Этика поиска и исследования уязвимостей

• Are the research results intended to protect a specific population, and if so, which population? (E.g., the owners of infected hosts, the victims of secondary attacks using a botnet, the researchers’ own institution, or the general internet user.)

• Is there a way to achieve multiple benefits to society simultaneously when studying criminal botnet behavior? (E.g., developing new defenses, while aiding investigation of criminal acts and assisting victimized network sites?)
• Who will benefit more from publication of research findings, and in which order: Victims of criminal acts; authorities responsible for protecting their citizens; the researchers themselves; or the criminals who are perpetrating computer crimes?
• Is there any other way to accomplish the desired research result(s)?<

/blockquote>

• Результаты исследований рассчитаны на защиту определенного круга лиц, и если да, то кто они? (Например, владельцы зараженных хостов, жертвы вторичных атак с использованием ботнета, собственное учреждение исследователей или интернет-пользователь?)
• Существует ли способ одновременного получения множественных преимуществ обществу при изучении поведения преступного ботнета? (Например, разрабатывать новые средства защиты, помогая расследовать преступные деяния и помогать зараженным сетевым площадкам?)
• Кто больше выиграет от публикации результатов исследований и в каком порядке: жертвы преступных деяний; органы, ответственные за защиту своих граждан; сами исследователи; или преступники, совершающие компьютерные преступления?
• Есть ли другой способ достижения желаемых результатов исследования?

Некоторые выводы и предложения

Анализируя изложенное, можно сказать, что существует, как минимум, две категории вопросов, на которые нужны ответы.

Этика исследователя

Перед началом исследователю необходимо задать себе вопрос: «Не наврежу ли я?».
Ведь скажем, случайно «выставленный» в интернет интерфейс работающей технологической системы, становится объектом исследования. Попытка поиска уязвимости, в одном случае может привести к кратковременному сбою на производстве, в другом к аварии и, как следствие, к возможным человеческим жертвам.

Вторым немаловажным вопросом, на мой взгляд, является «конфликт интересов» исследователя.

Попробую разъяснить этот посыл: стоит отказаться от исследования, если сам исследователь будет заинтересован в тех или иных результатах исследования. Например, известный специалист по информационной безопасности проводит аудит защищенности компании, контрольным пакетом акций которой владеет его близкий родственник – очевидна возможная заинтересованность такого специалиста.

Третье, конфиденциальность.
Информацию, которую получил исследователь, он не должен использовать в личных целях или использовать любым другим образа, противоречащим закону.

Четвертое, профессионализм — насколько исследователь компетентен в вопросе поиска и исследования уязвимостей. Например, можно ли считать экспертом в этом вопросе студента первого курса технического ВУЗа или специалиста по защите информации с пятилетним опытом работе «на бумаге»?

Думаю, что требуется минимальная независимая оценка, скажем, некий «проходной балл» в область работы. Ведь, никто не допускает студента, учащегося на хирурга к операциям на пациентах без наработки определенного опыта, в том числе и жизненного.

Этика исследования

В части самого исследования, на мой взгляд, стоит рассмотреть такую группу вопросов.

• Цель исследования. Насколько цель соответствует критериям этичного исследования.
• Например, сложно считать цель исследования безопасности кардиостимуляторов этичной, когда, по заявлению самих же исследователей, цель исследования – повлиять на стоимость курса акций производителя кардиостимуляторов и на разнице получить прибыли и окупить исследование. Интервью с MedSec Holdings CEO Justine Bone.
• Выбранная методология исследования – насколько позволит достигнуть целей исследования
• Границы исследования. Исследователю необходимо точно понимать в какой момент стоит остановить работы.
• Объективность и полнота исследования. Исследование должно учитывать факторы, имеющие значение при проведении исследования, а также использовать научно обоснованные методики. Финансовая модель компании-исследователя не может дать полную гарантию относительно объективности исследования, хотя на коротких позициях позволит получить прибыль, что на практике может привести к превращению исследований по безопасности в инструмент конкурентной борьбе. Хотя нужно отметить, что выводы об уязвимостях оборудования St. Jude Medical, Inc., были подтверждены независимым экспертом в суде США. (см. материалы дела Приложение А) (11)
• Выбранная методологий исследования – насколько позволит она достигнуть целей исследования, соблюсти принципы объективности и полноты для такого рода исследований.
• Конфиденциальность исследования. Если «плохие парни» получат даже неполные результаты исследования – это может привести к печальным последствиям.
• И самый важный вопрос, насколько исследование нарушает права человека в области неприкосновенности частной жизни, его безопасности. Люди с кардиостимуляторами, узнав об их уязвимости вряд ли останутся равнодушными к этому обстоятельству, но с другой стороны информацию об уязвимости тоже запрещать к распространению нельзя. Об этом прямо говорит решение суда:

Текст источника

«Plaintiff’s request for injunctive relief fails because, … also would undermine the public interest by enabling Plaintiff to continue marketing products with significant security vulnerabilities, as detailed in the Muddy Waters reports and confirmed by the Bishop Fox analysis, see Exhibit A. Thus, any such injunction, by silencing Defendants, endangers the lives and risks the health of thousands of unsuspecting consumers. »

«Запрос Истца судебного запрета (Прим. Пер: относительно такой информации) не удовлетворен… позволив Истцу продолжать продавать продукты со значительной уязвимостью безопасности, как подробно описано в отчетах Muddy Waters и подтверждено анализом Bishop Fox, см. Приложение A. Таким образом, любое такой судебный запрет, ставит под угрозу жизнь и рискует здоровьем тысяч ничего не подозревающих потребителей.»

Учитывая изложенное выше, можно предложить использовать такой чек-лист исследования:

1. Необходимо ли это исследование: какие аргументы «за» какие «против»?
2. Какова истинная цель исследования?
3. Если вы работаете в компании в сфере информационной безопасности, соответствуют ли цели исследования целям компании?
4. Имеют ли исследователи соответствующие знания для проведения такого исследования?
5. Адекватен ли дизайн и соответствует ли методология внутреннему содержанию исследования?
6. Есть ли иной путь получения аналогичных результатов исследования?
7. Каков потенциальный вред и выгода для исследователей и участников, который может возникнуть в результате исследования?
8. Существуют ли какие-либо другие стороны или партнеры, участвующие в исследовании? Каковы их интересы в исследовании? Кто будет получать выгоду прямо или косвенно из исследования?
9. Есть ли «конфликт интересов» вокруг исследования?
10. Как вы планируете защищать конфиденциальность и анонимность? Что будет с данными? Как к ним будет обеспечен доступ? Как планируется организовать защиту данных?
11. Получали ли исследователи подготовку, информацию и помощь, связанную с решением этических вопросов?

Вопросы этики поиска и исследования будут всегда, как показывает история медицинских исследований должен будет сформироваться как минимум общественный институт контроля над проведением исследований уязвимостей информационных технологий.

Возможно, также стоит расширить обзор границ этичности исследований уязвимостей в части работающих систем на предмет их надежности и непрерывности работы, т.к. если в контролируемой среде исследования произойдет деградация ИТ сервиса, то это будет лучше, если тоже самое произойдет при реальной неожиданной атаке злоумышленников.

Стоит выразить надежду, что общественные процессы в направлении этичности исследований уязвимостей будут только развиваться. Полагаю, что этот процесс мы уже можем наблюдать в части раскрытия информации об уязвимостях.

В следующем материале попробую рассказать о подходах и существующей практике в раскрытии информации об уязвимостях программного обеспечения.

Источники

(1) Nuremberg Code
(2) The Belmont Report. Ethical Principles and Guidelines for the Protection of Human Subjects of Research
(3) Дилемма Хайнца
(4) Bruce Schneier, The Ethics of Vulnerability Research.
(5) IEEE Code of Ethics.
(6) ACM Code of Ethics and Professional Conduct.
(7) Software Engineering Code of Ethics.
(8) Weippl E., Schrittwieser S., Rennert S. (2017) Empirical Research and Research Ethics in Information Security. In: Camp O., Furnell S., Mori P. (eds) Information Systems Security and Privacy. ICISSP 2016. Communications in Computer and Information Science, vol 691. Springer, Cham
(9) Principles and Guidelines for ethical research and evaluation in development.
(10) Dittrich, D., Bailey, M.D., Dietrich, S.: Towards community standards for ethical behavior in computer security research. Technical Report 2009-01, Stevens Institute of Technology, Hoboken, NJ, USA (April 2009)
(11) Судебное разбирательство

Дополнительный материал

(1) E. Kenneally, M. Bailey, and D. Maughan, «A Framework for Understanding and Applying Ethical Principles in Network and Security Research », in Workshop on Ethics in Computer Security Research (WECSR). Jan 2010.
(2) Dittrich, D., Bailey, M., & Dietrich, S. (2011). Building an active computer security ethics community. IEEE Security and Privacy, 9(3), 1–9.
(3) Buchanan E1, Aycock J, Dexter S, Dittrich D, Hvizdak E. “Computer science security research and human subjects: emerging considerations for research ethics boards.”
(4) Conducting Cybersecurity Research Legally and Ethically. Aaron J. Burstein. University of California, Berkeley (School of Law)
(5) Ethics Research & Development Summary: Cyber-security Research Ethics Decision Support (CREDS) Tool Workshop on Ethics in Networked Systems Research
(6) Ethical Dilemmas in Take-down Research. Tyler Moore and Richard Clayton. Center for Research on Computation and Society, Harvard University, USA
(7) Schrittwieser, S., Mulazzani, M., & Weippl, E. (2013), “Ethics in Security Research — Which Lines Should Not Be Crossed?”, Security and Privacy Workshops (SPW), 2013 IEEE, pp1-4.
(8) Legal, Ethical, and Professional Issues in Information Security, Jessica Shimmal Faculty of Science Information and Technology, University of South Pacifc, Laucala Fiji Island
(9) The Sage encyclopedia of qualitative research methods / editor, Lisa M. Given.

Let's block ads! (Why?)