工作来源

S&P 2024

工作背景

Web 服务器存在各种各样的漏洞,研究人员通过自动化测量分析了解现实世界的情况。但在扫描测绘的过程中,其实存在一些困境:法律问题、道德伦理问题和被扫描方的担忧。

网络空间中的大规模扫描测绘,很可能跨越许多司法管辖区,此处以德国法律为例进行介绍。根据德国刑法,Web 服务器扫描可能会触发包括数据间谍罪在内的多条法律。受害者可以援引民法,要求对扫描造成的损害进行赔偿。除了联邦法律之外,欧盟包括 GDPR(通用数据保护条例)在内的多项法律以及各州的法律都有相关约束。

伦理问题的考量则更加微妙,许多大学都成立了专门的委员会来对伦理道德进行审查。安全研究产生的伦理问题则更加特别,USENIX Security 与 IEEE S&P 已经都成立了伦理委员会(REC)对研究中可能存在的伦理道德问题进行审查把关。

工作设计

研究人员设计了一系列模拟实际场景的小例子对相关方进行访谈,每次访谈持续 37 到 116 分钟不等,然后整理数据得出相关结论。

小例子如“Alice 检查 Web 服务器是否存在 SQL 注入,通过类似 sleep 函数来延迟数据库相应,判断该服务器是否存在漏洞”,“Bob 向 Web 服务器发送的非标准 HTTP 请求会导致网站崩溃,且只能由 IT 部门重新启动服务器解决”。

研究人员向 Tranco 的 TOP 一百万域名的通用电子邮件地址 webmaster@domain 发送调查问卷,最终收到 119 份有效回复。

工作准备

23 次访谈的受访者情况如下所示,其中包括 9 名法律专家、10 名网站运营方、5 名伦理委员会成员。研究人员已经努力进行多元化拓展,Twitter 和 LinkedIn 上的广告分别展现了 4 万次与 2 千次。

119 份有效调查问卷的回复中,参与者的平均年龄为 43 岁、平均运营 343 台服务器。最多的是全栈工程师(Full-Stack Developer)、其次是系统工程师(System Engineer)与运维工程师(DevOps)。92.4% 的参与者都表示接受过安全培训,以“自学“和”边做边学“为主

工作评估

法律专家认为,目前此类安全研究只能在法律的灰色地带进行,截止 2023 年 8 月,德国法院还没有对此类案件的公开判决。检察官使用自由量裁权,在审判前认为起诉缺乏“公共利益侵害“或者是”罪名不大“。尽管定罪的可能性很小,但如果检察官坚持提起诉讼,也会给安全研究人员带来极大的压力。即便不触犯刑法,运营方援引民法也可以要求研究人员进行赔偿

伦理道德问题上,主要就是无法控制对远程系统产生的影响,无法判断这种扫描是否是道德的。很难确定红线在哪里,一般来说大家会认为(1)对随机内容进行模糊测试(2)故意破坏服务运营(3)提取任何类型的个人信息,这都是显然违背伦理道德的。

运营人员其实对安全研究中的扫描持积极态度,因为毕竟扫描本来就是互联网的一部分,坏人不打招呼也肯定会这样做,运营方有义务要做好准备。尽管大家理解此类行为,但很难认同其“合法性“。并且表示,这种”不请自来“的扫描根本不可能知道幕后会触发什么业务流程。扫描行为一定要避免导致服务器过载或者拒绝服务,业务受到影响肯定是不可接受的。另一方面,安全研究会提高组织的成本。组织的云服务可能会基于流量进行收费,或者是商业安全服务带来的噪音告警。运营方一旦确认是扫描,沟通无果后一般都会采取封禁 IP 的策略,同时也保留报警起诉的权利。

具体的案例来说,如“Alice 检查 Web 服务器是否存在 SQL 注入,通过类似 sleep 函数来延迟数据库相应,判断该服务器是否存在漏洞”。

  • 大多数法律专家认为这种行为没什么危害,但也有人指出严格的司法解释可能会认为这种行为是“未授权的数据操纵“。而且 Alice 其实无法控制服务器作出什么反映,如果执行 sleep 命令没有睡眠而是导致了崩溃,可能也会陷入法律纠纷。

  • 伦理委员会的人觉得使用 sleep 已经算是负责任的方式,这种研究不会引起伦理道德争议,论文可以正常发表。

  • 运营人员考量的则更多,例如这样操作即使不导致崩溃也可能导致缓存被影响,又或者拖慢了数据库在极端场景下可能会造成重大财物损失。

具体的案例来说,如“Bob 向 Web 服务器发送的非标准 HTTP 请求会导致网站崩溃,且只能由IT部门重新启动服务器解决”。

  • 法律专业人士最关心 Bob 的意图,这样的后果是不是由于他潜在的疏忽导致的。如果 Bob 能够预料到会发生什么,并且崩溃的概率很大,很可能犯了计算机破坏罪。

  • 伦理委员会的人关心 Bob 事先做了哪些努力来减轻损害?如果一开始 Bob 没有意识到这个问题,是合乎道德的。一旦发现扫描会导致服务器崩溃,就看应该立刻停止扫描,向运营方披露问题,并在论文中对这一现象进行讨论。

  • 运营人员只能接受一次崩溃,服务暂时中断后续可以吸取教训防止此类崩溃,但研究人员如果持续造成崩溃就不可接受。

工作思考

法律专家强调要加强立法,把行为规范以法律的形式明确下来,避免产生模糊地带引起法律纠纷。尽管德国避免了对安全研究/白帽类人员的起诉,但这样也阻碍了法理学的进步。缺乏相关法律和判决,导致法律专业人士也没有办法提供专业意见。荷兰在法律中引入了豁免条款,但适用范围仍然存在巨大争议。

参考药物研究的例子,有人建议建立预注册审批制度。法律专家十分赞同这个想法,但也提出了跨国界、跨州界等法律边界的问题。运营人员反对由政府牵头管理审批,避免官僚主义对研究产生重大影响。运营人员希望研究过程要尽可能地公开透明,负责任地进行披露是很重要的,例如有特定的标头标明扫描、在固定时段扫描等都可以帮助将此类扫描与恶意扫描分开。

总结一下,负责任的扫描要做到 ① 在实验室预先测试,最大限度降低影响 ② 收集存储数据最小化 ③ 将对服务器数据的操纵限制在最低,避免更改用户有关的数据 ④ 资源占用尽可能小,很多请求要尽量拉长时间 ⑤ 始终监控扫描的状态和结果 ⑥ 提高透明度 ⑦ 使用固定IP 地址 ⑧ 给于被扫描者退出的权力。

声明:本文来自威胁棱镜,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。