«It seemed that when people entered the computer center they left their ethics at the door»Слабости есть во всем: в наших телах перед вирусами и течением времени, в нашей памяти и разуме. Программное обеспечение, создаваемое нами тоже несовершенно.
Donn Parker, «Rules of Ethics in Information Processing», 1968
«Кажется, что, когда люди вошли в компьютерный центр, они оставили свою этику у двери»
Донн Паркер, «Правила этики в обработке информации», 1968
В данном материале попробую рассмотреть вопрос этики поиска и исследования уязвимостей.
Наверное, человечество всю свою историю искало уязвимости в разных областях. Например, медицина. На картине ниже врачи-ученые изучают тело умершего, чтобы понять, как работает или устроен человеческий организм.
Урок анатомии доктора Тульпа. 1632. Рембрандт
На мой взгляд, в истории медицины и истории исследований уязвимостей в программном обеспечении много общего. Ученых-медиков не так давно могли признать виновными в проведении медицинских исследований, т.к. такие работы противоречили идеологии государства-церкви. Со временем человечество убедилось в необходимости медицинских исследований и экспериментов, но при этом были выработаны определенные правила, рекомендации проведения таких исследований. Как например, Nuremberg Code (1947) (1) или «The Belmont Report. Ethical Principles and Guidelines for the Protection of Human Subjects of Research», 1979. (2)
Информационные технологии настолько плотно переплелись со всеми аспектами нашей жизни, что представить современность без них совершенно невозможно. Однако, во всех технологиях есть уязвимости, использование которых несет угрозу для человека.
Сначала определим, что такое этика и уязвимость:
Этика — учение о морали (нравственности), её развитии, принципах, нормах и роли в обществе.
Уязвимость — параметр, характеризующий возможность нанесения описываемой системе повреждений любой природы теми или иными внешними средствами или факторами.
Уязвимость — параметр, характеризующий возможность нанесения описываемой системе повреждений любой природы теми или иными внешними средствами или факторами.
Почему мы ищем уязвимости?
У людей могут быть совершенно разные мотивы поиска уязвимостей перечислим некоторые из них:
— любопытство;
— исследовательский интерес;
— корыстный интерес;
— желание прославиться, заработать репутацию;
— спектр личных мотивов;
— сделать доброе дело.
Интересной выглядит ситуация с точки зрения этики, когда человек обладает соответствующей квалификаций для поиска уязвимостей, но не делает этого, а обстоятельства его могут вынудить к этому.
Предлагаю для поиска ответа на этот вопрос рассмотреть несколько измененную дилемму Хайнца:
Женщина умирает от особой формы рака. Есть только одно лекарство, которое, по мнению докторов, могло бы ее спасти. Это недавно открытый препарат. Изготовление лекарства стоит дорого. Но фармацевтическая компания назначила цену в 10 раз больше.
Муж больной женщины, Хайнц, обошел всех знакомых, взял взаймы сколько смог и использовал все легальные средства, но собрал лишь около половины суммы. Он обратился в фармацевтическую компанию за помощью и просил снизить цену лекарства, либо продать его в рассрочку. Но компания ответила, что не собирается менять свою ценовую политику.
И тогда Хайнц решил взломать корпоративную сеть компании, выкрасть формулу препарата и способ его изготовления, передать эту информацию тому, кто сможет изготовить для его жены лекарство.
Должен ли Хайнц украсть лекарство? Почему?В этом отношении интересна позиция Брюса Шнайера (4), он говорит:
Если бы Хайнц не любил свою жену, должен он был бы украсть лекарство для нее?
Предположим, что умирает не его жена, а чужой человек. Должен ли Хайнц стащить лекарство для чужого? Почему да или нет?
Самое главное: «правильного» решения этой дилеммы нет! Если человек считает, что фармацевтическую компанию нужно взломать, его нельзя назвать более нравственным или менее нравственным. Весь вопрос в том, как принимается решения (3)
To me, the question isn't whether it's ethical to do vulnerability research. If someone has the skill to analyze and provide better insights into the problem, the question is whether it is ethical for him not to do vulnerability research.Наверное, можно частично согласится с приведенным мнением, что центральный вопрос не в том: исследовать или не исследовать программное обеспечение на уязвимости, а насколько этично для данного исследователя проводить такую работу, может ли он проводить такие исследования, и насколько этично исследование само по себе, при этом еще конечно существует вопрос применимости законодательства.
Для меня вопрос заключается не в том, является ли этичным исследование уязвимости. Если у кого-то есть умение анализировать и лучше понимать проблему, вопрос в том, является ли этичным для него не проводить исследования уязвимости.
Какие кодексы этичного поведения существуют в ИТ?
— «IEEE Code of Ethics»; (5)
— «ACM Code of Ethics and Professional Conduct»; (6)
— «Software Engineering Code of Ethics». (7)
Принципы этичного исследования уязвимостей
Авторы статьи «Empirical Research and Research Ethics in Information Security» (8) приводят такой список принципов этичного исследования в области информационной безопасности:
— Do Not Harm Humans Actively;The Australian Council for International Development (ACFID) приводит перечень десяти вопросов (9), на которые необходимо ответить перед тем, как начать общее исследование:
— Do Not Watch Bad Things Happening;
— Do Not Perform Illegal Activities to Harm Illegal Activities;
— Do Not Conduct Undercover Research.
---------------------------------------------------------------------------------------
— Не наносите вред людям;
— Не оставайтесь в стороне;
— Не производите незаконных действий для прекращения незаконных деяний;
— Не проводите тайных исследований.
Текст источника
When planning to conduct research, consider:
1. Is the research necessary and well justified? What are you looking to investigate and why is it important?
2. Is the research well planned? Does it connect to a particular program of work in your organization? Do researchers have the relevant expertise to conduct the research?
3. What is the context in which the research will be conducted? How will this context influence the research design?
4. How is the methodology and analysis appropriate to the context and what is being investigated?
5. What are the potential harms and benefits for researchers and participants that could arise from the research?
6. What information about the research will be provided to the participants? How will free and informed consent be obtained and ensured throughout the research process?
7. Are there any other parties or partners involved in the research? What are their interests in the research? Who will benefit directly and indirectly from the research?
8. How do you plan to protect confidentiality and anonymity? What will happen to the data? How will it be accessed and secured?
9. Have researchers received training, information and assistance related to addressing ethical issues?
10. How will the findings be disseminated and used? Will participants have access to validating and receiving the results of the research? What will happen when the research is complete?
При планировании проведения исследований учитывайте:
- Является ли исследование необходимым и обоснованным? Что вы ищете для изучения и почему это важно?
- Исследование хорошо спланировано? Соединяется ли она с конкретной программой работы в вашей организации? Имеют ли исследователи соответствующие знания для проведения исследований?
- Каков контекст, в котором будут проводиться исследования? Как этот контекст повлияет на дизайн исследования?
- Как методология и анализ соответствуют контексту и тому, что исследуется?
- Каковы потенциальный вред и выгода для исследователей и участников, которые могут возникнуть в результате исследований?
- Какая информация об исследовании будет предоставлена участникам? Как получить и обеспечить свободное и осознанное согласие на протяжении всего исследовательского процесса?
- Существуют ли какие-либо другие стороны или партнеры, участвующие в исследовании? Каковы их интересы в исследовании? Кто будет получать выгоду прямо или косвенно из исследования?
- Как вы планируете защищать конфиденциальность и анонимность? Что будет с данными? Как к ним будет организован доступ и обеспечена их защита??
- Получили ли исследователи подготовку, информацию и помощь, связанные с решением этических вопросов?
- Как будут распространяться и использоваться результаты? Получат ли участники доступ к проверке и получению результатов исследования? Что произойдет, когда исследование будет завершено?
Стоит привести также ряд вопросов из статьи “Towards Community Standards for Ethical Behavior in Computer Security Research» (10):
— Are the research results intended to protect a specific population, and if so, which population? (E.g., the owners of infected hosts, the victims of secondary attacks using a botnet, the researchers’ own institution, or the general internet user.)
— Is there a way to achieve multiple benefits to society simultaneously when studying criminal botnet behavior? (E.g., developing new defenses, while aiding investigation of criminal acts and assisting victimized network sites?)
— Who will benefit more from publication of research findings, and in which order: Victims of criminal acts; authorities responsible for protecting their citizens; the researchers themselves; or the criminals who are perpetrating computer crimes?
-Is there any other way to accomplish the desired research result(s)?
- Результаты исследований рассчитаны на защиту определенного круга лиц, и если да, то кто они? (Например, владельцы зараженных хостов, жертвы вторичных атак с использованием ботнета, собственное учреждение исследователей или интернет-пользователь?)
- Существует ли способ одновременного получения множественных преимуществ обществу при изучении поведения преступного ботнета? (Например, разрабатывать новые средства защиты, помогая расследовать преступные деяния и помогать зараженным сетевым площадкам?)
- Кто больше выиграет от публикации результатов исследований и в каком порядке: жертвы преступных деяний; органы, ответственные за защиту своих граждан; сами исследователи; или преступники, совершающие компьютерные преступления?
- Есть ли другой способ достижения желаемых результатов исследования?
Некоторые выводы и предложения
Анализируя изложенное, можно сказать, что существует, как минимум, две категории вопросов, на которые нужны ответы.
Этика исследователя
Перед началом исследователю необходимо задать себе вопрос: «Не наврежу ли я?».
Ведь скажем, случайно «выставленный» в интернет интерфейс работающей технологической системы, становится объектом исследования. Попытка поиска уязвимости, в одном случае может привести к кратковременному сбою на производстве, в другом к аварии и, как следствие, к возможным человеческим жертвам.
Вторым немаловажным вопросом, на мой взгляд, является «конфликт интересов» исследователя.
Попробую разъяснить этот посыл: стоит отказаться от исследования, если сам исследователь будет заинтересован в тех или иных результатах исследования. Например, известный специалист по информационной безопасности проводит аудит защищенности компании, контрольным пакетом акций которой владеет его близкий родственник – очевидна возможная заинтересованность такого специалиста.
Третье, конфиденциальность.
Информацию, которую получил исследователь, он не должен использовать в личных целях или использовать любым другим образа, противоречащим закону.
Четвертое, профессионализм — насколько исследователь компетентен в вопросе поиска и исследования уязвимостей. Например, можно ли считать экспертом в этом вопросе студента первого курса технического ВУЗа или специалиста по защите информации с пятилетним опытом работе «на бумаге»?
Думаю, что требуется минимальная независимая оценка, скажем, некий «проходной балл» в область работы. Ведь, никто не допускает студента, учащегося на хирурга к операциям на пациентах без наработки определенного опыта, в том числе и жизненного.
Этика исследования
В части самого исследования, на мой взгляд, стоит рассмотреть такую группу вопросов.
- Цель исследования. Насколько цель соответствует критериям этичного исследования.
- Например, сложно считать цель исследования безопасности кардиостимуляторов этичной, когда, по заявлению самих же исследователей, цель исследования – повлиять на стоимость курса акций производителя кардиостимуляторов и на разнице получить прибыли и окупить исследование. Интервью с MedSec Holdings CEO Justine Bone.
- Выбранная методология исследования – насколько позволит достигнуть целей исследования
- Границы исследования. Исследователю необходимо точно понимать в какой момент стоит остановить работы.
- Объективность и полнота исследования. Исследование должно учитывать факторы, имеющие значение при проведении исследования, а также использовать научно обоснованные методики. Финансовая модель компании-исследователя не может дать полную гарантию относительно объективности исследования, хотя на коротких позициях позволит получить прибыль, что на практике может привести к превращению исследований по безопасности в инструмент конкурентной борьбе. Хотя нужно отметить, что выводы об уязвимостях оборудования St. Jude Medical, Inc., были подтверждены независимым экспертом в суде США. (см. материалы дела Приложение А) (11)
- Выбранная методологий исследования – насколько позволит она достигнуть целей исследования, соблюсти принципы объективности и полноты для такого рода исследований.
- Конфиденциальность исследования. Если «плохие парни» получат даже неполные результаты исследования – это может привести к печальным последствиям.
- И самый важный вопрос, насколько исследование нарушает права человека в области неприкосновенности частной жизни, его безопасности. Люди с кардиостимуляторами, узнав об их уязвимости вряд ли останутся равнодушными к этому обстоятельству, но с другой стороны информацию об уязвимости тоже запрещать к распространению нельзя. Об этом прямо говорит решение суда:
Текст источника
«Plaintiff’s request for injunctive relief fails because, … also would undermine the public interest by enabling Plaintiff to continue marketing products with significant security vulnerabilities, as detailed in the Muddy Waters reports and confirmed by the Bishop Fox analysis, see Exhibit A. Thus, any such injunction, by silencing Defendants, endangers the lives and risks the health of thousands of unsuspecting consumers. »
«Запрос Истца судебного запрета (Прим. Пер: относительно такой информации) не удовлетворен… позволив Истцу продолжать продавать продукты со значительной уязвимостью безопасности, как подробно описано в отчетах Muddy Waters и подтверждено анализом Bishop Fox, см. Приложение A. Таким образом, любое такой судебный запрет, ставит под угрозу жизнь и рискует здоровьем тысяч ничего не подозревающих потребителей.»Учитывая изложенное выше, можно предложить использовать такой чек-лист исследования:
1. Необходимо ли это исследование: какие аргументы «за» какие «против»?
2. Какова истинная цель исследования?
3. Если вы работаете в компании в сфере информационной безопасности, соответствуют ли цели исследования целям компании?
4. Имеют ли исследователи соответствующие знания для проведения такого исследования?
5. Адекватен ли дизайн и соответствует ли методология внутреннему содержанию исследования?
6. Есть ли иной путь получения аналогичных результатов исследования?
7. Каков потенциальный вред и выгода для исследователей и участников, который может возникнуть в результате исследования?
8. Существуют ли какие-либо другие стороны или партнеры, участвующие в исследовании? Каковы их интересы в исследовании? Кто будет получать выгоду прямо или косвенно из исследования?
9. Есть ли «конфликт интересов» вокруг исследования?
10. Как вы планируете защищать конфиденциальность и анонимность? Что будет с данными? Как к ним будет обеспечен доступ? Как планируется организовать защиту данных?
11. Получали ли исследователи подготовку, информацию и помощь, связанную с решением этических вопросов?
Вопросы этики поиска и исследования будут всегда, как показывает история медицинских исследований должен будет сформироваться как минимум общественный институт контроля над проведением исследований уязвимостей информационных технологий.
Возможно, также стоит расширить обзор границ этичности исследований уязвимостей в части работающих систем на предмет их надежности и непрерывности работы, т.к. если в контролируемой среде исследования произойдет деградация ИТ сервиса, то это будет лучше, если тоже самое произойдет при реальной неожиданной атаке злоумышленников.
Стоит выразить надежду, что общественные процессы в направлении этичности исследований уязвимостей будут только развиваться. Полагаю, что этот процесс мы уже можем наблюдать в части раскрытия информации об уязвимостях.
В следующем материале попробую рассказать о подходах и существующей практике в раскрытии информации об уязвимостях программного обеспечения.
Источники
(1) Nuremberg Code
(2) The Belmont Report. Ethical Principles and Guidelines for the Protection of Human Subjects of Research
(3) Дилемма Хайнца
(4) Bruce Schneier, The Ethics of Vulnerability Research.
(5) IEEE Code of Ethics.
(6) ACM Code of Ethics and Professional Conduct.
(7) Software Engineering Code of Ethics.
(8) Weippl E., Schrittwieser S., Rennert S. (2017) Empirical Research and Research Ethics in Information Security. In: Camp O., Furnell S., Mori P. (eds) Information Systems Security and Privacy. ICISSP 2016. Communications in Computer and Information Science, vol 691. Springer, Cham
(9) Principles and Guidelines for ethical research and evaluation in development.
(10) Dittrich, D., Bailey, M.D., Dietrich, S.: Towards community standards for ethical behavior in computer security research. Technical Report 2009-01, Stevens Institute of Technology, Hoboken, NJ, USA (April 2009)
(11) Судебное разбирательство
(2) The Belmont Report. Ethical Principles and Guidelines for the Protection of Human Subjects of Research
(3) Дилемма Хайнца
(4) Bruce Schneier, The Ethics of Vulnerability Research.
(5) IEEE Code of Ethics.
(6) ACM Code of Ethics and Professional Conduct.
(7) Software Engineering Code of Ethics.
(8) Weippl E., Schrittwieser S., Rennert S. (2017) Empirical Research and Research Ethics in Information Security. In: Camp O., Furnell S., Mori P. (eds) Information Systems Security and Privacy. ICISSP 2016. Communications in Computer and Information Science, vol 691. Springer, Cham
(9) Principles and Guidelines for ethical research and evaluation in development.
(10) Dittrich, D., Bailey, M.D., Dietrich, S.: Towards community standards for ethical behavior in computer security research. Technical Report 2009-01, Stevens Institute of Technology, Hoboken, NJ, USA (April 2009)
(11) Судебное разбирательство
Дополнительный материал
(1) E. Kenneally, M. Bailey, and D. Maughan, «A Framework for Understanding and Applying Ethical Principles in Network and Security Research », in Workshop on Ethics in Computer Security Research (WECSR). Jan 2010.
(2) Dittrich, D., Bailey, M., & Dietrich, S. (2011). Building an active computer security ethics community. IEEE Security and Privacy, 9(3), 1–9.
(3) Buchanan E1, Aycock J, Dexter S, Dittrich D, Hvizdak E. “Computer science security research and human subjects: emerging considerations for research ethics boards.”
(4) Conducting Cybersecurity Research Legally and Ethically. Aaron J. Burstein. University of California, Berkeley (School of Law)
(5) Ethics Research & Development Summary: Cyber-security Research Ethics Decision Support (CREDS) Tool Workshop on Ethics in Networked Systems Research
(6) Ethical Dilemmas in Take-down Research. Tyler Moore and Richard Clayton. Center for Research on Computation and Society, Harvard University, USA
(7) Schrittwieser, S., Mulazzani, M., & Weippl, E. (2013), “Ethics in Security Research — Which Lines Should Not Be Crossed?”, Security and Privacy Workshops (SPW), 2013 IEEE, pp1-4.
(8) Legal, Ethical, and Professional Issues in Information Security, Jessica Shimmal Faculty of Science Information and Technology, University of South Pacifc, Laucala Fiji Island
(9) The Sage encyclopedia of qualitative research methods / editor, Lisa M. Given.
(2) Dittrich, D., Bailey, M., & Dietrich, S. (2011). Building an active computer security ethics community. IEEE Security and Privacy, 9(3), 1–9.
(3) Buchanan E1, Aycock J, Dexter S, Dittrich D, Hvizdak E. “Computer science security research and human subjects: emerging considerations for research ethics boards.”
(4) Conducting Cybersecurity Research Legally and Ethically. Aaron J. Burstein. University of California, Berkeley (School of Law)
(5) Ethics Research & Development Summary: Cyber-security Research Ethics Decision Support (CREDS) Tool Workshop on Ethics in Networked Systems Research
(6) Ethical Dilemmas in Take-down Research. Tyler Moore and Richard Clayton. Center for Research on Computation and Society, Harvard University, USA
(7) Schrittwieser, S., Mulazzani, M., & Weippl, E. (2013), “Ethics in Security Research — Which Lines Should Not Be Crossed?”, Security and Privacy Workshops (SPW), 2013 IEEE, pp1-4.
(8) Legal, Ethical, and Professional Issues in Information Security, Jessica Shimmal Faculty of Science Information and Technology, University of South Pacifc, Laucala Fiji Island
(9) The Sage encyclopedia of qualitative research methods / editor, Lisa M. Given.