一场关于网络安全伦理审查的对话
前言
前不久,明尼苏达大学卢康杰教授的研究团队针对Linux操作系统审核流程的研究事件,在安全业界掀起轩然大波。在网络空间安全国际学术研究交流会上,近期热点事件的当事人对其经验和教训进行分享,中国顶级的法学专家也从法律角度介绍科学研究的伦理和法律边界,希望引起国内安全研究领域的重视,给技术研究人员处理伦理问题提供一些参考。
缘起:针对Linux操作系统审核流程的研究
2021年,卢康杰教授研究组在国际安全会议IEEE Security&Privacy上发表了一篇研究论文:《能否通过提交看似合理的补丁向项目中注入潜在的漏洞?》。
这篇论文讨论了一个新型安全威胁一一如果攻击者不能直接影响开源软件的代码,也即不能增加或者修改任何功能,他们是否可以通过提交看似合理的、只修改一两行代码的补丁来向项目间接引入潜在的漏洞?
这项研究正是致力于回答这个问题。该研究首先揭示一种新的漏洞引入技术,然后基于历史数据对这种漏洞引入的可行性做了系统化分析。最后该项目还进行了案例分析,进一步证实其可行性。
论文的结论是这种新的漏洞引入技术确实可行,代码审计的安全性有待提升。比如,历史数据表明,释放后重用(use-after-free)漏洞的捕捉率不到50%。
“因为案例分析涉及Linux代码维护人员,这项研究在2020年11月及2021年4月的社交媒体平台引发了大量讨论和争议。值得大家注意的是,该项目并没有试图引入Linux漏洞,也确实没有引入漏洞。”卢康杰教授说。
卢康杰:技术意义不能代表全部
卢康杰
■ 明尼苏达大学教授
明尼苏达大学卢康杰教授作为此次事件的当事人,他不仅向大家解释了此项研究的目的和意义,也对整个事件造成的社会影响进行了客观的分析和总结:
我们今年发表的一篇研究论文,由于伦理方面原因,在网络上遭遇了很多批评和攻击,那么回过头来看,这项研发工作是否有意义?
我认为,它是非常有意义的,这项研究揭示的是一种低门槛、更隐秘、可否认、更系统化的新的漏洞研究方法,研究目的是提升安全技术人员的安全意识。
作为安全研究人员,我们都有一种理念,解决一个问题前应先发现或理解这个问题。很多研究都有很好的立意,而且很多安全问题的解决也都是从学术论文研究开始的。
这项研究工作是具有一定意义的,但并不能仅单纯地考虑其技术方面的意义,还要考虑社区层面甚至社会层面的影响。然而,对于这一方面的影响,我们在研究过程中其实是有欠考虑的,今后一定吸取教训并改进。
经过此次事件,我希望今后能以更为成熟的方法来研究技术问题。对于实验本身,我认为可以从两个方面进行改进。
第一,对于论文而言,回顾整篇文章,我们其实可以选择不做这个实验。因为文章的其他章节已经提供了大量信息,印证这种漏洞的研究方法是可行的。
第二,假设必须要进行该项实验,应该怎么做?
在我看来,首先不要太相信自己的判断力,而是主动与Lunix方进行沟通,不论对方是否同意,首要应征询其意见;其次,在实验设计环节,也要寻求更多专业人员意见,包括Lunix核心开发人员的意见,确保实验过程是安全的,不会浪费太多维护人员的时间和精力。
周亚金:整个领域对
伦理审查问题并非足够重视
周亚金
■ 浙江大学研究员
浙江大学周亚金研究员同时也是2021 IEEE Security&Privacy程序委员会(PC)的成员,他从PC的角度分析了应如何考虑论文中伦理的问题:
我主要分享我们从这次整个事件中得到的教训:
1.其实伦理问题在整个计算机领域并没有得到足够的重视。
卢教授这篇投稿的四个审稿人中,曾有一人在审稿阶段提到,论文中的内容可能会引起伦理审查问题;但因当时大家给予了这篇论文非常高的评分,所以伦理问题并没有在组委会展开进一步的讨论,导致论文中存在的伦理问题并没有及时被大家发现。
另外,由于疫情原因,IEEE Security&Privacy没有举行现场PC会议,所以也没有针对论文中的伦理问题进行足够的讨论,实际上相关问题被大家忽略了。
因此,在2022年的投稿和审稿程序中,IEEE Security&Privacy增加了一个新的选项:如果有任何一个审稿人对投稿论文存在伦理方面的质疑,可以对该论文进行标记,这篇论文将会由一个伦理审查委员会进行进一步的讨论和评审,这样会将之前被大家忽视的伦理问题提到一个足够重要的地位。
2.作为会议的审稿人和程序委员会成员,是否有足够的专业知识来认定某项研究工作是否存在伦理问题,或者他们是否能够承担起伦理审查委员会(Institutional Review Board,简称IRB)的职责?
答案是不能肯定的。
事实上,会议的PC(程序委员会委员)和审稿人来自世界各地,很多国家并没有成熟的伦理道德审查组织。而即使学校有相应的伦理审查委员会,对于伦理问题是否有足够到位的评判,也不是确定的。
所以,会议的PC是不是能很好地组织相应的专家,判断投稿论文中的伦理问题,这一点是值得商榷的。
基于此,我认为会议的组织方需要引入更为专业、有伦理判断能力的专业评审人员补充进审稿队伍,这样,评审人员不需要对专业的技术内容进行评审,但可以从伦理角度对论文进行更多的考虑和评判。
李卷孺:研究人员应主动发声
李卷孺
■ 上海交通大学
上海交通大学李卷孺从媒体报道的角度,为大家梳理了整个事件的前因后果:
我们很早就阅读了卢康杰教授团队发表的这篇论文,从研究人员的角度来看,我认为这是一项很好的研究。
实际上,该研究的舆情发酵始于今年4月,国内很多公众号在自媒体平台发表了大量文章,这些文章普遍存在引起歧义或偏激的内容和观点,在网络上引发了网友大范围的讨论和传播。
问题的关键是,这些传播是在没有充分了解事实真相的情况下进行的。例如,一些文章的标题命名为“蓄意引入漏洞”或“华人教授”之类的用语,并且很多内容都是从国外的报道中断章取义或者翻译过来的。
这种报道给自媒体带来了很多的流量关注,也引发了轰动效应,但实际上这些内容并没有尊重事实真相这一新闻报道应该遵守的基本准则。此外,还有不少大咖转发评论,但他们在没有了解清楚事实的细节或真相的情况下,就进行了主观传播,也有失偏颇。
我们看到相关报道后,第一时间发表了很多关于客观真相的解释和说明,其实这也代表网络安全社区的反击,让大家了解客观真相后进行更为理性的评价,避免盲目随从舆论,无意识地传播扩散。
另一个细节是,在事件过去半个月后,在LWN.net平台上很多网友对该事件进行评论,其中也存在不少有争议或者与事实不符的讨论。
在Linux对事件进行了二次澄清和解释之后,大家开始重新讨论这篇论文的研究是否真有如此大的危害性,很多人才开始意识到事实并非如此。
其中有用户发表了一个很长的评论,批评LWN.net之前的报道,认为其对于安全研究人员的评论是不客观的。其实这个用户正是Linux技术指导委员会成员之一。这时,很多人才开始意识到自己曾经的评论存在问题。于是事情开始反转,出现了一些客观和理性的讨论和发声。
因此,从整个事件来看,我们作为安全技术人员,更应该主动发声,公布事件的细节和真相,让大家更加客观地了解和评价这项工作。
梁振凯:应从广义概念
来看系统或技术对社会的影响
梁振凯
■ 新加坡国立大学教授
新加坡国立大学梁振凯教授介绍了新加坡国立大学伦理委员会的组织架构和流程,以及他们在研究中碰到的伦理问题是如何处理解决的:
大家之所以探讨计算机领域的伦理问题,其实是由于计算机的地位如今变得更为重要。过去计算机只是一个系统工具,但是现在它已变成了社会的一个主要载体,一个社会生存平台,所以需要承担的责任就变得更多。
存在的问题是系统对人有什么影响?这里有一些比较棘手的问题,类似人脸识别等,技术如果任由它发展,它的影响力会越来越大,那么作为安全研究人员,我们应该怎么办?
还有一个维度是人和人之间的关系,对技术、安全有哪些影响,其实也是研究系统和人的关系。
由于我们开展的研究对社会的影响越来越显著,更应该从广义概念来看系统或技术对社会的影响,相关影响也决定我们用什么样的规则去看待安全研究。
简单介绍新加坡国立大学的伦理审查委员会发展过程:新加坡国立大学的伦理审查委员会成立于2003年9月,主要分成两部分,一部分是传统的伦理道德审查研究,包括常见的生命医学和人体组织等相关内容(简称HBR);另一部分是研究人和人的行为(简称SBER),包括新型的法案以及个人信息保护等。
在国际上,它还在美国卫生部下属的数据库进行注册,以保证有同样的标准。
如果在学校开展相关安全研究,整个过程可以分成以下几个步骤:
首先要把研究需求提交到院系,经同意后提交到学校,之后伦理审查委员会的秘书会反馈结果,全部流程通过之后,就可以开始展开相关的研究。
我们过去一直在从事系统方面的研究,所以并没有遇到太多伦理问题,直到最近我们和心理学同事合作开展相关研究。这项研究开始前,我们做了大量准备工作,包括需要解释清楚整个研究的来龙去脉,实验的目的、步骤、结果、保存路径,提交到学校审批通过之后,才能开始这项研究。
在研究的过程中,我们也碰到了一些问题。例如,不久前还收到一封用户投诉邮件,指出我们收集个人的信息不符合伦理道德规则,因此我们还需要向用户解释证明整个实验的流程和目的。
这实际是一个非常繁琐的过程,但因为这个研究已经触及社会层面,所以向用户解释是我们应尽的责任。
劳东燕:建议在计算机
领域设立伦理审查委员会
劳东燕
■ 清华大学教授
清华大学劳东燕教授作为法学界专家,分析了当前国内安全研究中会遇到的一些伦理问题:
很多企业在收集个人的信息时,仅是单方通知,默认对方没有反对意见就代表同意,这种情况在美国或者欧盟的标准下是不成立的。
《个人信息保护法》预计将在今年出台,国家将会继续加强对个人信息的保护。今后研究工作中,如果企业合法收集的数据要转让或提供给第三方,也需要征求原有信息主体的同意才能继续使用。目前的研究涉及的都是百万级或者千万级的数据,如何让如此数量级的原始信息主体同意,对于研究者来说,其实也是一个很大的问题。
此外,对于国内的研究者来说,可能仅仅符合国内法律规定是远远不够的。尤其在人脸识别、个人信息保护方面,如果研究是同欧盟机构合作,他们关于通用数据保护规则要严格得多。
今后可以考虑在计算机领域设立一个伦理审查委员会,研究美国和欧盟关于伦理的法律和标准,以便国内同行参考和学习。
段海新:研究领域的
伦理审查问题多于解决方案
段海新
■ 清华大学教授
清华大学段海新教授分享了在日常研究中存在伦理问题的困惑,并提出了一些可行的建议:
网络安全研究领域对于伦理的研究也处在探索阶段中,实际是问题多于解决方案。
经过这次事件后,清华大学研究组同学做了相关调研,并针对这个话题做过集中讨论,并提醒大家在今后的研究工作中高度重视伦理问题。
目前,我们和工业界的合作研究比较多,工业界也愿意把伦理问题拿出来进行讨论,而这些问题也都经过了其公司法务的审核,并不存在太大的伦理问题。
然而,在实际的论文投稿过程中,我们还是会遇到伦理问题,关键问题在于我们并没有类似伦理道德审查机构提供意见。我也曾向清华计算机系学术委员会提问,计算机领域为什么没有像医学领域那样的伦理审查委员会,但实际该问题非常复杂。
正是因为这个原因,我们也在考虑是否能同清华大学法学院合作建立一个义务组织,对伦理问题进行探讨,同时能够为计算机系的师生提供一些法律伦理方面的咨询意见。
值得探讨的是,即使学校有类似伦理审查委员会等组织机构,它的意见能否真正被采纳?比如,2018年有一篇被国际安全会议录用的论文,在论文后补充了审稿人的意见,审稿人认为该研究存在伦理问题,但是研究者所在学校的伦理审查委员会却认为这篇论文不存在该问题。
所以,当遇到类似情况时,比如法律专家认为有伦理问题,但是安全专家却持相反意见,存在矛盾的情况下,究竟应该怎么做?是否有一些变通的办法,能为研究人员提供相关参考,这也是一个值得探讨的问题。
张一铭:审稿专家应
提前介入指导伦理审查
张一鸣
■ 清华大学
清华大学网研院博士生张一铭分享了其在研究伦理调研中的发现,提出了相关建议:
我在调研中发现,有一些会议在论文通知中留有组委会的联系方式,指出如果研究人员在研究中遇到伦理问题,可以与组委会工作小组提前联系沟通;而部分会议也提供了一些网址,相关网页上列出了关于伦理的政策和参考意见。
因此,我想在今后会议的投稿中,审稿专家可否在审稿中留下一个关于伦理问题的沟通联系方式,如果研究者在研究中涉及伦理问题,可以提前向审稿人征询意见。哪怕并不像伦理审查委员会那样提供法律咨询意见,只要能对相应的研究方法给出一些指导性意见,也能避免浪费大量的时间和精力。这对于研究人员来说也会有很大帮助。
责编:郑艺龙
投稿、转载或合作,请联系:eduinfo@cernet.com