关于支持科学新闻
如果您喜欢这篇文章,请考虑通过以下方式支持我们屡获殊荣的新闻报道 订阅。通过购买订阅,您正在帮助确保有关塑造当今世界的发现和想法的具有影响力的故事的未来。
今年早些时候,一组研究人员发表了一个有争议的想法,即允许执法部门访问可疑的电子通信。研究人员建议执法部门简单地利用网络软件中现有的漏洞来植入他们的数字窃听器,而不是强迫像 Facebook 和 Google 这样的科技公司在其软件中构建后门。
这种方法将安全威胁的软件漏洞(这是过去几十年软件公司及其客户的祸根)转变为收集通过互联网语音协议(VoIP)呼叫、即时消息、某些视频游戏系统和其他基于互联网的渠道进行通信的犯罪分子证据的工具。尽管研究人员明确表示,联邦调查局和其他机构在放置数字窃听器之前应获得法院命令,但该提案提出了不少棘手的法律问题。例如,执法部门是否有义务在利用这些漏洞之前,向软件公司报告其发现的软件漏洞的存在?
该提案的作者目前正在撰写一篇新论文,研究他们在 1 月/2 月刊的 IEEE Security & Privacy 中首次描述的方法的适当政策和法律框架。6 月 7 日,史蒂文·贝洛文、马特·布莱兹和苏珊·兰道 将向由加州大学伯克利分校法学院和乔治华盛顿大学法学院主办的 隐私法学者会议展示他们的最新研究成果。他们的研讨会主题是“合法黑客行为:利用现有漏洞在互联网上进行窃听”。(宾夕法尼亚大学分布式系统实验室的博士候选人桑迪·克拉克也作为共同作者参与了研究,但不会参加会议。)
针对题为“走向光明:在不削弱通信基础设施的情况下进行窃听”的原始论文,(pdf) 的反应褒贬不一,因为执法部门和互联网公司都在等待白宫或国会是否会就引发研究人员提案的想法采取行动。联邦调查局担心犯罪分子会通过使用 Skype 和其他分散式互联网服务通过 VoIP 隐藏他们的通信而“遁入黑暗”,自 2010 年以来,它一直主张国会扩大 1994 年《执法通信协助法案》(CALEA) 的范围。CALEA 要求在数字电话网络中的交换机上构建启用窃听功能,而联邦调查局希望将此类要求扩展到基于互联网协议 (IP) 的通信。联邦政府还希望提供这些 IP 通信的公司提供易于实施窃听的途径,否则将因不这样做而面临罚款。
“走向光明”指出,像 CALEA 这样过时的拦截方案无法很好地转换为互联网,因为该法律的编写考虑了集中式电话交换网络。然而,互联网依赖于更加分散、复杂的对等架构,这需要重新思考如何拦截通信。该论文的结论是,要求软件公司允许执法部门轻易访问其代码将创建后门,犯罪分子可以使用这些后门来窃取信息或用恶意软件感染网络软件。
作为替代方案,执法部门应搜索最流行的 Web 浏览器、操作系统和其他软件中已存在的漏洞。这些漏洞将成为将窃听软件插入嫌疑人的计算机或移动设备的手段。兰道指出,网络窃听很可能是一个两步过程。执法部门首先会获得法院命令,允许他们探测嫌疑人的设备,以查明他们正在运行什么软件以及可能被利用的漏洞。然后需要第二个法院命令才能获得实际进入并安装窃听器的许可。即使稍后修复了浏览器或操作系统中的漏洞,窃听器也已经到位。周五的法律研讨会是确定这种方法的合法性和可行性的一种方式。
现在的情况是,联邦调查局不太可能支持“走向光明”的战略,而对 CALEA 的扩展仍在讨论中,兰道说,他曾是太阳微系统公司的杰出工程师,现在在网络安全、隐私和公共政策领域担任顾问。她同样承认,互联网通信提供商不太可能接受她团队的计划,“因为这将意味着承认他们编写的软件存在问题。”然而,这些问题是不可避免的。“当然,没有哪个大型复杂程序没有漏洞,”她补充道。
怀疑论者表示,对于像“走向光明”这样非正统的提案,有必要进行更多的审查。Steptoe & Johnson LLP 的合伙人、美国国土安全部前政策助理部长 斯图尔特·贝克表示,这个想法似乎是在用一种更不可预测、更难控制的方法来取代联邦调查局一直在提出的有计划的、受控制的访问。“他们说,如果这些东西已经不安全了,那么再多一个不安全因素又有什么关系呢?”
贝克指出了一些需要澄清的领域:联邦调查局是否会像网络犯罪分子已经做的那样,购买黑市软件来进行网络窃听?联邦调查局是否应该与也进行窃听的其他联邦机构(例如特勤局)共享其购买或开发的软件漏洞?政府在何时通知软件公司有关发现的任何漏洞?
贝克说需要检查的另一个问题是:当受到监视的坏人发现政府的恶意软件、对其进行逆向工程并将其用于自己的目的时会发生什么?“这几乎就像(研究人员)在说,为了避免一两次由执法部门产生的私人黑客行为,我们想要一个到处都是黑客的世界,”他说。