzzFeed 发布的一则 未经证实的指控 ,即特朗普团队勾结俄罗斯情报部门搞出了这些事件。

到目前为止,这些指控并未对特朗普造成任何实质性的影响。伊莱亚斯声称,特朗普得以利用人们对黑客攻击选举系统的恐惧来推进自己的议程。“这是要打击选民投票,使投票变得更难——这算是畅所欲言。”伊莱亚斯指出,“我认为,特朗普现在做的是示意进入下一个阶段:不仅要增加投票的麻烦,更要让各州收紧选民注册流程。”

在小组讨论结束后,TechCrunch 对波德斯塔进行了采访,听他进一步介绍了自己被俄罗斯黑客攻击的经过,以及阐述政治活动人士需要做些什么来加强自身网络安全。以下是访谈全文(  为了表达清晰,访谈内容有所删节):

TechCrunch:你是在什么时候知道自己账户被黑的?你被黑客攻击发生在 3月,但这些电邮直到 10 月才开始进入大家的视线。在这中间,你想到过会发生这种事吗? 

波德斯塔: 在夏天的时候,当 DNC 被窃取的文件开始公开泄露时,其中有一份文件似乎不属于 DNC,它可能是来自我的电邮账户。因此,在夏天的那段时间,我遭到黑客攻击的可能性增加了。在 8 月的时候,(特朗普的顾问)罗杰·斯坦(Roger Stone)开始 指向维基解密 ,并点到了我。所以,那似乎是第二个迹象,表明他们手上至少掌握了一些东西。不过,直到 10 月 7 日,我和我的团队才掌握了全部的损失情况。

TechCrunch:在泄漏事件发生数小时后,你在 Twitter声称 ,自己被黑的元凶是俄罗斯黑客。那时候你是否已经确信是他们做的?

我们的技术人员可能知道这个问题的答案,但我认为我们当时有充分的理由相信,事情就是这个样子。其他人的电邮账户也遭到了入侵,他们已经做了取证。所以,我认为我们知道,肖恩也谈到过这件事,即 DNC 受到了两种不同的攻击,但俄罗斯情报机构格鲁乌(GRU)及与之存在关联的黑客组织 Fancy Bear 参与了对个人电邮的入侵。

TechCrunch:在我采访的电邮泄露当事人中,很多人是 doxing(译注:一种使用网络资源追踪或收集信息的技术)的受害者,他们在遇到这种事后会躲藏起来。但是,当你进入到竞选活动的最后一个月时,你是不能保持低调的——

在自己的头上套上一个袋子?

是的,你个人是如何应对这件事的?

我身在公众视线之中,我是做媒体的,我不得不对一些人提出的具体问题做出回应。马克·伊莱亚斯在小组讨论中提出了一个观点,即我的电邮本身并没有什么料。所以,我得以走出去,把它们置于上下文之中进行讨论。在竞选活动的最后一月,你不得不挂上超速档。所以,你甚至没时间去感受痛苦,你不得不继续前进。我注意到,伤人的事情会发生在人们身上,其中包括我重视和关心的家人。但在大多数情况下,只是“他们今天又惹出什么麻烦?我们该如何应对?”我们会尽最大的努力破除虚构的报道,试图让人们了解到整件事的背景是外国势力在直接干涉我们国家的选举,把这样的报道呈现在人们面前。

我想我们仍然需要在这上面加把劲,让公众了解到发生了什么事,有什么利害关系以及为什么。这不只是他们讨厌希拉里·克林顿的裤装,还在于普京跟她以及她担任国务卿有宿怨。但在很大程度上,这是在于特朗普采取了对普京极其友好以及跟跨党派国家安全官员和海外人士极端相左的立场。

你认为这会让竞选活动的运作方式发生怎样的变化?每个人都害怕被一个自己完全没有准备应对的敌人当作攻击目标。

我认为这要从两个方面去看。一是通信的技术保障,使用更强的加密技术,要有敏感性。我原以为自己已经相当敏感了,我的确从这件事中学到了一个教训,而这件事可以说是一次痛苦的经历。我都不知道自己把多少东西存档到了谷歌的服务,我已经算是很有经验的,但我脑子里并不清楚还有多少东西,包括已经删除的文件夹,仍然在那里。我本应该知道的,我本应该想到的,也就是在个人电邮账户上面,自己的留存策略是什么。我们的竞选团队倒是制定了一套策略,但我没有,而且我敢打赌,很多人都没有,他们都依靠默认设置,没有意识到留存的风险,被留存的东西简直太多了。

这届大选还出现了另一个不同的问题,但同样由俄罗斯人和他们的爪牙部署,那就是假新闻。对于未来的竞选活动,人们如何能够对抗假新闻,如何把恶魔装回瓶子里,将是一大挑战。而且,你会看到这个问题不仅存在于美国,还会出现在其他国家的民主选举中。这件事非常难,让主流媒体发表声明说,“这些消息在外面流传;它们不是真的。”,这很容易,但却并不能阻止假新闻的传播。我认为,平台有一定的责任,需要试着思考这个问题的解决方案是什么样子。你要问,那些平台是不是创造出了让假新闻盖过真新闻的技术工具和策略?我要说,这就是 Facebook 平台上发生的一部分事实,Facebook 向动态消息推送新闻的方式实际上助长了假新闻,并对揭穿它们的消息进行了打压。

但我认为,在这样一个虚无主义的总统上台之后,假新闻是一个非常难解决的问题。独裁者一直在利用虚假消息来实施统治,割裂基本事实就是普京在俄罗斯玩弄的花招,那里的新闻媒体就是这样运作的。

TechCrunch:这是不是你现在跟同伴进行的对话?你对他们说了什么?

我觉得主要是,“你们一定要解决这个问题。”如果信息战争在明天“噗”的一声消失,我不确信事情会有所不同——尽管我很希望信息战争在明天就消失。人们的正常倾向——即支持《第一修正案》的价值观,拒当审查者,以及支持能够带来良好民主结果的健康对话——真地被它给颠覆了。我不确信你们能够解决这个问题,但要至少在一定程度上缓和它。

TechCrunch:你刚才说,你对自己安全问题的领悟更深了,我很好奇你采用了哪些措施。因为在安全研究社区,我听到有人说,“他的密码就设成了“password”或“runner4567”,密码本应该设得更复杂一些,他应该使用复合密码的。”

但那就有点对受害者求全责备了,在这种语境下那不是非常有用,它可以说是另一边寻找的的借口。你瞧,就像我刚才说过的,我觉得自己至少是有点敏感性的。我已经加强了自己生活方面的技术安全性,但我猜,我之前对于安全保护的认知出错了。我已经习惯了很多保护措施,并对其中不少感到反感。我想,那很幼稚。我还觉得,自己从来没有碰过键盘这件事非常奇怪。我的一些下属能够访问我的电邮账户,他们要跟安全人员进行核对,而后者让他们做了一件本不应该做的事情。

TechCrunch:所以说,你不觉得是自己点击了钓鱼链接?

是的。他们进行了核对,并收到了不良信息,实在可惜。我不认为问题出在我的密码强度上面,尽管我现在的密码已经改得更加复杂了。

TechCrunch:在你的个人信息遭到泄漏之后,BuzzFeed发布了关于特朗普的黑材料,那时候你是否有一种得到平反的感觉?

如果我真的产生一种得到平反的感觉,那肯定不是站在我立场上的一报还一报,而是我们竞选团队在努力让真实新闻得到传播时所遭遇的那种挫败感——这可能不是报道中最有色情意味的问题。每个人都聚焦在了性的问题上。

TechCrunch:“黄金雨”成了 Twitter上的热门话题。

不过,材料中揭露的关于金钱的内容,以及俄罗斯资本对特朗普团队的深度介入,我认为这是一个小小的安慰,至少它迫使人们再回过头去审视那些联系,关注相关报道,而不只是说,“好吧,选举已经结束了。”因为在普京和特朗普的关系上,在俄罗斯和美国的关系上,以及在我们国家的安全状态上,仍然有悬而未决的问题。至少它把这些又带回到人们的视线当中,我希望人们坚持下去。

TechCrunch:那么,网络安全政策在未来会怎样?你在台上说,你不认为特朗普会认真对待这个问题。

他可能声称要认真对待它,问题是他绕了一圈会把自己绕进去,这是因为他越想深入探究此事,试图拿出真正的解决方案,他就越需要对我们真正需要的那种调查持开放态度。我不认为他有兴趣让整个故事公之于众。

TechCrunch:希拉里的竞选纲领中也有关于网络安全和需要在这个领域建立行为规范的内容,让我们的黑客进行回击是正确的反应吗?

在担任国务卿期间,希拉里多多少少曾跟俄罗斯人就此事打过交道。而且,它也成为美国和中国之间的一个主要议题,希拉里是推进这个议题的第一人。奥巴马总统和习近平主席在推进网络安全领域的合作上取得了一些进展,尤其是治理盗窃商业机密。如果希拉里成功当选,我认为她会继续在这方面施压,试图制定一些全球规范。

小组讨论中还有一个观点被提了出来,也就是会有间谍出现。他们将尝试刺探我们正在做什么,我们也会试图刺探他们在做什么。这是否会成为国务卿雷克斯·蒂勒森(Rex Tillerson)的一个重要议题,我说不好。要想象特朗普总统和习近平主席对面而坐,在这个问题上展开深入对话,那有点困难,但我或许对此有偏见。

TechCrunch:因为在网络安全方面表现糟糕,希拉里竞选团队和 DNC成为了人们的调侃对象。对于肖恩·斯派塞(Sean Spicer )可能把自己 Twitter 账号密码发布出来 这件事,你有什么看法?

(笑)我们还是让 梅丽莎·麦卡西(Melissa McCarthy)就此事发表评论吧(译注:麦卡西曾在《周末夜现场》戏仿斯派塞),我不认为自己可以比她说得更好。

TechCrunch:那么,我再问一个更加严肃的问题。你前面说自己的电邮里没什么料,而人们眼中的猛料就是希拉里的演讲内容。如果你早知道它们会以这样的方式泄漏出去,你认为那会不会改变早先不公布它们的决定?

用后见之明去思考这个问题有点难。事实上,即使是演讲内容,其中也没有什么猛料。希拉里对那些听众所说的基本上就是她公开发表的言论。现在,媒体却断章取义,对个别语句进行炒作。但在演讲当中,希拉里对华尔街的态度其实相当严厉,我不认为媒体的报道反映了这一点。但我认为,如果你回过头去看那些演讲,她公开说的话和私下说的话基本上是相同的。这件事给予特朗普团队的机会本质上就是借题发挥,我觉得,可能正是这个对我们造成了伤害。如果我早知道会有泄漏事件,我大概会提早把它们公布出来。

TechCrunch:你说演讲中没有很多希拉里不能公开讲的话,如果真是那样,为什么不把它们公布出来,并声明:“看吧,里面没什么”?

我来告诉你原因,从一开始这就关系到选举报道的质量和语境。从她宣布参选开始,大家就有一种关注相对无关紧要事情的倾向,而不是试图就我们所取得的进展进行真正的对话。要辩论她在 2013 年所发表演讲的意义,我们需要跟媒体你来我往 30 天左右的时间。回想起来,跟在 10 月份做件事相比,把它放在 6 月或 7 月可能会更好一些。不过,媒体在报道希拉里和特朗普时的双重标准正是我们在这次竞选中面临的局面。我们做出的判断显然并不都是正确的判断,但这些判断是基于我们对媒体报道需要的理解。

TechCrunch:你现在要做什么?你会成为解决网络安全问题的典型吗?

我希望不要。特朗普就任总统的第一周让我觉得郁闷、心烦意乱,同时也斗志满满。我目前在乔治城大学法律中心教书,但我会尽力找到一种办法,跟大家一道阻止特朗普的恶行,保卫我们的民主。我认为,这已经是一种全球性现象;我会跟欧洲的朋友保持联系,关注他们在做什么和经历了什么。如果不出意外,这里发生的事情肯定会让俄罗斯人感到大权在握,这大概是他们做过的最合算买卖。

图片来源:JUSTIN SULLIVAN/GETTY IMAGES

翻译:王灿均(@何无鱼

John Podesta talks email hack, fake news and Russia

blog comments powered by Disqus