这篇文章最初发表在博客“关于加密工程的几个想法”中。马修·格林是约翰霍普金斯大学的教授,同时也是一位密码员,他曾设计并分析过无线网络、支付系统和数字内容保护平台中的加密系统。

Motherboard在周三公布了一份起诉Silk Road 2.0的一个用户的法庭文件,这意味着由于“高校主导型研究所”进行的研究, Tor网络中的用户已被去匿名化。

正如Motherboard所说,这项研究的时间与Tor网络上一个活跃的攻击被发现并公布的时间一致,都在2014年7月。此外, 在卡内基梅隆大学(CMU)CERT部门的两个研究人员的报告中可以看出,两个攻击的细节也出奇的相似。

几小时后,Tor计划让这种主张变得更加明确,他们发布博客,指控CMU接受了100万美元来进行此次攻击。CMU的发言人并没有完全否认这些指控,但要求对方拿出更多证据来,并表示他们不知道任何的关于付款的事。毫无疑问,在未来几周内文件公诸于众之后,我们将了解更多详细内容。

你可能想知道为什么这件事很重要,毕竟现在我们谈论的这件罪行相当令人不安。如果CMU真的为联邦调查局进行Tor 去匿名化研究,那么被他们识别的那些人也肯定没做什么好事,其中一个被告就以持有儿童色情物品罪被指控,我们不会同情这些人。

但这里有一个小细节:我们没有理由相信那个被告是唯一受影响的人。

如果攻击的细节是我们所理解的那样,那么情况就是一群学术研究者有意控制了很大一部分的Tor网络,由于没有大学研究委员会的监督,他们利用Tor协议中的一个缺陷进行交通确认攻击,这会让他们识别出Tor客户的IP地址和隐藏的服务。他们的这项攻击已经进行了五个月,可能已经去匿名化了成千上万的用户。

这些研究人员很有可能执行了严格的协议,以确保他们不会出于意外将无辜的旁观者去匿名化。这是任何涉及人类主体的合法研究的标准程序,特别是这种可能造成潜在伤害的研究。如果研究人员采取了这样的措施,那么一切就好办了。但因为CMU还没有承认研究项目的范围,也没有发表任何结果,所以我们并不了解具体情况。

虽然我认识的大多数计算机科学研究者本质上都是有道德的, 但当我们的领域涉及到伦理问题时,就存在了一个盲点。有一个观点认为,研究机构审查委员会是为医学研究人员的设立的,我们不知何故被意外卷入并不是为我们设立的机构中。我所明白的是——与IRB共事是令人不愉快的。

但是也有一种观点认为,计算机安全研究不会真正地伤害到别人,所以这种伦理监督机制的存在也就毫无道理。这真是大错特错,如果我们想要认真看待这样一个成熟的领域,就需要为它做些什么。

我们应该认识到,对易受攻击的用户进行主动攻击是危险的,在没有进行严格的监督时攻击也不能进行。只要学院研究员和像CERT这样的准政府组织住在同一屋檐下,大学就应该用统一的程序进行管理。CERT和CMU应当对他们的研究进程进行解释,而不是把它隐藏起来。最重要的是,研究人员应当对他们的研究实践进行认真考虑。