网络安全伦理案例研究
Irina Raicu
最近的一次篇文章中《连线》杂志杂志详细介绍了一款名为PunkSpider的工具的预期重新发布。在不断扫描网络的同时,PunkSpider“自动识别网站中可被黑客攻击的漏洞,然后允许任何人通过URL关键字或漏洞类型或严重程度搜索这些结果”。
PunkSpider收集未修补漏洞的目录并将其公开。开发人员希望该工具能迫使网站管理员修复这些漏洞。然而,恶意行为者可能首先利用已披露的漏洞。该工具的创造者意识到了这种风险。创作者之一亚历杭德罗·卡塞雷斯指出《连线》杂志“发现网络漏洞的扫描器一直存在。这次只是把结果公诸于众。”他补充说:“你知道你的客户可以看到(公开披露的漏洞),你的投资者也可以看到,所以你要尽快解决这个问题。”
根据《连线》杂志在美国,早期版本的PunkSpider曾多次被亚马逊网络服务(Amazon Web Services)踢出,以回应“愤怒的网络管理员的滥用报告”。在其新版本中,该工具现在包括“一项功能,允许网络管理员根据用户代理识别网站访问者来发现PunkSpider的探测,以及一项退出功能,让网站将自己从该工具的搜索中删除。”
当被问及创建和部署PunkSpider的道德问题时,网络安全专家Katie Moussouris认为:“漏洞本身就是导致网站遭到黑客攻击的原因”;她还说,“这样的工具只会让那些漏洞暴露出来。”
亚历杭德罗·卡塞雷斯(Alejandro Carceres)说,在多年来关于漏洞的警告继续被忽视之后,“我们需要尝试某物新。”
讨论问题
在回答这些问题之前,请查阅马库拉应用伦理学中心道德决策框架,其中详细介绍了下面讨论的伦理视角。
- 谁是这个案件的利益相关者?
- 在这种情况下,你发现了什么道德问题?
- 通过权利、正义、功利主义、美德和公共利益的伦理镜头来考虑案件;他们强调了道德图景的哪些方面?
- 选择退出功能的加入是否改变了您对项目的伦理分析?如果有,怎么做?
2021年9月3日
