什么是負責任的Web服務器掃描?
責編:gltian |2024-10-21 14:26:15工作來源
S&P 2024
工作背景
Web 服務器存在各種各樣的漏洞,研究人員通過自動化測量分析了解現實世界的情況。但在掃描測繪的過程中,其實存在一些困境:法律問題、道德倫理問題和被掃描方的擔憂。
網絡空間中的大規(guī)模掃描測繪,很可能跨越許多司法管轄區(qū),此處以德國法律為例進行介紹。根據德國刑法,Web 服務器掃描可能會觸發(fā)包括數據間諜罪在內的多條法律。受害者可以援引民法,要求對掃描造成的損害進行賠償。除了聯邦法律之外,歐盟包括 GDPR(通用數據保護條例)在內的多項法律以及各州的法律都有相關約束。
倫理問題的考量則更加微妙,許多大學都成立了專門的委員會來對倫理道德進行審查。安全研究產生的倫理問題則更加特別,USENIX Security 與 IEEE S&P 已經都成立了倫理委員會(REC)對研究中可能存在的倫理道德問題進行審查把關。
工作設計
研究人員設計了一系列模擬實際場景的小例子對相關方進行訪談,每次訪談持續(xù) 37 到 116 分鐘不等,然后整理數據得出相關結論。
小例子如“Alice 檢查 Web 服務器是否存在 SQL 注入,通過類似 sleep 函數來延遲數據庫相應,判斷該服務器是否存在漏洞”,“Bob 向 Web 服務器發(fā)送的非標準 HTTP 請求會導致網站崩潰,且只能由 IT 部門重新啟動服務器解決”。
研究人員向 Tranco 的 TOP 一百萬域名的通用電子郵件地址 webmaster@domain 發(fā)送調查問卷,最終收到 119 份有效回復。
工作準備
23 次訪談的受訪者情況如下所示,其中包括 9 名法律專家、10 名網站運營方、5 名倫理委員會成員。研究人員已經努力進行多元化拓展,Twitter 和 LinkedIn 上的廣告分別展現了 4 萬次與 2 千次。
119 份有效調查問卷的回復中,參與者的平均年齡為 43 歲、平均運營 343 臺服務器。最多的是全棧工程師(Full-Stack Developer)、其次是系統(tǒng)工程師(System Engineer)與運維工程師(DevOps)。92.4% 的參與者都表示接受過安全培訓,以“自學“和”邊做邊學“為主。
工作評估
法律專家認為,目前此類安全研究只能在法律的灰色地帶進行,截止 2023 年 8 月,德國法院還沒有對此類案件的公開判決。檢察官使用自由量裁權,在審判前認為起訴缺乏“公共利益侵害“或者是”罪名不大“。盡管定罪的可能性很小,但如果檢察官堅持提起訴訟,也會給安全研究人員帶來極大的壓力。即便不觸犯刑法,運營方援引民法也可以要求研究人員進行賠償。
倫理道德問題上,主要就是無法控制對遠程系統(tǒng)產生的影響,無法判斷這種掃描是否是道德的。很難確定紅線在哪里,一般來說大家會認為(1)對隨機內容進行模糊測試(2)故意破壞服務運營(3)提取任何類型的個人信息,這都是顯然違背倫理道德的。
運營人員其實對安全研究中的掃描持積極態(tài)度,因為畢竟掃描本來就是互聯網的一部分,壞人不打招呼也肯定會這樣做,運營方有義務要做好準備。盡管大家理解此類行為,但很難認同其“合法性“。并且表示,這種”不請自來“的掃描根本不可能知道幕后會觸發(fā)什么業(yè)務流程。掃描行為一定要避免導致服務器過載或者拒絕服務,業(yè)務受到影響肯定是不可接受的。另一方面,安全研究會提高組織的成本。組織的云服務可能會基于流量進行收費,或者是商業(yè)安全服務帶來的噪音告警。運營方一旦確認是掃描,溝通無果后一般都會采取封禁 IP 的策略,同時也保留報警起訴的權利。
具體的案例來說,如“Alice 檢查 Web 服務器是否存在 SQL 注入,通過類似 sleep 函數來延遲數據庫相應,判斷該服務器是否存在漏洞”。
- 大多數法律專家認為這種行為沒什么危害,但也有人指出嚴格的司法解釋可能會認為這種行為是“未授權的數據操縱“。而且 Alice 其實無法控制服務器作出什么反映,如果執(zhí)行 sleep 命令沒有睡眠而是導致了崩潰,可能也會陷入法律糾紛。
- 倫理委員會的人覺得使用 sleep 已經算是負責任的方式,這種研究不會引起倫理道德爭議,論文可以正常發(fā)表。
- 運營人員考量的則更多,例如這樣操作即使不導致崩潰也可能導致緩存被影響,又或者拖慢了數據庫在極端場景下可能會造成重大財物損失。
具體的案例來說,如“Bob 向 Web 服務器發(fā)送的非標準 HTTP 請求會導致網站崩潰,且只能由IT部門重新啟動服務器解決”。
- 法律專業(yè)人士最關心 Bob 的意圖,這樣的后果是不是由于他潛在的疏忽導致的。如果 Bob 能夠預料到會發(fā)生什么,并且崩潰的概率很大,很可能犯了計算機破壞罪。
- 倫理委員會的人關心 Bob 事先做了哪些努力來減輕損害?如果一開始 Bob 沒有意識到這個問題,是合乎道德的。一旦發(fā)現掃描會導致服務器崩潰,就看應該立刻停止掃描,向運營方披露問題,并在論文中對這一現象進行討論。
- 運營人員只能接受一次崩潰,服務暫時中斷后續(xù)可以吸取教訓防止此類崩潰,但研究人員如果持續(xù)造成崩潰就不可接受。
工作思考
法律專家強調要加強立法,把行為規(guī)范以法律的形式明確下來,避免產生模糊地帶引起法律糾紛。盡管德國避免了對安全研究/白帽類人員的起訴,但這樣也阻礙了法理學的進步。缺乏相關法律和判決,導致法律專業(yè)人士也沒有辦法提供專業(yè)意見。荷蘭在法律中引入了豁免條款,但適用范圍仍然存在巨大爭議。
參考藥物研究的例子,有人建議建立預注冊審批制度。法律專家十分贊同這個想法,但也提出了跨國界、跨州界等法律邊界的問題。運營人員反對由政府牽頭管理審批,避免官僚主義對研究產生重大影響。運營人員希望研究過程要盡可能地公開透明,負責任地進行披露是很重要的,例如有特定的標頭標明掃描、在固定時段掃描等都可以幫助將此類掃描與惡意掃描分開。
總結一下,負責任的掃描要做到 ① 在實驗室預先測試,最大限度降低影響 ② 收集存儲數據最小化 ③ 將對服務器數據的操縱限制在最低,避免更改用戶有關的數據 ④ 資源占用盡可能小,很多請求要盡量拉長時間 ⑤ 始終監(jiān)控掃描的狀態(tài)和結果 ⑥ 提高透明度 ⑦ 使用固定IP 地址 ⑧ 給于被掃描者退出的權力。
聲明:本文來自威脅棱鏡