Defense Secretary Robert M. Gates om sociala media

6/26/2009

Äntligen tar någon mer upp och här DOD de risker som oroade mig för några månader sedan särskilt avseende Twitter. Visst det kommer mycket kritik mot Twitter men den är genomgående ytlig och tar inte upp de problem som finns utan pekar istället på problematik som inte är verklig. Nu gick det ju ändå bra och vi kunde se att Twitter gav världen ett stort värde. Ändå hade det lätt kunnat bli annorlunda och att Twitter istället utnyttjats för att få identitet på personer i Kina som kritiserade kommunistpartiet runt årsdagen. Avseende Iran sägs det förövrigt (och jag vet inte om det stämmer då jag inte använt Twitter på länge) att det inte gick lika bra utan att ett av de problem som oroade mig kring Twitter och Kina realiserades: En armé av surfare. Många fler potentiella problem finns och förståelsen av dom är idag ännu alldeles för dålig. Ta ett scenario vilket för vissa sociala media just nu kan vara enkelt att missbruka och slår till blixtsnabbt: Uppköp. Ytterst farligt om det sker utan vetskap hos utomstående.

Betänk också att vi nu haft en period av fientliga avlyssningsoperationer från en viss stor statlig aktör i Asien. Det har troligen främst drabbat andra aktörer i Asien men också i EU och utgår jag från i USA. Dessutom har de en gigantisk armé av surfare avsedd för att manipulera inte minst sociala media i det egna landet. Nu oroar internationella forum för åsiktsfrihet och diskussion kommunistpartiets intressen. Även sökmotorerna är på väg att bli belägrade. När deras medborgare nu allt oftare söker "vår" del av internet för att nå frihet följer kommunistpartiets beväpnade internetarmé. Vår frihet att diskutera är hotad.

Nu är inte Twitter farlig. Twitter är Twitter. Det är lika mycket eller mer en stor möjlighet men det är viktigt att våga se att det båda kan vara något positivt men också kan missbrukas av fientliga aktörer. För att fri diskussion ska kunna vara möjlig behöver Twitter m.m. få lite fler säkerhetslösningar. Nu är människan alltid människa och samma typ av säkerhetsproblem finns t.ex. i traditionella tidningar. Själva storleken på inte minst Twitter gör det dock dominerande betydelsefullt. Vi har nu sett att ett stort socialt media har potential för att hjälpa eller stjälpa en diktatur. Att i längden lita på försynen och tjänster från främlingar är inte helt bra i säkerhetsfrågor utan DOD behöver själva tänka igenom eller köpa in en analys så att man känner till de risker som kan finnas. Även är det att rekommendera att söka samarbeten och inte mst med aktuella internetföretag och nära med de största. Också kan ett ärligt samarbete med sajternas användare krävas eftersom det är dessa som det i flera frågor kommer ner till och ökad kunskap kan göra all skillnad i världen.

Vad säger Defense Secretary Robert M. Gates

Gates, DOD, skriver bl.a. så här kring sociala media och säkerhet i Gates acknowledges DOD is behind on the social-media curve:

"How do you handle security? You're turning your information over to a third party, to run on their servers, and they, rather than you, ultimately control who has access to the information. A Defense Intelligence Agency cyber counterintelligence official warns that enemy agents could monitor online discussion groups and blogs used by DOD employees and contractors to single out disgruntled employees for recruitment or blackmail, and more. I'm sure there are even more risks that we aren't even contemplating, and we'll learn about them the hard way."

"In addition, according to Kiesler, foreign agents seeking to steal stealth technology might start by trying to identify individuals — via social media profiles — who are working on the technology: figuring out whom they associate with, following their movements, looking for clues about new research and development and so on."

Problemet när man läser det DOD skriver är att de återigen tänker traditionell säkerhet och fastnar i tekniska lösningar (jfr det jag tidigare skrev Obamas rapport om internetsäkerhet känns lovande). Att ge sociala media av Twitter-typ acceptabel säkerhet bör verkligen inte vara svårt men vi har säkerhetsproblem som inte adresseras med de primitiver och modeller som idag finns. Tänk t.ex. istället i områden som (och det här är bara ett fåtal exempel) dessa för hur meddelanden sprider sig mellan personer i samma eller olika sociala media:

  • Systematisk påverkan av t.ex. främmande makt i sådan skala att resonans uppstår.
  • Tidsanalys av tweets.
  • Trafikanalys för att röja identitet.
  • Associationsanalys.
  • Accessmatriser och informationsläckage.
  • Vilken entropi är riskabel och hur gör vi whitening på den?
  • Vad talar färsk forskning inom neurovetenskap om för oss? Måste vi tänka helt nytt någonstans? Jag tror det.
  • o.s.v. o.s.v.

    Lösningarna ligger inte i nätverkssäkerhet. Sådant ska idag bara fungera för kritisk infrastruktur. Heller inte i egen avlyssning av trafiken eftersom det knappast mappar mot de nya säkerhetsproblem som finns.

Nu har DOD kanske (mycket sannolikt) tänkt längre än de ger ut information om och viktigast är dock att DOD ser att problemet finns och arbetar på det.

Egentligen kring mycket av det där behöver man gå tillbaka till "grunden" innan man hade färdiga primitiver (krypteringsalgoritmer, säkerhetsprotokoll o.s.v.) och göra om det arbetet vi då gjorde. Vad DOD t.ex. kunde ta och börja med är att leta rätt på Dennings om hon nu ännu lever och prata lite med henne. Hon sammanfattade ju trots allt säkerhetsområdet ovanligt tidigt i sin lärobok innan just några färdiga primitiver fanns och fokus låg just på flöde av information och att dölja redundans och ha kontroll över entropi. Hon kan kanske ha ett annat perspektiv än vi alla som kommit senare. Därefter är det över till grundläggande krypteringsteori men självklart inte tillämpad på kryptering (där har vi ju primitiver). Men sedan krävs någon som vrider och vänder på saker och ting utan förutfattad mening. Säkerhetstestning är säkerhetstestning men det gäller att inte fastna i något som gäller för en problematik avseende en viss typ av lösning. Det handlar om att se säkerhetsproblem som ligger i teknik, i teknik och människa och bara människa via kommunikation över teknik. Slutligen kognition och påverkan vilket kan uttryckas som:

Vad det kanske praktiskt handlar om är att man behöver få ut viss kunskap hur man undviker vissa metoder för att manipulera dig till att göra något. För positiva och trevliga memer (i min modell) krävs inte sådant. Negativa destruktiva memer har typiskt svårt att sprida sig men de kan kombineras med väldigt koncentrerad manipulation.

Kommer jag ihåg rätt skrev jag något kring det här området kanske 2001 - 2002 åt IDG (Säkerhet & Sekretess) men kring något likartat som då fanns och var mycket mindre? Jag kommer inte ihåg exakt vad det var. Det bör väl vara lite föråldrat idag, alldeles för kort och ofullständigt men gissningsvis då det var betald analys som gick att lägga tid på ändå mycket djupare än något görligt att ta upp här. På det krävs ju också någon form av modell och personligen skulle jag tänka memetics.

Jag kan tillägga här i efterhand att personligen har jag inte på flera år sett att skapandet av krävande säkerhetsarkitektur egentligen alls längre handlar om teknik. Där är allt mer eller mindre färdigtänkt och enkelt (om nu stor last och massor av användare inte finns). Ingenting nytt har krävts på många och långa år. 2003 eller någonstans där runt tråkade hela området ut mig som färdig tänkt och det har inte just hänt något. Jämför det med 1999 när man implementerade SPKM i C, 2000 när moderna brändväggar man inte satte upp med TFW (eller vad det hette) kom, CA-kärleksperioden o.s.v. Någon ny viktig primitiv har inte kommit.

Men säkerhetsarkitektur är inte längre samma sak som 2003 och ny kunskap har kommit från forskningen om människan, realiteter har förändrats om aktörer (vi har t.ex. nu en spelare med en arme av surfare) och nya situationer har skapats iochmed nya tjänster. Man måste nu orka tänka nytt. Ta det här med Hello Kitty för att visa hur nytt man ska tänka. Givetvis har det ingenting med säkerhet att göra men människor är människa och därför är trender alltid trender. Frågor som ligger mellan människa ovanför tekniken är vad det handlar om därför att kommunikationen nu är så stor i antal samtidiga personer att påverkan utanför entiteten kan bli enorm.

Kompletteringar

Förtydligande:

Vad jag pekade på Iran var att jag läste någonstans om att regimen använt betalda användarna på farsi för att störa ut. Då har vi en diktatur som korrumperar fri diskussion i en demokrati. Ytterst allvarligt. Helt oacceptabelt.

Tidigare material

Det är som jag tidigare skrev att det här är en fråga jag inte hade tänkt blogga om. Exakt skrev jag så här i Ökar Google i Kina?:

Det här var det sista jag hade tänkt blogga kring situationen i Kina och egentligen hade jag inte planerat att blogga något alls. Där kan jag också säga att jag tycker att trenden rullar på åt rätt håll. Jämför med klimatförändringarna där allt förr gick åt fel håll. När det började rulla har det fortsatt rulla stadigt åt rätt håll. I början kan folk behöva knuffa på stenen men sedan rullar det på. Där kan kunskap göra stor skillnad och jag m.fl. har givit av det vi trott oss kunna under år. Något mer att bidra med som de nu inte kan bättre själva har åtminstone inte jag. Ge det nu tid (säg att det börjar bli tydligt inte senare än om 14 månader) så kommer vi och tror jag helt fredligt tydligt börja gå mot demokrati.

Och jag ser ännu inget som talar emot det. Tvärt om trots ökade tryck från dikaturen fortsätter folk att allmänt prata i tidningar, på nätet och med varandra positivt. Utan kravaller kan inte regimen slå ner på det annat än genom enstaka arresteringar. Räcker inte det vinner vi och vi jag ser redan att vi vunnit.

Kritiskt är dock att se upp för provokationer. Ni får inte gå ut på gatorna i år. Ni måste ge dom tid att vänja sig och ställa om. Sådant kan trigga irrationellt hyper-farligt beteende.

Övrigt jag bloggade innan föregående:
"Iran" gör Internet freedom lätt överlastade

Jag lade här in en kommentar om hur jag hanterar min kommunikation i Bookmarklets till Google Translate (översättning). Orsaken till det är att jag väldigt länge känt till avlyssningen och också utnyttjat det. För mig är det helt obegripligt att DL avslöjade det hela. Totalt hjärnsläpp.

Här har vi det jag bloggade från det jag såg att vinden vänt och stenen rullade:
Wú och två kor Wei wu wei
Green Dam Youth Escort nu frivilligt
Madonna-imponerad och nya trender
I ekonomiska sammanhang är 民主 (demokrati) bra :-)
I Ching och Kung Fu Panda
Solen skiner i Uppsala
Därefter var det klart.

Viss associerad diskussion nyligen:
Temer (techno-memes) trycker ner The Tipping Point
Kompletteringar: Temer (techno-memes) trycker ner The Tipping Point

Apropå förberedelsen av sociala media inför transformationen är följande inlägg nyligen intressanta: Blink och Outliers: Kommentar Horoskop och otrevliga affärsmodeller

Se även kommentarerna där några artiklar i tidningarna diskuteras kort.

9 kommentarer
Anonym sa...

Det är för mig ett väldigt centralt problem som du tar upp. Jag upplever att fokus fortfarande oftast ligger på tekniska lösningar en övertro på vad de löser. De ev tekniska problemen som finns anser jag också vara triviala att lösa jämfört med att få upp förståelsen för hur informationsflöden och information kan filtreras, manipuleras, spåras och analyseras (även utan att den egentliga informationen kan läsas av tredje part, som just det nämnda exemplet med Iran/Twitter även om nu Twitter skulle hade varit krypterat) med relativt enkla medel.

Jag upplever också att där är väldigt låg förståelse för hur snabbt och hur enkelt värdet av en vedertagen och accepterad informationskanal kan bli kontrollerad. Hur lätt det kan vara att brusa ner en sådan kanal med vald information som sedan lätt kan passera och bli accepterad som att den har samma värde som informationen hade tidigare.

Där finns redan för många bra exempel på hur detta gjorts, men förståelsen för detta både hos gemene man, professionella medier och även "säkerhets experter" verkar vara svår att få upp.
/Något frustrerad ;-)

2009-06-26 10:53
Swedish Research sa...

Jag delar de uppfattningarna du nämner men pekar också på något annat också.

Det du skriver här vet jag att DOD gör just nu för att identifiera information som går ut vilken sedan t.ex. kan användas för att göra en riktad avlyssning d.v.s. du kanske får information om en park där personen sitter och gör tweets över WLAN eller dyligt. Därefter kan de adressera problemet med information till företaget.

"lösa jämfört med att få upp förståelsen för hur informationsflöden och information kan filtreras, manipuleras, spåras och analyseras (även utan att den egentliga informationen kan läsas av tredje part, som just det nämnda exemplet med Iran/Twitter även om nu Twitter skulle hade varit krypterat) med relativt enkla medel."

Det är bra att de gör det men jag tror något mer krävs.

Det jag skrev här kan förklara det bättre:
http://www.seotaktik.com/2009/06/blink-och-outliers-kommentar.html
Och alla tre av Gladwells böcker pekar runt problemet men inte fullt ut.

Vad det kanske praktiskt handlar om är att man behöver få ut viss kunskap hur man undviker vissa metoder för att manipulera dig till att göra något. För positiva och trevliga memer (i min modell) krävs inte sådant. Negativa destruktiva memer har typiskt svårt att sprida sig men de kan kombineras med väldigt koncentrerad manipulation.

2009-06-26 12:38
Swedish Research sa...

Bra uttryckt av UK i Wired.com:

"Tom Watson, a former Cabinet Office minister, told the BBC that the center was needed because there was a lot of “state-sponsored hacking of key U.K. information networks on an industrial scale and we have to transform GCHQ into a spy school for geeks who are more cunning than their Chinese counterparts."

http://www.wired.com/threatlevel/2009/06/naughty-brits/

Britterna (engelsmännen kanske?) har ett nästan magiskt språk att uttrycka sådant där så att det låter lite komiskt och trevligt. Jag tror verkligen att det är betydelsefullt. Just att vi alla har ett gott humör. Ett dåligt humör: På en gång ser man färre lösningar som fungerar för alla. Ett härligt folk britterna med en stolt tradition och verklig framåtanda.

Där får jag skämmas lite för den här bloggpostningen. Men den var ju egentligen mer generell.

2009-06-26 16:21
Swedish Research sa...

Bra analys:
http://www.ft.com/cms/s/0/449751a6-61b3-11de-9e03-00144feabdc0.html

2009-06-26 16:55
Swedish Research sa...

Också värd att läsa:
http://www.independent.co.uk/arts-entertainment/books/reviews/book-of-the-week-when-china-rules-the-world-by-martin-jacques-1719353.html

Avseende:

"In arguing for China's difference, Jacques is treading on a lot of toes. That is all to the good. The Western scholarly and political establishment has been extraordinarily complacent about the implications of an economically successful and more assertive China. There has been a tacit consensus that, if we treat China nicely, as potentially "one of us", Beijing will return the compliment. The result has been very little real discussion of what a world with a dominant China would be like."

Du behöver säga ifrån lite men göra det med humor och trevligt. Tänk kritikkänslighet.

2009-06-26 16:58
Swedish Research sa...

Bra från Epoch Times:
http://www.theepochtimes.com/n2/content/view/18771/

Schmidt tycker till:
http://www.telegraph.co.uk/scienceandtechnology/technology/google/5683810/Censorship-of-the-web-is-futile-says-Google-CEO.html
Min bild är att diktaturerna i sig är vad som skapar en risk med sociala media och att de i övrigt är väldigt tilltalande från ett risksperspektiv.

Utan diktaturer finns ingen risk utan de bidrar uteslutande positivt. Den risk dessa medför är att de kan bromsa den positiva utveckling sociala media bidrar med.

2009-06-29 16:06
Swedish Research sa...

Det här pratet om sabotage gillar jag inte:
http://www.foxnews.com/story/0,2933,529090,00.html
Att kringgå censur och diskutera fritt är bra. Men ingenting som skulle vara otillåtet i ett demokratiskt land.

Skulle förövrigt direkt förvåna mig om ev. felaktiga protester arrangeras och genomförs av kommunistpartiet för att få protesterna att verka farliga.

Ännu finns ingenting som ger dom en motivation. Det är så man bör låta det förbli.

2009-06-30 14:46
Swedish Research sa...

Från:
Questions Hang at Deadline for China's Censorware
Har vi följande citat som är mycket insiktsfullt (notera dock min föregående kommentar). Notera det jag satte fet och kursivt:

"When we look at Twitter and online forums and more broadly Internet technology, what we see is an incredibly dynamic, not-static information war," said Sharon Hom, executive director of Human Rights in China, which is based in Hong Kong and New York.

"That is a very interesting moment. It's already backfired because they tried this [Green Dam] and even their nationalist netizens are saying we're really losing faith, you can't even censor right.

"In the short term, individual citizens and groups will pay. But in the long run, you can see they can't win. The very nature of technology is you can't harness it — not authoritarian leaders, not anyone," Hom continued. "It's like riding a tiger, and you can't get off."

2009-06-30 14:49
Swedish Research sa...

Ja det är Tigern de rider (^_^)

2009-06-30 14:50

Kommentera