電腦安全的研究,面對了法律的灰色地帶。
去年十二月底,德國柏林的電腦安全研究者諾爾(Karsten Nohl)宣布,他的研究團隊發現在全世界普及率最高的行動電話標準中,避免竊聽算式裡的一個缺陷。
全球媒體迅速報導,指稱這項研究將讓人們可輕易竊聽手機通話內容,推廣這套GSM標準的協會,亦馬上出面捍衛系統安全,並刻意貶抑研究成果的重要性。。
此事反映出電腦安全研究領域長期以來的緊繃氣氛,今日社會較以往更加需要此種研究,一般守法民眾無論是投票,或是涉及隱私的醫療系統,都會涉及電腦系統,而惡意駭客攻擊愈來愈大膽,手段也愈來愈精密;研究人員若希望改善系統安全,最好的方式便是去攻擊那個系統,找出可以修正的缺失,但研究者也因此踏入灰色地帶,因為這種攻擊也像是種犯罪行為。
有些製造商擔心系統缺陷公諸於世之後,將會損失自身市場形象,故常強烈駁斥這些研究成果。例如在二○○八年,便有兩個團體面臨法律訴訟,因為相關組織希望阻止他們,不要讓社會得知大眾運輸系統智慧卡(如悠遊卡)內的缺點。 (請參看《知識通訊評論》七十一期〈免費坐地鐵惹出爭議〉)
這些法律行動最終沒有效果,大眾依然得知研究成果,但此事已在學界產生寒蟬效應,因為沒有人能確知合法與非法的界線,研究人員尤其在意二○○八年的案例,因為兩個團體均遵守學界廣泛採納的「責任揭露」條款,在結果昭告天下之前,讓系統工程師有機會修正錯誤。
研究人員的憤怒非常合理,因為對於這種基於負責任揭露精神下的研究工作,電腦系統製造商理應正面鼓勵,而非大加撻伐。若能在歹徒利用缺口犯罪前,就先發現並糾正錯誤,人人都能因此受惠。
儘管如此,並非每位電腦安全研究員都對工作如此一絲不苟,有時在研討會裡發表的報告中,也會出現令人不安的內容。
電腦安全社群應廣泛討論工作倫理問題,尤其是研究者進入灰色地帶的爭議,例如檢查甚至是掌控罪犯利用的電腦網絡。別的不說,這種討論才能避免少數研究跨越合法界線,阻礙其他真正有用的研究內容。
電腦安全研究發展歷程不算太長,許多知名研究者與傳統學者形象大異其趣,多數研究成果發表途徑也較不正式,不是過往經同儕評鑑的期刊,反而可能是部落格,看在其他學科的研究者眼中,電腦安全類別的研討會也顯得怪異又充斥無政府主義氛圍。
但大眾現在相當倚賴這些研究,為社會對抗信用卡詐欺、恐怖主義等各項問題,他們是貨真價實的研究者,理應有一套倫理架構,使他們的這些重要研究有所依歸。
(本文為二○一○年一月十四日《自然》雜誌社論)
【完整內容請見《知識通訊評論月刊》八十八期;訂閱知識通訊評論月刊電子版】
留言列表