压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

工作來(lái)源

S&P 2024

工作背景

Web 服務(wù)器存在各種各樣的漏洞，研究人員通過(guò)自動(dòng)化測(cè)量分析了解現(xiàn)實(shí)世界的情況。但在掃描測(cè)繪的過(guò)程中，其實(shí)存在一些困境：法律問(wèn)題、道德倫理問(wèn)題和被掃描方的擔(dān)憂。

網(wǎng)絡(luò)空間中的大規(guī)模掃描測(cè)繪，很可能跨越許多司法管轄區(qū)，此處以德國(guó)法律為例進(jìn)行介紹。根據(jù)德國(guó)刑法，Web 服務(wù)器掃描可能會(huì)觸發(fā)包括數(shù)據(jù)間諜罪在內(nèi)的多條法律。受害者可以援引民法，要求對(duì)掃描造成的損害進(jìn)行賠償。除了聯(lián)邦法律之外，歐盟包括 GDPR（通用數(shù)據(jù)保護(hù)條例）在內(nèi)的多項(xiàng)法律以及各州的法律都有相關(guān)約束。

倫理問(wèn)題的考量則更加微妙，許多大學(xué)都成立了專門的委員會(huì)來(lái)對(duì)倫理道德進(jìn)行審查。安全研究產(chǎn)生的倫理問(wèn)題則更加特別，USENIX Security 與 IEEE S&P 已經(jīng)都成立了倫理委員會(huì)（REC）對(duì)研究中可能存在的倫理道德問(wèn)題進(jìn)行審查把關(guān)。

工作設(shè)計(jì)

研究人員設(shè)計(jì)了一系列模擬實(shí)際場(chǎng)景的小例子對(duì)相關(guān)方進(jìn)行訪談，每次訪談持續(xù) 37 到 116 分鐘不等，然后整理數(shù)據(jù)得出相關(guān)結(jié)論。

小例子如“Alice 檢查 Web 服務(wù)器是否存在 SQL 注入，通過(guò)類似 sleep 函數(shù)來(lái)延遲數(shù)據(jù)庫(kù)相應(yīng)，判斷該服務(wù)器是否存在漏洞”，“Bob 向 Web 服務(wù)器發(fā)送的非標(biāo)準(zhǔn) HTTP 請(qǐng)求會(huì)導(dǎo)致網(wǎng)站崩潰，且只能由 IT 部門重新啟動(dòng)服務(wù)器解決”。

研究人員向 Tranco 的 TOP 一百萬(wàn)域名的通用電子郵件地址 webmaster@domain 發(fā)送調(diào)查問(wèn)卷，最終收到 119 份有效回復(fù)。

工作準(zhǔn)備

23 次訪談的受訪者情況如下所示，其中包括 9 名法律專家、10 名網(wǎng)站運(yùn)營(yíng)方、5 名倫理委員會(huì)成員。研究人員已經(jīng)努力進(jìn)行多元化拓展，Twitter 和 LinkedIn 上的廣告分別展現(xiàn)了 4 萬(wàn)次與 2 千次。

119 份有效調(diào)查問(wèn)卷的回復(fù)中，參與者的平均年齡為 43 歲、平均運(yùn)營(yíng) 343 臺(tái)服務(wù)器。最多的是全棧工程師（Full-Stack Developer）、其次是系統(tǒng)工程師（System Engineer）與運(yùn)維工程師（DevOps）。92.4% 的參與者都表示接受過(guò)安全培訓(xùn)，以“自學(xué)“和”邊做邊學(xué)“為主。

工作評(píng)估

法律專家認(rèn)為，目前此類安全研究只能在法律的灰色地帶進(jìn)行，截止 2023 年 8 月，德國(guó)法院還沒(méi)有對(duì)此類案件的公開(kāi)判決。檢察官使用自由量裁權(quán)，在審判前認(rèn)為起訴缺乏“公共利益侵害“或者是”罪名不大“。盡管定罪的可能性很小，但如果檢察官堅(jiān)持提起訴訟，也會(huì)給安全研究人員帶來(lái)極大的壓力。即便不觸犯刑法，運(yùn)營(yíng)方援引民法也可以要求研究人員進(jìn)行賠償。

倫理道德問(wèn)題上，主要就是無(wú)法控制對(duì)遠(yuǎn)程系統(tǒng)產(chǎn)生的影響，無(wú)法判斷這種掃描是否是道德的。很難確定紅線在哪里，一般來(lái)說(shuō)大家會(huì)認(rèn)為（1）對(duì)隨機(jī)內(nèi)容進(jìn)行模糊測(cè)試（2）故意破壞服務(wù)運(yùn)營(yíng)（3）提取任何類型的個(gè)人信息，這都是顯然違背倫理道德的。

運(yùn)營(yíng)人員其實(shí)對(duì)安全研究中的掃描持積極態(tài)度，因?yàn)楫吘箳呙璞緛?lái)就是互聯(lián)網(wǎng)的一部分，壞人不打招呼也肯定會(huì)這樣做，運(yùn)營(yíng)方有義務(wù)要做好準(zhǔn)備。盡管大家理解此類行為，但很難認(rèn)同其“合法性“。并且表示，這種”不請(qǐng)自來(lái)“的掃描根本不可能知道幕后會(huì)觸發(fā)什么業(yè)務(wù)流程。掃描行為一定要避免導(dǎo)致服務(wù)器過(guò)載或者拒絕服務(wù)，業(yè)務(wù)受到影響肯定是不可接受的。另一方面，安全研究會(huì)提高組織的成本。組織的云服務(wù)可能會(huì)基于流量進(jìn)行收費(fèi)，或者是商業(yè)安全服務(wù)帶來(lái)的噪音告警。運(yùn)營(yíng)方一旦確認(rèn)是掃描，溝通無(wú)果后一般都會(huì)采取封禁 IP 的策略，同時(shí)也保留報(bào)警起訴的權(quán)利。

具體的案例來(lái)說(shuō)，如“Alice 檢查 Web 服務(wù)器是否存在 SQL 注入，通過(guò)類似 sleep 函數(shù)來(lái)延遲數(shù)據(jù)庫(kù)相應(yīng)，判斷該服務(wù)器是否存在漏洞”。

• 大多數(shù)法律專家認(rèn)為這種行為沒(méi)什么危害，但也有人指出嚴(yán)格的司法解釋可能會(huì)認(rèn)為這種行為是“未授權(quán)的數(shù)據(jù)操縱“。而且 Alice 其實(shí)無(wú)法控制服務(wù)器作出什么反映，如果執(zhí)行 sleep 命令沒(méi)有睡眠而是導(dǎo)致了崩潰，可能也會(huì)陷入法律糾紛。
• 倫理委員會(huì)的人覺(jué)得使用 sleep 已經(jīng)算是負(fù)責(zé)任的方式，這種研究不會(huì)引起倫理道德?tīng)?zhēng)議，論文可以正常發(fā)表。
• 運(yùn)營(yíng)人員考量的則更多，例如這樣操作即使不導(dǎo)致崩潰也可能導(dǎo)致緩存被影響，又或者拖慢了數(shù)據(jù)庫(kù)在極端場(chǎng)景下可能會(huì)造成重大財(cái)物損失。

具體的案例來(lái)說(shuō)，如“Bob 向 Web 服務(wù)器發(fā)送的非標(biāo)準(zhǔn) HTTP 請(qǐng)求會(huì)導(dǎo)致網(wǎng)站崩潰，且只能由IT部門重新啟動(dòng)服務(wù)器解決”。

• 法律專業(yè)人士最關(guān)心 Bob 的意圖，這樣的后果是不是由于他潛在的疏忽導(dǎo)致的。如果 Bob 能夠預(yù)料到會(huì)發(fā)生什么，并且崩潰的概率很大，很可能犯了計(jì)算機(jī)破壞罪。
• 倫理委員會(huì)的人關(guān)心 Bob 事先做了哪些努力來(lái)減輕損害？如果一開(kāi)始 Bob 沒(méi)有意識(shí)到這個(gè)問(wèn)題，是合乎道德的。一旦發(fā)現(xiàn)掃描會(huì)導(dǎo)致服務(wù)器崩潰，就看應(yīng)該立刻停止掃描，向運(yùn)營(yíng)方披露問(wèn)題，并在論文中對(duì)這一現(xiàn)象進(jìn)行討論。
• 運(yùn)營(yíng)人員只能接受一次崩潰，服務(wù)暫時(shí)中斷后續(xù)可以吸取教訓(xùn)防止此類崩潰，但研究人員如果持續(xù)造成崩潰就不可接受。

工作思考

法律專家強(qiáng)調(diào)要加強(qiáng)立法，把行為規(guī)范以法律的形式明確下來(lái)，避免產(chǎn)生模糊地帶引起法律糾紛。盡管德國(guó)避免了對(duì)安全研究/白帽類人員的起訴，但這樣也阻礙了法理學(xué)的進(jìn)步。缺乏相關(guān)法律和判決，導(dǎo)致法律專業(yè)人士也沒(méi)有辦法提供專業(yè)意見(jiàn)。荷蘭在法律中引入了豁免條款，但適用范圍仍然存在巨大爭(zhēng)議。

參考藥物研究的例子，有人建議建立預(yù)注冊(cè)審批制度。法律專家十分贊同這個(gè)想法，但也提出了跨國(guó)界、跨州界等法律邊界的問(wèn)題。運(yùn)營(yíng)人員反對(duì)由政府牽頭管理審批，避免官僚主義對(duì)研究產(chǎn)生重大影響。運(yùn)營(yíng)人員希望研究過(guò)程要盡可能地公開(kāi)透明，負(fù)責(zé)任地進(jìn)行披露是很重要的，例如有特定的標(biāo)頭標(biāo)明掃描、在固定時(shí)段掃描等都可以幫助將此類掃描與惡意掃描分開(kāi)。

總結(jié)一下，負(fù)責(zé)任的掃描要做到 ① 在實(shí)驗(yàn)室預(yù)先測(cè)試，最大限度降低影響 ② 收集存儲(chǔ)數(shù)據(jù)最小化 ③ 將對(duì)服務(wù)器數(shù)據(jù)的操縱限制在最低，避免更改用戶有關(guān)的數(shù)據(jù) ④ 資源占用盡可能小，很多請(qǐng)求要盡量拉長(zhǎng)時(shí)間 ⑤ 始終監(jiān)控掃描的狀態(tài)和結(jié)果 ⑥ 提高透明度 ⑦ 使用固定IP 地址 ⑧ 給于被掃描者退出的權(quán)力。

聲明：本文來(lái)自威脅棱鏡