Technische Unterstützung
Dokumentation
Anmeldung
Kontakt
Über die Ethik der Open-Source-Sicherheitsforschung
20. Mai 2021. TuxCare PR Team
Die Sicherheitsforschung ist ein wichtiger Aspekt der Cybersicherheit, aber es ist nicht besonders einfach, Cybersicherheitsforschung zu betreiben oder sie wissenschaftlich durchzuführen. Es ist daher nicht völlig überraschend, dass ein Forschungsteam "neuartige" Taktiken zur Durchführung von Forschungsarbeiten in Betracht zieht.
Im April dieses Jahres geriet jedoch ein Sicherheitsforschungsteam der Universität von Minnesota wegen Methoden, die die ethischen Grenzen überschreiten, in die Kritik.
In diesem Artikel erklären wir, warum wir die Open-Source-Sicherheitsforschung so dringend brauchen, warum die Cybersicherheitsforschung eine wissenschaftliche Grundlage braucht und wie das Team an der Universität von Minnesota sich geirrt hat.
Inhalt
Einführung in die Open-Source-Sicherheitsforschung
Wissenschaftliche Forschung verstehen
Warum die wissenschaftliche Methode wichtig ist
Was ist also in Minnesota passiert?
Warum der Ansatz der Universität von Minnesota unethisch ist
Cybersicherheitsforschung unter ethischen Gesichtspunkten
Einführung in die Open-Source-Sicherheitsforschung
Cybersicherheit ist im Wesentlichen ein Wettlauf. Auf der einen Seite stehen böswillige Akteure, die versuchen, neue, unbekannte Fehler (Schwachstellen) in Computersoftware zu finden - auch in Open-Source-Software.
Diese neuen, unentdeckten Schwachstellen - auch als Zero-Day-Schwachstellen bekannt - sind für Angreifer äußerst wertvoll. Da die Benutzer ihre Systeme noch nicht gegen diese Schwachstellen geschützt haben, lassen sich Zero-Day-Schwachstellen leichter und lukrativer ausnutzen.
Auf der anderen Seite stehen die Cyber-Sicherheitsforscher, die versuchen, Schwachstellen zu finden, bevor die Bösewichte sie entdecken. Wenn Sicherheitsforscher Schwachstellen in Open-Source-Software finden, können Abhilfemaßnahmen getroffen werden. Die Forscher testen sorgfältig Abhilfemaßnahmen - z. B. Patches - und veröffentlichen dann die Schwachstelle sowie die Methoden zur Abhilfe.
Wie bei jedem Rennen gilt: Je mehr sich ein Team anstrengt, desto wahrscheinlicher ist es, dass es das Rennen gewinnt. Deshalb sind die Anstrengungen, die hinter der Open-Source-Sicherheitsforschung stehen, so wichtig: Je mehr Forschung betrieben wird, desto unwahrscheinlicher ist es, dass böswillige Akteure die Gelegenheit bekommen, die von den Bösewichten gefundenen Zero-Day-Schwachstellen auszunutzen.
Die obige Beschreibung ist etwas vereinfacht. In Bezug auf den Softwarecode werden die Forscher beispielsweise untersuchen, wie ein Fehler zu einer Kette von Sicherheitslücken führen kann. Und im weiteren Sinne werden Cyber-Sicherheitsforscher nicht nur Zeilen von Softwarecode untersuchen, sondern auch Dinge wie Netzwerk- und Hardware-Fehler, Verfahren und Richtlinien sowie eher strategische Aspekte der Cyber-Sicherheit.
Es gibt wohl einen Grund für die Dringlichkeit der Open-Source-Sicherheitsforschung. Es ist nur eine Frage der Zeit, bis eine Schwachstelle entdeckt wird, und es ist besser, wenn eine Schwachstelle von einem Sicherheitsforscher entdeckt wird - als von einem Hacker.
Diese Dringlichkeit rechtfertigt jedoch keine Abkürzungen. In der Cybersicherheitsforschung ist eine wissenschaftliche und ethische Forschungsmethodik ebenso wichtig wie in den Natur- oder Sozialwissenschaften.
Wissenschaftliche Forschung verstehen
Wissenschaftliche Forschungsmethoden mögen als unnötig starr und restriktiv erscheinen, aber wissenschaftliche Forschungsmethoden sind erprobt und existieren, damit Forscher Ergebnisse vorlegen können, die einer Überprüfung standhalten. Strenge, strukturierte Forschungsmethoden helfen Forschern, häufige Forschungsfallen und Fehler zu vermeiden, die die Gültigkeit der Forschung untergraben können.
So sind die Forschungsmethoden beispielsweise so konzipiert, dass Probleme im Zusammenhang mit der Manipulation von Daten - ob absichtlich oder versehentlich - durch ein solides Forschungsdesign vermieden werden. Auch das Risiko von Forschungsfehlern wie Plagiaten wird gemindert, wenn Forschungsstudien nach festgelegten Methoden konzipiert werden.
Ein vollständiger Überblick über die wissenschaftliche Methode würde den Rahmen dieses Artikels sprengen, aber zusammenfassend lässt sich sagen, dass wir die strukturierte wissenschaftliche Forschung in Methoden und Grundsätze unterteilen können.
Was die Methode betrifft, so basieren wissenschaftliche Studien im Wesentlichen auf einer Hypothese. Zunächst formuliert der Forscher eine Hypothese, die auf früheren Beobachtungen, Experimenten oder Messungen beruht. Dann wird eine Vorhersage getroffen, die durch Experimente getestet wird. Wenn die Ergebnisse vorliegen, wird die Hypothese analysiert und im Lichte der Ergebnisse bestätigt oder sogar geändert.
Dann gibt es eine Reihe von Grundsätzen, die diesen Prozess bestimmen. Die Forschung muss immer objektiv und frei von Voreingenommenheit sein - die Daten müssen zum Beispiel repräsentativ sein und dürfen nicht aus einem speziell ausgewählten Datensatz stammen, der aus den Quelldaten herausgeschnitten wurde, um die Ergebnisse zu manipulieren.
Warum die wissenschaftliche Methode wichtig ist
Weitere wichtige Grundsätze der wissenschaftlichen Methode sind die Reproduzierbarkeit der Ergebnisse und die Überprüfbarkeit der Ergebnisse. Zusammengenommen dienen diese Grundsätze den Forschern als Richtschnur, damit die Bemühungen in der wissenschaftlichen Forschung zu robusten, zuverlässigen und überprüfbaren Ergebnissen führen.
Wir könnten auf zwei Schlüsselbereiche verweisen. Erstens denken wir bei wissenschaftlichem Fortschritt, sei es in der Cybersicherheit oder in einem anderen Bereich, oft an Bausteine. Forscher bauen auf den Ergebnissen ihrer Vorgänger auf, und deshalb müssen diese Bausteine ausreichend solide sein.
Indem sie eine solide wissenschaftliche Methode anwenden, schaffen die Forscher "Strukturen", auf denen künftige Forscher aufbauen können. Wenn die Wissenschaft dagegen fehlerhaft ist, kann die Struktur zusammenbrechen. Deshalb ist die wissenschaftliche Methode so mühsam langsam und zurückhaltend. Sie funktioniert nur mit der systematischen und empirischen Sammlung von Beweisen - damit die Wissenschaft einer Überprüfung standhalten kann.
Das zweite und vielleicht eines der kritischsten Elemente der wissenschaftlichen Forschungsmethoden ist die Ethik. Es ist nicht schwer zu verstehen, warum "Abkürzungen", die den Probanden schaden, zu schnelleren Ergebnissen in einer wissenschaftlichen Studie führen können. Aus diesem Grund werden Studien in Bezug auf die Ethik geprüft, und deshalb haben große Bildungseinrichtungen Ethikausschüsse, die die Ethik von Forschungsprojekten prüfen.
Es ist leicht vorstellbar, dass medizinische und soziale Studien ohne ethische Grenzen zu einer Schädigung der untersuchten Personen führen können.
Selbst in der Cybersicherheitsforschung kann es verlockend sein, viel schneller voranzukommen, indem man Studien durchführt, die den untersuchten Personen Schaden zufügen. Genau das ist dieses Jahr an der Universität von Minnesota geschehen.
Was ist also in Minnesota passiert?
Im April führten drei Forscher an der University of Minnesota (UMN) eine Studie über so genannte Software-Lieferkettenangriffe durch. Mit anderen Worten: Das Forscherteam untersuchte, wie Hacker einen Angriff starten könnten, indem sie in die Softwareentwicklung eingreifen. Das Team an der UMN wollte testen, wie robust dieser Entwicklungsprozess ist.
Als Probanden wählte das UMN-Team die Gruppe, die für die Entwicklung des Linux-Kernels zuständig ist. Die Untersuchung stützte sich auf eine Methode, die fester Bestandteil der Open-Source-Softwareentwicklung ist - die Möglichkeit verschiedener Organisationen und Einzelpersonen, Code zum Linux-Kernel beizutragen, der einem Überprüfungsverfahren unterliegt.
Wie viele andere bedeutende Bildungseinrichtungen konnte auch das UMN-Team direkt zum Linux-Kernel beitragen. Die UMN-Beiträge würden einer Überprüfung unterzogen, und genau an diesem Überprüfungsprozess waren die drei Doktoranden interessiert.
In der Studie versuchte das Forschungsteam, eine Use-after-free (UAF)-Schwachstelle in den Linux-Kernel einzubringen, indem es fehlerhaften Code einreichte, da es in der Lage war, Beiträge zum Kernel einzureichen. Das Team wollte herausfinden, ob dieser fehlerhafte Code vom Überprüfungsprozess abgefangen wird.
Die Fehler wurden mehrfach eingereicht und, wie sich herausstellte, von dem Team, das die Einreichung des Linux-Kernels überwacht, entdeckt. Das Linux-Kernel-Überwachungsteam war jedoch nicht erfreut, als es herausfand, dass sie Gegenstand einer Forschungsstudie waren, von der sie nichts wussten. Es stellte sich heraus, dass die Forscher fehlerhaften Code einreichten, und infolgedessen wurde dem UMN untersagt, weitere Updates für den Linux-Kernel einzureichen.
Vom Standpunkt der Forschung aus betrachtet, kann man verstehen, warum die UMN-Studenten versucht haben, die Frage zu stellen, die sie gestellt haben. Wenn fehlerhafter Code in den Linux-Kernel eingespeist wird, wird er dann gekennzeichnet? Und wenn ja, wie lange dauert es, bis dieser Code gekennzeichnet wird? Unter ethischen Gesichtspunkten waren die Methoden des Teams jedoch nicht akzeptabel.
Warum der Ansatz der Universität von Minnesota unethisch ist
Der Ansatz des UMN-Teams wies mehrere ethische Mängel auf. Erstens hat das Team die Open-Source-Gemeinschaft nie darüber informiert, dass es diese Forschung durchführen wollte. Infolgedessen wurden an den Probanden der Studie Experimente durchgeführt, ohne dass sie ihr Einverständnis gegeben hatten - was gegen den ethischen Ansatz bei wissenschaftlichen Studien verstößt.
Außerdem bestand das Risiko, dass der von der UMN eingereichte fehlerhafte Code im Kernel verblieb und schließlich in verschiedene Linux-Distributionen aufgenommen wurde, was im weiteren Verlauf zu Schäden bei einer beliebigen Anzahl von Parteien führen konnte.
Auch das war unethisch, denn eine Forschungsstudie sollte niemals zu Schaden führen. Interessanterweise war der Bereinigungsprozess, nachdem das UMN-Team enttarnt worden war, ziemlich schwierig, da die UMN-Forscher ihre Bemühungen nicht eindeutig dokumentiert hatten. Im Wesentlichen mussten alle UMN-Beiträge zum Kernel zurückgezogen werden, um die Möglichkeit auszuschließen, dass fehlerhafter "experimenteller" Code in die gängigen Linux-Distributionen einfließt.
Die Forscher, die hinter dieser Studie stehen, haben die Zustimmung ihrer Probanden nicht eingeholt - ein grundsätzlicher Verstoß gegen die Forschungsethik. Die Forscher verstießen auch gegen einen der wichtigsten Grundsätze der Open-Source-Entwicklung - Vertrauen -, indem sie absichtlich Fehler in den Kernel einfügten. Dies führte zu einer wütenden Reaktion der gesamten Gemeinschaft.
Wie auch immer man zu den Vorzügen der Studie stehen mag, es steht außer Frage, dass ethische Grenzen überschritten wurden, und es ist daher kein Wunder, dass das Linux-Kernel-Überwachungsteam vor einigen Wochen weitere Beiträge von Studenten und Mitarbeitern der Universität von Minnesota blockierte.
Cybersicherheitsforschung unter ethischen Gesichtspunkten
Zu Beginn dieses Artikels haben wir dargelegt, warum die Cybersicherheitsforschung so wichtig ist: Technologieanwender befinden sich im Grunde genommen in einem Krieg gegen böswillige Akteure, die von gewöhnlichen Kriminellen bis hin zu ganzen Ländern reichen. Cyberangriffe kosten die Wirtschaft Milliarden und können ganze Organisationen zerstören.
Ebenso wichtig ist es, die Cybersicherheitsforschung auf ethische Weise durchzuführen, damit die Ergebnisse vertrauenswürdig sind, überprüft werden können und man daraus lernen kann - und um Schaden zu verhindern. Es geht jedoch noch um einen anderen Aspekt.
Wenn in der Cybersicherheitsforschung ein Klima der Angst und des Misstrauens herrscht, wird sich dies wahrscheinlich auf künftige Forschungsbemühungen auswirken: sowohl auf die Motivation zur Durchführung dieser Forschung als auch auf das Vertrauen in die Forschungsergebnisse.
Deshalb ist es so wichtig, dass Forscher im Bereich der Cybersicherheit die wissenschaftliche Methode und alle damit verbundenen Merkmale befolgen - einschließlich eines ethischen Ansatzes für die Cybersicherheitsforschung.
Im Falle der UMN muss der Ethikrat eine Forschungsstudie genau prüfen und ethische Bedenken anmelden. Wir können nur spekulieren, warum der UMN-Vorstand diese Studie nicht gestoppt hat. Vielleicht hat der Ethikrat weder die Feinheiten der Open-Source-Softwareentwicklung noch die ethischen Fragen, die durch die Forschungsstudie aufgeworfen wurden, vollständig verstanden.
Was das UMN-Team betrifft, so hätten die Forscher zumindest die Kernel-Maintainer um Erlaubnis bitten müssen, das Experiment durchzuführen. Dadurch wurde das Wohlwollen der Open-Source-Gemeinschaft missbraucht, da diese Kernel-Einreichungen einfach akzeptiert und aufgenommen werden.
Schlussfolgerung
Betrachtet man die wissenschaftliche Forschung im Großen und Ganzen, so sind Vorfälle wie der gerade beschriebene zwar selten, aber nicht ungewöhnlich. Sie werden im Laufe der Zeit sicherlich seltener, da die Forschung und der Überblick immer gründlicher werden. Wir sehen zum Beispiel nur noch wenige der verrückten medizinischen Experimente, die wir vor einem Jahrhundert oder so gesehen haben.
Wenn unethisches Forschungsverhalten aufgedeckt wird, kann eine entschlossene Reaktion und Öffentlichkeitsarbeit dazu beitragen, ähnliches Verhalten zu verhindern. Das UMN-Team wurde gerügt, und der allgemeine Ruf der Informatikabteilung der Universität hat etwas gelitten.
Dies sollte anderen eine Lehre sein: Auch in der Cybersicherheitsforschung spielen wissenschaftliche Methoden und ethische Grundsätze eine Rolle. Wir werden im Kampf gegen die Bedrohung durch die Cyberkriminalität nur dann sinnvoll vorankommen, wenn ein kooperativer Ansatz verfolgt wird, der die Interessen aller berücksichtigt.
Schließlich muss das Vertrauen in die Open-Source-Gemeinschaft erhalten bleiben. Es ist nicht hinnehmbar, dass Cybersicherheitsforscher das Vertrauen missbrauchen, das für den Fortschritt bei Open-Source-Software unabdingbar ist. Diejenigen, die für die Entwicklung von Open-Source-Software zuständig sind, sollten wachsam bleiben und unnötigen Experimenten aktiv vorbeugen.
Bonus-Inhalt: Open-Source-Ethik und wie die Universität von Minnesota Linux im Stich ließ
Schauen Sie sich die Diskussion zwischen Jay von LearnLinuxTV und unserem TuxCare-Evangelisten Joao Correia an, in der es darum geht, wie die Universität von Minnesota Open-Source falsch verstanden hat, sowie um die Stärken und Schwächen von Open-Source im Allgemeinen.
