Boekbespreking: Bruce Schneier - A Hacker's Mind
05 juli, 2023
Boekbespreking door Jurgen van der Vlugt
Schneier begint met een aantal handvatten voor het beter ontwerpen van regels in software, of in andere structuren zoals controls, regelgeving, wetgeving, of instituties en maatschappelijke inrichting. Dat is allemaal code! Zijn regels gaan over het voorkomen van vulnerabilities, het detecteren en het oplossen van hacks. Klinkt bekend. En vooral het voorkomen ervan krijgt aandacht. Security by design… Het wordt wat minder met zijn aanwijzingen als het gaat om het inherent oplossen van hackbaarheid; daar is de wereld ook nog nauwelijks (bewust) mee bezig. Het boek begint dan al ‘toepassingen’ van AI tussen de regels (van het boek, tsja) te vlechten. Want daar gaat het boek óók en uiteindelijk vooral over: AI kan mooie dingen brengen, maar als we niet uitkijken, zijn de slechte toepassingen eerder en die kunnen de goede toepassingen zeer wel pre-emptief onmogelijk maken. Hoe? Dat komt vooral richting het eind van het boek steeds verder naar voren.
Maar voor deze diepe analyse van de dreiging van AI-voor-slechte-doeleinden - ook dat is al een positie. Maar wie niet kiest, is behalve slachtoffer ook mededader bij omissie - geeft Schneier een exposé over de vele methoden om te eigen bate door (stelsels van) controls te navigeren of ze te omzeilen – dát zijn hacks. Zo oud als de weg naar Rome of meer nog zo oud als de mens. Die hacks variëren van operationeel niveau tot meer strategische ‘ingrepen’. Samengevat zijn dat:
- Een stelsel van controls is als een spinnenweb: de kleine vliegjes worden gevangen, de grote vliegen er dwars doorheen;
- Iedereen is te koop;
- De gouden regel: wie het goud heeft, bepaalt de regels.
Waar op alle niveaus overheen ook nog gewoonterecht geldt: doe bovenstaande met voldoende aplomb en speel de vermoorde onschuld, en het misbruik wordt getolereerd en daarna gewoon, usance, dan de norm of jurisprudentie.
Eerder had Schneier reeds Liars and Outliers: over hoe het normaal is dat steeds groter wordende groepen mensen, de mensheid, steeds meer en steeds hardere regels nodig heeft om de enkeling die zich er niet aan wil houden, in het gareel te houden. Die enkeling kan het ook niet helpen; het zit in de aard van het beestje (vertellen ook alle religies en levenswijsheden), en dat is nodig ook want anders versteent de boel en dat is slecht voor de hele mensheid; ontwikkeling moet er zijn.
Dat is geen probleem als de regels voldoende ontwikkelingsruimte bieden (principle-based zijn) en voor iedereen gelden, zonder uitzondering. Aan die laatste voorwaarde wordt dus steeds minder voldaan. En als het dan de beeldbepalende lieden zijn die bovenstaande mechanismen blijken te gebruiken voor pure zelfverrijking op het onbeschofte af, of überhaupt over ‘geitenpaadjes’ praten … Quod licet Jovi, ultimo licet bovi, toch? Bovendien toont Schneier dat het hacken van bureaucratie soms nodig is om iets nuttigs te kunnen doen.
Waar Schneier duidelijk over is: dit alles is zou oud als de mensheid. Waar Schneier over doorgaat: met de komst van AI wordt de balans wel héél scheef. Al het bovenstaande is zo oneindig veel sneller en gemakkelijker te doen met AI-middelen. Ja, die zijn nog vrij dom maar kunnen al zo veel – dus wees gewaarschuwd als de versnelling in AI-ontwikkelingen van gewone Machine Learning plots Artificial Super Intelligence blijkt te zijn. Nu reeds blijkt ChapGPT-3 à -4 heel fraaie teksten op te kunnen hoesten over van alles en nog wat, én de grootst mogelijke onzin, woke of juist bedroevend-reactionaire fantasieën als feiten te kunnen presenteren. Uitstekend bruikbaar voor beïnvloeding van de publieke opinie, nietwaar? Toen een mogendheid ten Oosten van de EU de Amerikaanse verkiezingen beïnvloedde via Facebook- en andere individueel gepersonaliseerde biased artikelen en posts - was daar al veel ophef over. Die ebde snel weg toen de bevoordeelde partij won en de media daarmee meebogen.
Dat was nog kinderspel met wat vandaag de dag aan beïnvloeding mogelijk is (gebleken) met verwrongen of verzonnen feiten, statistieken en modellen, onderdrukte tegengeluiden et al. De mechanismen die vanouds bestonden om hier tegenin te gaan, zoals wetshandhaving zonder aanzien des persoons, democratische besluitvorming over waar we als maatschappij heen willen, etc. – lopen door de hoge snelheid van verandering én door de onmogelijkheid van objectieve en vrije (sic) nieuwsgaring steeds verder achter de feiten aan.
Schneier biedt handvatten om in ieder geval de hackbaarheid te doorzien en in het klein te zorgen voor goede regels: gebruik die dan ook! Denk na over de regeltjes die al te gemakkelijk klakkeloos over te nemen standaarden geven. Waarom staan die regels er; wat zouden ze moeten bereiken en hoe? En dieper: doe zelf ook eens aan secure coding van control frameworks. Let ook op wie erop achteruit gaat (of niet kan profiteren). Dat zijn degenen die gaan hacken, ook al hebben ze geen enkele noodzaak aan ‘nog meer’ – vrijheid en menselijke waardigheid van anderen, be damned.
Ook in min of meer reguliere audits valt een hoop winst te halen door in te zien dat de risico-analyses om te bepalen wat we wél gaan checken en waar we lichter overheen kijken (jawel, nota vaktechniek bene!), best wat scherper kunnen. Durf eens te kijken naar hogere niveaus van ‘control objectives’…
Schneier presenteert een en ander op een gemakkelijk leesbare maar feitelijke toon. En alle genoemde hacks en feiten zijn, hem te doen gebruikelijk, prima te checken. En hij veroordeelt niet; geeft hooguit her en der een lichte ecce homo. Het is al met al een nuttig, lezenswaardig boek. Om de handvatten en om de aanzet tot overpeinzing.
