Η Χάουι Ράιλε συναγερμού ψευδής: Φτωχά ονόματα αρχείων

Το Σάββατο το πρωί, 13 Ιανουαρίου 2018 στις 8:09 π.μ. ώρα Χαβάης, ένας υπάλληλος του γραφείου του Κρατικού Προειδοποιητικού Κέντρου της Υπηρεσίας Έκτακτης Ανάγκης της Χαβάης (HIEMA) διενήργησε την τακτική λίστα αλλαγών αλλαγής ταχυτήτων. Πέρασαν από τον ίδιο κατάλογο ελέγχου κάθε φορά που ξεκίνησαν τη στροφή τους. Ήταν ρουτίνα. Δεν ήταν ενδιαφέρον.

Σε ένα σημείο, άνοιξαν το λογισμικό προειδοποίησης IPAWS, ανακάλυψαν μια λίστα με αποθηκευμένα "πρότυπα" και επέλεξαν ένα από μια λίστα με 9. Τα όσα διάλεξαν ονομάστηκαν PACOM (CDW) - ΜΟΝΟ ΚΡΑΤΙΚΑ.

Μόνο, αυτό δεν ήταν το αρχείο προτύπου που σκόπευαν να ανοίξουν. Το πρότυπο που σήμαινε να ανοίξει ονομάστηκε DRILL - PACOM (CDW) - ΚΡΑΤΟΣ ΜΟΝΟ. Εκτός από τη λέξη DRILL στο όνομα του αρχείου, τα δύο αρχεία ήταν σχεδόν πανομοιότυπα. Λέω σχεδόν, επειδή υπήρχε μια άλλη διαφορά: Η έκδοση τρυπανιού έστειλε ένα μήνυμα μόνο στις συσκευές δοκιμής, ενώ η έκδοση χωρίς τρυπάνι έστειλε το ακριβές ίδιο μήνυμα σε κάθε κινητό τηλέφωνο στη Χαβάη.

Το μήνυμα ήταν δυσοίωνο. ΜΠΑΛΙΣΤΙΚΗ ΑΔΥΝΑΜΙΚΗ ΑΠΕΙΡΟΣ ΠΟΥ ΕΧΕΙ ΕΓΚΑΤΑΣΤΑΘΕΙ ΣΤΟ HAWAII. ΕΠΙΣΚΕΦΘΕΙΤΕ ΑΜΕΣΗ ΚΑΤΑΨΥΞΗ. ΑΥΤΟ ΔΕΝ ΕΙΝΑΙ ΤΡΥΠΑΝΙ.

Το μήνυμα που εμφανίστηκε σε κάθε κινητό τηλέφωνο στη Χαβάη.

Ο υπάλληλος του State Warning Point δεν συνειδητοποίησε αμέσως ότι επέλεξε το λάθος αρχείο. Τίποτα στο σύστημα δεν θα τους έλεγε ότι είχαν. Τα κλικ και οι επιβεβαιώσεις ήταν ακριβώς τα ίδια για κάθε αρχείο. Δεν θα συνειδητοποιούν το λάθος τους μέχρι λίγα λεπτά αργότερα, όταν το προσωπικό τους τηλέφωνο χτύπησε με το συναγερμό, όπως και όλοι οι άλλοι στο Κρατικό Κέντρο Επιχειρήσεων Έκτακτης Ανάγκης. Ωχ.

Η αποστολή ενός μηνύματος σε εκατομμύρια τηλέφωνα σχετικά με έναν εισερχόμενο βαλλιστικό πυραύλων θα έπρεπε, νομίζω, να έχει ένα μήνυμα επιβεβαίωσης. Το έκανε. Αλλά το ίδιο έκανε και το δοκιμαστικό μήνυμα. Απαιτεί επίσης τον τύπο του χρήστη σε έναν ειδικό κωδικό πρόσβασης για να διασφαλίσει ότι σκόπευε να στείλει το μήνυμα σε κάθε παραλήπτη, αλλά το ίδιο έκανε και το δοκιμαστικό μήνυμα.

Η ουσία του σφάλματος ήταν η επιλογή ενός λανθασμένου αρχείου, από μια λίστα που έμοιαζε έτσι:

Αυτή η λίστα, που παρέχεται από το HIEMA, είναι τα πρότυπα για τα μηνύματα.

Δεν είναι δύσκολο να δούμε πώς επιλέχθηκε το λάθος αρχείο. Αυτά φαίνονται να παρατίθενται με χρονολογική σειρά, τα τελευταία να διαρκούν. (Το πρώτο αρχείο BMD False Alarm προστέθηκε αμέσως μετά την εσφαλμένη ειδοποίηση και ο κυβερνήτης εξέδωσε δήλωση. Περιέχει το μήνυμα που χρησιμοποιείται για να πει σε όλους ότι το μήνυμα NOT A DRILL ήταν στην πραγματικότητα ένα DRILL.)

Υπάρχει μια εναλλακτική λίστα προτύπων που κυμαίνεται γύρω από: (Φαίνεται ότι το κράτος δεν είναι σίγουρο ποιο κρατικό προειδοποιητικό σημείο χρησιμοποιεί.)

Και στις δύο περιπτώσεις, βλέπετε καθαρά ότι το όνομα του αρχείου DRILL είναι σχεδόν ίδιο με το πραγματικό όνομα αρχείου. (Το CDW είναι Προειδοποίηση Πολιτικής Άμυνας.) Ο κατάλογος αυτός είναι αλφαβητικός, ο οποίος δεν είναι πολύ καλύτερος από την ημερομηνία που διατάχθηκε.

Σχεδιασμός για να συμβεί αυτό το λάθος

Αυτό δεν ήταν ένα σκεπτικώς σχεδιασμένο μενού, κάτι περισσότερο από οποιαδήποτε τυχαία συλλογή αντικειμένων με όνομα χρήστη. Ωστόσο, για να φτάσει εδώ, έπρεπε να γίνει πολύ προσεκτικός σχεδιασμός.

Το σύστημα που χρησιμοποιείται για την αποστολή ειδοποιήσεων ονομάζεται IPAWS - το ολοκληρωμένο σύστημα προειδοποίησης και προειδοποίησης (Integrated Public Alert & Warning System), το οποίο διαχειρίζεται ομοσπονδιακός οργανισμός διαχείρισης έκτακτης ανάγκης (FEMA) της κυβέρνησης των ΗΠΑ σε συνεργασία με την Federal Communications Commission (FCC). Το τμήμα κινητού τηλεφώνου του IPAWS είναι γνωστό ως σύστημα ασύρματης έκτακτης ανάγκης (WEA).

Τα κράτη και οι κομητείες μπορούν να έχουν πρόσβαση στο σύστημα IPAWS για να δημοσιεύουν ειδοποιήσεις έκτακτης ανάγκης, από τα πάντα, από το κλείσιμο δρόμων έως τις ειδοποιήσεις AMBER (ειδοποιήσεις απαγωγής παιδιών).

Η Χαβάη έχει εγκαταστήσει το σύστημά της για λίγο καιρό, το οποίο χρησιμοποίησε για θέματα που σχετίζονται με τις καιρικές συνθήκες, όπως οι κατολισθήσεις που κλείνουν δρόμους και προειδοποιήσεις για το τσουνάμι. Τον Νοέμβριο, η HIEMA ανησυχούσε για τις αυξανόμενες εντάσεις με τη Βόρεια Κορέα, έθεσε σε εφαρμογή ένα νέο σχέδιο ετοιμότητας έκτακτης ανάγκης, το οποίο περιελάμβανε μηνύματα WEA σε περίπτωση εκτόξευσης βαλλιστικών πυραύλων.

Εδώ είναι μια διαφάνεια από το κατάστρωμα HIEMA ετοιμότητας έκτακτης ανάγκης, δηλώνοντας την αντίδρασή τους σε μια εκτόξευση πυραύλου:

Ακολουθούν τα μηνύματα που συνιστά η HEIMA:

Μπορείτε να δείτε το πραγματικό μήνυμα που βγήκε ήταν πολύ κοντά στα μηνύματα που συνιστώνται στο σχέδιο της HIEMA. (Το WEA έχει όριο 90 χαρακτήρων, επομένως χρειάζεται να συντομευτεί το συνιστώμενο μήνυμα 138 χαρακτήρων).

Υποθέτω ότι, με τις νέες αυτές κατευθυντήριες γραμμές, το Κρατικό Προειδοποιητικό Σημείο ενημέρωσε τα αποθηκευμένα μηνύματά τους, συμπεριλαμβάνοντας πρώτα το τρυπάνι ως τακτική πρακτική και έπειτα προσθέτοντας το πραγματικό μήνυμα. (Φαίνεται ότι αποφάσισαν να προσθέσουν ένα πρότυπο για τις προειδοποιήσεις για το τσουνάμι στο ίδιο σημείο, καθώς αυτό έπεσε ανάμεσα στα δύο μηνύματα του PACOM.) Το PACOM αντιπροσωπεύει την Αμερικανική Διοίκηση του Ειρηνικού, το στρατιωτικό κοινό γραφείο συντονισμού που παρακολουθεί την περιοχή του Ειρηνικού).

Η FEMA παραθέτει 23 εγκεκριμένους προμηθευτές λογισμικού προέλευσης ειδοποιήσεων IPAWS. Τα περισσότερα από αυτά είναι εφαρμογές λογισμικού ως υπηρεσία ή iOS. (Ναι, κάποιος μπορεί να ειδοποιεί ολόκληρη την πολιτεία από το τηλέφωνό σας.)

Η HIEMA δεν αποκάλυψε ποιος πωλητής χρησιμοποιούν αυτήν τη στιγμή. (Έχω ενημερωθεί ότι έχουν ήδη υποβληθεί αιτήσεις FOIA για να μάθουν περισσότερα για τα συστήματα που χρησιμοποιούνται στη Χαβάη και σε άλλα κράτη.) Είναι απίθανο η εφαρμογή HIEMA να προσαρμοστεί με οποιονδήποτε τρόπο. Χρειάζεται αρκετή δουλειά για την πιστοποίηση FEMA. Αφήστε τη δουλειά αυτή στους πωλητές.

Εάν επισκέπτεστε τους ιστότοπους για τους διάφορους εγκεκριμένους προμηθευτές, βλέπετε μερικά όμορφα σχεδιασμένα συστήματα. Εδώ είναι ένα από μια εταιρεία που ονομάζεται Alertsense:

Φαίνεται ότι είναι ένα καθαρά σχεδιασμένο σύστημα. Ωστόσο, έχει έναν προκατόχο και είναι πιθανό HIEMA χρησιμοποιεί κάτι που μοιάζει περισσότερο με αυτό:

Οι κυβερνήσεις, οι οποίες συχνά προσπαθούν να εξοικονομήσουν χρήματα από τους φορολογούμενους, δεν πληρώνουν για αναβαθμίσεις. Ειδικά για συστήματα που δεν έχουν σπάσει. Ας ελπίσουμε ότι θα μάθουμε σύντομα σχετικά με το συγκεκριμένο σύστημα που χρησιμοποιεί η Χαβάη.

Αυτό το λάθος πιθανότατα συνέβη πριν

Η αντίδρασή μου, όταν είδα το σχετικό σύστημα, ήταν γιατί δεν συνέβη αυτό πριν; Εξάλλου, η επιλογή ενός λανθασμένου αρχείου είναι ένα συνηθισμένο λάθος. Εάν ο τρόπος με τον οποίο στέλνετε ένα μήνυμα IPAWS είναι να επιλέξετε ένα προκαθορισμένο πρότυπο, τότε πιθανότατα κάποιος πήρε το λάθος στο παρελθόν.

Ωστόσο, δεν θα έκανε τα νέα. Οι περισσότερες ειδοποιήσεις IPAWS αφορούν ειδοποιήσεις AMBER και τοπικά προβλήματα καιρού. Αν έστειλε λάθος μήνυμα, πείτε για έναν δρόμο που έκλεισε με πλημμύρες, οι περισσότεροι άνθρωποι δεν θα ήξεραν ότι υπήρχε πρόβλημα. Αν δεν ήταν κοντά στον συγκεκριμένο δρόμο, πιθανότατα δεν θα έδιναν προσοχή στο μήνυμα, ακόμα κι αν ήταν λάθος.

Τα μηνύματα IPAWS είναι συνήθως τοπικά. Ένα κρατικό μήνυμα είναι σπάνιο. Αυτό έκανε το περιστατικό αυτό τόσο δημόσιο.

Η αξιοπιστία του συμβάντος ενισχύθηκε λόγω των πρόσφατων εντάσεων του έθνους μας με τη Βόρεια Κορέα. Φαίνεται ότι είμαστε πάντα ένα πολύ σταθερό tweet genius μακριά από την κατοχή ενός πυραύλου που ξεκίνησε προς την κατεύθυνσή μας. Αν το ατύχημα συνέβη πριν από δύο χρόνια, όλοι θα είχαν διαφορετική αντίδραση. (Παρόλα αυτά, δεν θα συνέβαινε πριν από δύο χρόνια, επειδή δεν υπήρχε λόγος να σκεφτούμε τότε τους εισερχόμενους βαλλιστικούς πυραύλους).

Τα ονόματα αρχείων είναι ο αυτουργός

Έχετε ο καθένας γνωστός κάποιον που φόρτωσε μια παλιά έκδοση ενός αρχείου, όταν σκόπευε να χρησιμοποιήσει τα πιο πρόσφατα, τότε κατά λάθος έσωσε τα παλιά δεδομένα πάνω στο νέο; Αυτό είναι, ουσιαστικά, το πρόβλημα που είδαμε εδώ.

Αυτό είναι ένα κλασικό πρόβλημα με την εμπειρία χρηστών που περιλαμβάνει συμβάσεις ονόματος αρχείου. Οι χρήστες συχνά δεν επιλέγουν ονόματα αρχείων, πιστεύοντας ότι θα κάνω λάθος στο μέλλον και θα επιλέξω λάθος αρχείο; Κάνουμε λάθη με τα αρχεία μας όλη την ώρα, αρπάζοντας τη λανθασμένη έκδοση όταν δύο αρχεία ονομάζονται παρομοίως.

Εάν θέλουμε να αναρωτηθούμε πώς θα μπορούσαμε να αποτρέψουμε κάτι τέτοιο, πρέπει να δούμε πώς αποθηκεύονται τα μηνύματα IPAWS για μελλοντική χρήση. Το σύστημα, όπως λειτουργεί σήμερα, εξαρτάται από τους χρήστες να αποθηκεύουν τα πρότυπα μηνυμάτων με ένα νόημα. Εάν δεν το κάνουν. Αν επιλέξουν ένα όνομα που είναι αρκετά παρόμοιο με ένα άλλο, αυτό το λάθος θα συμβεί ξανά.

Δεν υπάρχει σύμβαση ονομάτων που να επιβάλλει την εφαρμογή του συστήματος, ακριβώς όπως δεν υπάρχουν συμβατικές ονομασίες για άλλα αρχεία σε οποιοδήποτε άλλο σύστημα αρχείων. Τα συστήματά μας δεν επιβάλλουν ένα συγκεκριμένο σχήμα ονομασίας αρχείων στους χρήστες, για να διασφαλιστεί ότι κάθε όνομα είναι σαφές και διακριτό, έτσι ώστε να αποφευχθεί η σύγχυση στο μέλλον.

Μια πιθανή λύση - Ξεφορτωθείτε τα ονόματα αρχείων

Με πολλούς τρόπους, τα ονόματα των αρχείων είναι αναχρονισμός από παλιές μέρες, όταν η ανάγνωση δεδομένων ήταν αργή και ο χώρος ήταν δαπανηρός. Θα μπορούσαμε να τα εξαλείψουμε σε πολλές περιπτώσεις, και αυτό είναι ένα από αυτά.

Για ένα μήνυμα IPAWS WEA, υπάρχουν δύο διαφορετικά αναγνωριστικά που θα μπορούσαμε να χρησιμοποιήσουμε αντί για ένα όνομα αρχείου: το ίδιο το μήνυμα και με ποιον μεταδίδει. Το μήνυμα (BALLISTIC MISSILE THREAT INBOUND) είναι το πιο σημαντικό πράγμα και θα το διακρίνει από άλλα μηνύματα. Ο σχεδιασμός θα μπορούσε να χρησιμοποιήσει το μήνυμα ως κύριο δείκτη.

Ο σχεδιασμός θα μπορούσε επίσης να διαχωρίσει τα τρυπάνια από τις πραγματικές ειδοποιήσεις έκτακτης ανάγκης. Θα μπορούσαν να υπάρχουν ξεχωριστές λίστες για τα τρυπάνια, τα οποία διακρίνονται σαφώς από την τοποθεσία και από άλλη διακριτή οπτική κωδικοποίηση (όπως σκίαση χρώματος).

Η χρήση του μηνύματος ως αναγνωριστικού και ο διαχωρισμός των ασκήσεων θα κάνουν πολλά για να μην επαναληφθεί αυτό το πρόβλημα. Ειλικρινά, αυτό είναι ένα κλασικό πρόβλημα μικρο-αλληλεπιδράσεων. Ο καλός σχεδιασμός θα μπορούσε να προχωρήσει πολύ για να διασφαλίσουμε ότι δεν θα έχουμε ξανά αυτό το πρόβλημα.

Φυσικά, αυτό θα εξαρτηθεί από τον πωλητή του λογισμικού. Και υπάρχουν 23 πωλητές σε αυτήν την περίπτωση. Είναι η ευθύνη της FEMA να επιβάλει αυτό το είδος αλλαγής UX; Ή θα το έκαναν οι πωλητές μόνο για να αποφύγουν την αμηχανία;

Ίσως δεν θέλουμε οι νομοθέτες μας να δημιουργήσουν πρότυπα ασφάλειας για τις μεθοδολογίες ονομασίας αρχείων. Ή μήπως;

Πώς θα μπορούσαμε να προβλέψουμε αυτό το πρόβλημα;

Είναι εύκολο τώρα, με 20-20 οπισθοφωτισμό, να βλέπετε αυτό το πρόβλημα καθαρά. Αλλά θα μπορούσαμε να το προβλέψαμε την προηγούμενη εβδομάδα;

Δεν κάνουμε αρκετή δουλειά για να τονίσουμε τα δικά μας σχέδια. Δεν ρωτάμε αν οι άνθρωποι θα μπερδέψουν τα ονόματα που δημιούργησαν οι ίδιοι επειδή τα ονόματα αυτά είναι πολύ παρόμοια. Δεν αναρωτιόμαστε πώς εμποδίζουμε να πανικοβάλουμε τον πληθυσμό ενός ολόκληρου κράτους, φράσσοντας τα τηλεφωνικά κέντρα έκτακτης ανάγκης 911, ενδεχομένως θέτοντας σε κίνδυνο οποιονδήποτε έχει πραγματική κατάσταση έκτακτης ανάγκης.

Στις επιχειρήσεις ετοιμότητας έκτακτης ανάγκης, οι ασκήσεις είναι τακτική πρακτική. FEMA, οι κρατικές επιχειρήσεις έκτακτης ανάγκης και οι τοπικοί πρώτοι ανταποκριτές ασκούν τακτικά ασκήσεις. Σε αυτά τα τρυπάνια, προσπαθούν να προβλέψουν τι μπορεί να πάει στραβά. Δημιουργούν σενάρια που ωθούν στα άκρα (τι θα συμβεί αν μια τρομοκρατική επίθεση συνέβη κατά τη διάρκεια της ανάκαμψης σεισμού;), στη συνέχεια κρατήστε αναδρομές για να ξεχωρίσετε τι συνέβη και πού το σύστημα δεν συγκρατήθηκε.

Σε αυτές τις ασκήσεις, οι πωλητές προϊόντων και υπηρεσιών καλούνται να συμμετάσχουν. Παρατηρούν πώς τα προϊόντα και οι υπηρεσίες τους κράτησαν κάτω από το άγχος των προσομοιωμένων καταστάσεων. Οι έξυπνοι πωλητές εκτελούν επίσης τις δικές τους ασκήσεις και προσομοιώσεις, ωθώντας τα προϊόντα και τις υπηρεσίες τους στα άκρα. Αυτά τα άγχος δοκιμάζουν τα προϊόντα τους, δίνοντάς τους την ευκαιρία να τα κάνουν πιο ισχυρά και αποτελεσματικά.

Αυτοί οι τύποι διαδικασιών δεν είναι συνηθισμένοι στα ψηφιακά προϊόντα, εκτός από τον χώρο ασφάλειας πληροφοριών, όπου τα συνηθισμένα συμβάντα hacking έχουν γίνει συνηθισμένα. (Πέρυσι, το Υπουργείο Άμυνας των ΗΠΑ ψηφιακή υπηρεσία κάλεσε το κοινό να σπάσει σε συστήματα D.O.D., προσφέροντας μια γενναιοδωρία για όσους θα μπορούσαν να πετύχουν, να ασκήσει πίεση να ελέγξουν την ασφάλεια του συστήματός τους.)

Τι θα αποκαλύψει ένα προσομοιωμένο πυραύλλιο για τη λειτουργία του συστήματος; Θα συναντήσαμε ακριβώς το αντίθετο από το πρόβλημα που συνέβη στις 13 Ιανουαρίου; Θα βλέπαμε κάποιον χειριστή να χρησιμοποιεί το πρότυπο DRILL όταν πρόκειται να χρησιμοποιήσει την επίσημη προειδοποίηση; Στο σχέδιο δράσης έκτακτης ανάγκης του HIEMA, το μήνυμα WEA πρέπει να βγει 5 λεπτά μετά την ανίχνευση, επειδή η επίπτωση συμβαίνει 15 λεπτά αργότερα. Πόσες ζωές θα μπορούσαν να χαθούν αν μια καθυστέρηση συνέβη επειδή χρειάστηκαν 5 λεπτά για να συνειδητοποιήσουν ότι δεν είχε προειδοποιηθεί;

Χρειαζόμαστε περισσότερους από αυτούς τους τύπους μαθησιακών εμπειριών, όπου οι πωλητές και οι φορείς εκμετάλλευσης εργάζονται για να τονίσουν τα συστήματά μας. Πρέπει να καταργήσουμε τα εμπόδια των οργανώσεων και να εργαστούμε άμεσα με τους χρήστες, καθώς έχουν μεγάλη προοπτική να μας προσφέρουν. Τότε πρέπει να σχεδιάσουμε κάτι καλύτερο, κάτι ασφαλέστερο για αυτόν τον πληθυσμό.

UPDATE: Το Verge δημοσίευσε ότι ο πωλητής για το HIEMA ήταν το AlertSense, καθώς είχαμε υποψιαστεί και επιβεβαίωσε ότι το ζήτημα ήταν πράγματι ένα πρότυπο που ονομάζει το θέμα.