關於支援科學新聞
如果您喜歡這篇文章,請考慮透過以下方式支援我們屢獲殊榮的新聞報道 訂閱。透過購買訂閱,您正在幫助確保有關塑造當今世界的發現和想法的具有影響力的故事的未來。
今年早些時候,一組研究人員發表了一個有爭議的想法,即允許執法部門訪問可疑的電子通訊。研究人員建議執法部門簡單地利用網路軟體中現有的漏洞來植入他們的數字竊聽器,而不是強迫像 Facebook 和 Google 這樣的科技公司在其軟體中構建後門。
這種方法將安全威脅的軟體漏洞(這是過去幾十年軟體公司及其客戶的禍根)轉變為收集透過網際網路語音協議(VoIP)呼叫、即時訊息、某些影片遊戲系統和其他基於網際網路的渠道進行通訊的犯罪分子證據的工具。儘管研究人員明確表示,聯邦調查局和其他機構在放置數字竊聽器之前應獲得法院命令,但該提案提出了不少棘手的法律問題。例如,執法部門是否有義務在利用這些漏洞之前,向軟體公司報告其發現的軟體漏洞的存在?
該提案的作者目前正在撰寫一篇新論文,研究他們在 1 月/2 月刊的 IEEE Security & Privacy 中首次描述的方法的適當政策和法律框架。6 月 7 日,史蒂文·貝洛文、馬特·布萊茲和蘇珊·蘭道 將向由加州大學伯克利分校法學院和喬治華盛頓大學法學院主辦的 隱私法學者會議展示他們的最新研究成果。他們的研討會主題是“合法駭客行為:利用現有漏洞在網際網路上進行竊聽”。(賓夕法尼亞大學分散式系統實驗室的博士候選人桑迪·克拉克也作為共同作者參與了研究,但不會參加會議。)
針對題為“走向光明:在不削弱通訊基礎設施的情況下進行竊聽”的原始論文,(pdf) 的反應褒貶不一,因為執法部門和網際網路公司都在等待白宮或國會是否會就引發研究人員提案的想法採取行動。聯邦調查局擔心犯罪分子會透過使用 Skype 和其他分散式網際網路服務透過 VoIP 隱藏他們的通訊而“遁入黑暗”,自 2010 年以來,它一直主張國會擴大 1994 年《執法通訊協助法案》(CALEA) 的範圍。CALEA 要求在數字電話網路中的交換機上構建啟用竊聽功能,而聯邦調查局希望將此類要求擴充套件到基於網際網路協議 (IP) 的通訊。聯邦政府還希望提供這些 IP 通訊的公司提供易於實施竊聽的途徑,否則將因不這樣做而面臨罰款。
“走向光明”指出,像 CALEA 這樣過時的攔截方案無法很好地轉換為網際網路,因為該法律的編寫考慮了集中式電話交換網路。然而,網際網路依賴於更加分散、複雜的對等架構,這需要重新思考如何攔截通訊。該論文的結論是,要求軟體公司允許執法部門輕易訪問其程式碼將建立後門,犯罪分子可以使用這些後門來竊取資訊或用惡意軟體感染網路軟體。
作為替代方案,執法部門應搜尋最流行的 Web 瀏覽器、作業系統和其他軟體中已存在的漏洞。這些漏洞將成為將竊聽軟體插入嫌疑人的計算機或移動裝置的手段。蘭道指出,網路竊聽很可能是一個兩步過程。執法部門首先會獲得法院命令,允許他們探測嫌疑人的裝置,以查明他們正在執行什麼軟體以及可能被利用的漏洞。然後需要第二個法院命令才能獲得實際進入並安裝竊聽器的許可。即使稍後修復了瀏覽器或作業系統中的漏洞,竊聽器也已經到位。週五的法律研討會是確定這種方法的合法性和可行性的一種方式。
現在的情況是,聯邦調查局不太可能支援“走向光明”的戰略,而對 CALEA 的擴充套件仍在討論中,蘭道說,他曾是太陽微系統公司的傑出工程師,現在在網路安全、隱私和公共政策領域擔任顧問。她同樣承認,網際網路通訊提供商不太可能接受她團隊的計劃,“因為這將意味著承認他們編寫的軟體存在問題。”然而,這些問題是不可避免的。“當然,沒有哪個大型複雜程式沒有漏洞,”她補充道。
懷疑論者表示,對於像“走向光明”這樣非正統的提案,有必要進行更多的審查。Steptoe & Johnson LLP 的合夥人、美國國土安全部前政策助理部長 斯圖爾特·貝克表示,這個想法似乎是在用一種更不可預測、更難控制的方法來取代聯邦調查局一直在提出的有計劃的、受控制的訪問。“他們說,如果這些東西已經不安全了,那麼再多一個不安全因素又有什麼關係呢?”
貝克指出了一些需要澄清的領域:聯邦調查局是否會像網路犯罪分子已經做的那樣,購買黑市軟體來進行網路竊聽?聯邦調查局是否應該與也進行竊聽的其他聯邦機構(例如特勤局)共享其購買或開發的軟體漏洞?政府在何時通知軟體公司有關發現的任何漏洞?
貝克說需要檢查的另一個問題是:當受到監視的壞人發現政府的惡意軟體、對其進行逆向工程並將其用於自己的目的時會發生什麼?“這幾乎就像(研究人員)在說,為了避免一兩次由執法部門產生的私人駭客行為,我們想要一個到處都是駭客的世界,”他說。