好看的小说,盗墓笔记,绝色狂妃仙魅小说

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營(yíng)銷解決方案

代碼即武器：美國(guó)開始控制漏洞市場(chǎng)

上周，美國(guó)工業(yè)與安全局(BIS)公布了一份把限制黑客技術(shù)放入全球武器貿(mào)易條約--“瓦森納協(xié)定”(Wassenaar Arrangement，WA)的計(jì)劃。計(jì)劃表明了美國(guó)政府對(duì)黑客技術(shù)的態(tài)度，并在黑客技術(shù)與計(jì)算機(jī)安全的圈子里點(diǎn)燃了一場(chǎng)風(fēng)暴。人們?cè)诩ち业膬?nèi)部爭(zhēng)論中表現(xiàn)得異?？簥^，這是因?yàn)檫@一新規(guī)改變了入侵軟件和網(wǎng)絡(luò)協(xié)議(IP)網(wǎng)絡(luò)通信監(jiān)視的定義，并可能使?jié)B透測(cè)試工具、網(wǎng)絡(luò)入侵、利用零日漏洞變成犯罪行為。

創(chuàng)新互聯(lián)建站主要從事網(wǎng)站設(shè)計(jì)、成都網(wǎng)站設(shè)計(jì)、網(wǎng)頁(yè)設(shè)計(jì)、企業(yè)做網(wǎng)站、公司建網(wǎng)站等業(yè)務(wù)。立足成都服務(wù)鶴峰,十余年網(wǎng)站建設(shè)經(jīng)驗(yàn),價(jià)格優(yōu)惠、服務(wù)專業(yè),歡迎來(lái)電咨詢建站服務(wù):13518219792

有些人認(rèn)為，新的定義方式似乎也給給予了美國(guó)在購(gòu)買、銷售、進(jìn)出口某些特定種類的網(wǎng)絡(luò)戰(zhàn)工具時(shí)的優(yōu)勢(shì)。漏洞市場(chǎng)目前還是黑市，但美國(guó)政府已經(jīng)成為了其中最大的玩家。

代碼即武器

當(dāng)爭(zhēng)議在本周爆發(fā)，人們紛紛討論政府將出售零日漏洞行為非法化的動(dòng)機(jī)時(shí)，BIS的主管蘭迪·惠勒解釋稱，對(duì)漏洞、零日漏洞、入侵軟件進(jìn)行開發(fā)、測(cè)試、評(píng)估、產(chǎn)品化現(xiàn)在都受到了限制：如果沒有獲得許可就開始出口，有可能被視為非法行為。但令人迷惑的是，新規(guī)并不限制對(duì)漏洞進(jìn)行研究。

她表示，“漏洞研究并沒有受到限制，選擇、尋找、鎖定、學(xué)習(xí)、測(cè)試漏洞的技術(shù)也沒有”。

她的表述為安全專家們那些語(yǔ)調(diào)愈發(fā)激烈的說(shuō)法提供了根據(jù)——政府可能根本就不知道自己在說(shuō)什么。

謝爾蓋·阿拉圖斯是安全·技術(shù)·社會(huì)研究所的首席安全顧問(wèn)，也是達(dá)特茅斯學(xué)院計(jì)算機(jī)科學(xué)系的副教授，他簡(jiǎn)單地解釋了這個(gè)問(wèn)題?！鞍l(fā)生了入侵事件就代表存在著漏洞。如果沒有一個(gè)運(yùn)行著的程序：入侵軟件，我和同事們就無(wú)法確認(rèn)那些我們?cè)?jīng)描述過(guò)的安全漏洞真的存在，就像物理學(xué)家不可能在沒有成功實(shí)驗(yàn)的基礎(chǔ)上就宣布某種物理現(xiàn)象一樣?！?/p>

阿拉圖斯對(duì)Engaget說(shuō)，“瓦森納協(xié)定中對(duì)黑客工具的監(jiān)管嘗試是基于類似‘入侵軟件’這樣的糟糕定義，以及‘零日’、‘rootkits’這類定義不清的行話之上的。瓦森納協(xié)定中的‘入侵軟件’概念存在嚴(yán)重漏洞。從技術(shù)上講，它并不對(duì)應(yīng)任何具體的軟件類別，而且我懷疑，從法律上講也是如此。‘Rootkits’和‘零日漏洞’屬于模糊不清的術(shù)語(yǔ)行話，它們?nèi)狈φ?guī)的教科書定義，而且在專業(yè)討論之外的場(chǎng)景中毫無(wú)意義。舉例而言，反病毒廠商們會(huì)使用一些其它的行話，而在另一些語(yǔ)境中可能會(huì)使用’rootkits’這種說(shuō)法，盡管這兩類詞語(yǔ)所形容的技術(shù)是完全一樣的。”

他警告稱，“像文中寫的那樣，瓦森納協(xié)定適用于安全研究的基本結(jié)構(gòu)和元素。如果禁止了那些能夠發(fā)現(xiàn)新威脅的主動(dòng)性研究，網(wǎng)絡(luò)防御會(huì)受到惡劣影響，并永久落后一步?！?/p>

從程序員到律師，信息安全專家們普遍表示，新規(guī)讓黑客技術(shù)(安全研究)進(jìn)入了一個(gè)合法的灰色區(qū)域，這可能會(huì)潛在地將黑客技術(shù)犯罪化，并讓特定類型的代碼在不經(jīng)允許的情況下的出口行為變成非法。很多人都擔(dān)心，這會(huì)對(duì)那些合法銷售漏洞、零日漏洞，以及一些從事bug修復(fù)業(yè)務(wù)的公司產(chǎn)生影響。而且，它還可能讓一些安全研究者自動(dòng)變成“黑客愛國(guó)者”，強(qiáng)制他們將自己的研究層次下降幾級(jí)，以獲取日常工資。

毫不令人吃驚的是，這些擔(dān)憂正在信息安全領(lǐng)域中的每個(gè)角落制造情緒亢奮。阿拉圖斯在接受媒體采訪時(shí)引述了一些火爆的推文，“出臺(tái)這項(xiàng)監(jiān)管的人可能認(rèn)為他們只針對(duì)一小部分產(chǎn)品;但從字面上講，他們的監(jiān)管事實(shí)上面向的是安全技術(shù)的基礎(chǔ)，這些基礎(chǔ)也是公司未來(lái)發(fā)展中最有潛力的道路?！?/p>

瓦森納協(xié)定是一項(xiàng)由41個(gè)國(guó)家簽署的出口限制協(xié)定，它限制彈藥和武器的出口，比如坦克、導(dǎo)彈、槍械。但同時(shí)也包括“軍民兩用的貨物和技術(shù)”，比如核燃料棒。在2013年的附加條款中，它試圖監(jiān)管網(wǎng)絡(luò)戰(zhàn)爭(zhēng)工具，也就是所謂的“入侵軟件”。各國(guó)對(duì)協(xié)定的解讀和本國(guó)法律中實(shí)現(xiàn)它的方式各不相同。

因此，瓦森納協(xié)定的成員國(guó)：美國(guó)，一直在考慮如何在本國(guó)的外貿(mào)管理?xiàng)l例中進(jìn)行修改，以適應(yīng)協(xié)定的最新動(dòng)向，并在修改中滲透美國(guó)的國(guó)家安全需求以及外交政策利益。美國(guó)的原定計(jì)劃是在2014年9月宣布如何將將協(xié)定中關(guān)于軟件部分的條款適用于犯罪和處罰(出口控制及許可)領(lǐng)域，而歐盟在2013年10月已經(jīng)針對(duì)瓦森納協(xié)定2013年版進(jìn)行了更新。

律師克里夫·伯恩斯表示，很多人認(rèn)為這次延遲可能是因?yàn)锽IS對(duì)瓦森納協(xié)定中關(guān)于“入侵檢測(cè)軟件”的絕對(duì)表述感到糾結(jié)。他隨后補(bǔ)充道，“然而我們錯(cuò)了”。

相反，BIS讓情況變得更糟了。

伯恩斯說(shuō)，“很多人指出，這個(gè)定義會(huì)涵蓋那些不經(jīng)用戶同意就進(jìn)行自動(dòng)更新的軟件，比如Chrome。Chrome會(huì)在后臺(tái)更新，并會(huì)繞過(guò)一般操作系統(tǒng)所帶有的防止在用戶未授權(quán)情況下進(jìn)行安裝或修改的防護(hù)措施。協(xié)定中所定義的沙盒是作為一種保護(hù)措施的，而這會(huì)使那些提供手機(jī)root或越獄功能的軟件也受到出口管制?！?/p>

喬恩·卡拉斯是PGP(Pretty Good Privacy)的聯(lián)合創(chuàng)始人，也是全球加密通信服務(wù)Silent Circle的CTO，他補(bǔ)充說(shuō)，“我認(rèn)為他們所做的事情從表面上看是值得稱贊的，它試圖監(jiān)管那些我們可能會(huì)戲稱為‘網(wǎng)絡(luò)武器’的東西。不過(guò)，有一部分問(wèn)題是，我們不清楚政府具體想要干些什么?！?/p>

也許政府使用的這種方式僅僅是過(guò)時(shí)了而已?！叭绻麖母镜膶用嫔蟻?lái)看瓦森納協(xié)定描述軍民兩用的方式，軍民兩用技術(shù)包括一些說(shuō)得過(guò)去的東西：用過(guò)的核燃料棒、先進(jìn)的噴氣式發(fā)動(dòng)機(jī)。但被監(jiān)管的也包括加密、GPS、高端顯卡(因?yàn)樗鼈円彩怯?jì)算引擎)，以及其它很多技術(shù)。舉例而言，如果是在上個(gè)世紀(jì)八十年代，將GPS視為軍民兩用技術(shù)而禁止出口是有道理的。但到了今天就完全說(shuō)不通，因?yàn)槊坎渴謾C(jī)都在用GPS。類似地，加密在某個(gè)時(shí)代也曾經(jīng)是可以被監(jiān)管的軍民兩用技術(shù)?！?/p>

卡拉斯明智地補(bǔ)充道，“現(xiàn)在已經(jīng)不是那個(gè)時(shí)代了。把殺毒軟件裝進(jìn)同一個(gè)垃圾桶也并不是明智之舉。”#p#

思想有罪

整個(gè)事件都在引發(fā)人們對(duì)于協(xié)定執(zhí)行的不安。上個(gè)月，美國(guó)司法部起訴了四家美國(guó)公司和五位公民，因?yàn)樗麄儗⑻囟ǖ碾娮游锢碓O(shè)備出口到了伊朗。但如果BIS加快了司法部起訴出口零日漏洞和其它漏洞的腳步，它可能會(huì)在美國(guó)國(guó)內(nèi)面臨艱苦的戰(zhàn)斗。

杰森·舒爾茨是紐約大學(xué)的科技法律及政策診斷研究所診所式法律教育部門副教授，他認(rèn)為這種情況很有可能出現(xiàn)，因?yàn)椤昂茈y確定那些旨在對(duì)特定目標(biāo)發(fā)動(dòng)攻擊的意圖，而幫助發(fā)動(dòng)攻擊的往往只是一些信息，而并不是代碼。這就是說(shuō)，如果網(wǎng)絡(luò)戰(zhàn)爭(zhēng)條約真正落到了實(shí)處，可能會(huì)引起那些由于貿(mào)易凋敝而產(chǎn)生的訴訟。但哪怕一個(gè)漏洞是有效可用的，也很難證明它就是武器?！?/p>

另外，很多人相信，潛在的訴訟風(fēng)險(xiǎn)可能會(huì)對(duì)讓那些為了保護(hù)公共安全而披露危險(xiǎn)問(wèn)題的人裹足不前。這些人認(rèn)為實(shí)施信息安全的最佳策略就是進(jìn)行全面信息披露。

當(dāng)事人認(rèn)為公眾知情度(了解bug、零日漏洞、漏洞以及脆弱點(diǎn))非常重要，才會(huì)進(jìn)行這些披露工作。這些工作通常是推動(dòng)各大公司修補(bǔ)自身漏洞的唯一因素。

阿拉圖斯相當(dāng)肯定這會(huì)影響到消費(fèi)者，盡管新的數(shù)據(jù)泄露事件每天都在發(fā)生，將個(gè)人信息到處撒播，而消費(fèi)者往往是我們最后想到的念頭?！叭绻谛畔踩缛褐袥]有活躍的交流，那些瓦森納想要保護(hù)的特定人群可能會(huì)失去關(guān)于安全威脅的有效信息。這可能會(huì)讓情況變得比現(xiàn)在更加糟糕，導(dǎo)致更多的入侵和私人數(shù)據(jù)被盜事件?！?/p>

瓦森納協(xié)定并不具有法律約束力，但它的管制措施在41個(gè)成員國(guó)中通過(guò)全國(guó)性立法得以實(shí)現(xiàn)，因此它的實(shí)施方式在各國(guó)之間都有不同。這也可能會(huì)讓安全研究人員進(jìn)行國(guó)際旅行被列到新的未知威脅列表中。

市場(chǎng)控制破壞安全體系

從表面上看，瓦森納協(xié)定進(jìn)軍入侵和監(jiān)視技術(shù)領(lǐng)域是想通過(guò)危險(xiǎn)武器出口條約來(lái)監(jiān)管漏洞以及零日漏洞銷售，因?yàn)檫@些技術(shù)可能會(huì)為專制政權(quán)和罪犯所用。

然而，就像卡拉斯指出的那樣，“瓦森納協(xié)定并不包括南亞地區(qū)(包括印度、中國(guó)和印度尼西亞)，南美的大部分地區(qū)(協(xié)定中的唯一國(guó)家是阿根廷)，非洲的大部分地區(qū)(協(xié)定中唯一的國(guó)家是南非)，以及西亞(包括以色列，伊朗等等)。”

瓦森納協(xié)定沒有覆蓋的地區(qū)正引發(fā)了那些關(guān)于實(shí)現(xiàn)主權(quán)國(guó)家利益的爭(zhēng)論，這種現(xiàn)狀可能預(yù)示著美國(guó)對(duì)網(wǎng)絡(luò)戰(zhàn)爭(zhēng)業(yè)務(wù)以及全球漏洞市場(chǎng)的陰險(xiǎn)企圖。

卡拉斯解釋說(shuō)，BIS實(shí)施的新規(guī)代表著美國(guó)的一些雄心勃勃的企圖?！巴呱{協(xié)定通常是國(guó)家本意的遮羞布。我們都見過(guò)美國(guó)在歷史上的所作所為。我很確定，你也知道澳大利亞正在發(fā)生著什么。瓦森納協(xié)定并不強(qiáng)制各國(guó)做任何事情，而且它甚至不會(huì)沿著各國(guó)的宣傳口徑走得太遠(yuǎn)?！?/p>

由Junpier Networks去年委托撰寫并發(fā)布的藍(lán)德(RAND)報(bào)告中提到了“面向網(wǎng)絡(luò)犯罪工具以及失竊數(shù)據(jù)的市場(chǎng)”。報(bào)告中介紹了售賣漏洞以及零日漏洞的市場(chǎng)已經(jīng)從“一盤散沙，由自我陶醉以及惡意企圖所構(gòu)建的Ad Hoc網(wǎng)絡(luò)轉(zhuǎn)變成了新型的、高度組織化的生產(chǎn)工廠，還通常與傳統(tǒng)的犯罪集團(tuán)(例如毒梟、黑手黨、恐怖分子組織)以及主權(quán)國(guó)家相勾連?！?/p>

值得一提的是，近年來(lái)漏洞市場(chǎng)發(fā)生的最大變化在于政府資金的涌入：特別是美國(guó)政府的錢。

根據(jù)華盛頓戰(zhàn)略和國(guó)際研究中心的說(shuō)法，在漏洞買賣排行榜上，美國(guó)榮登榜首，緊隨其后的是以色列、英國(guó)、俄羅斯、印度和巴西。朝鮮也在這個(gè)市場(chǎng)中分了一杯羹，還有一些中東的情報(bào)機(jī)構(gòu)。

事實(shí)上，歐洲信息安全和政策中心在一份2013年的報(bào)告中指出，由于美國(guó)自由法案的要求，NSA與法國(guó)VUPEN公司于2012年9月訂立了一年期的合同，訂閱了VUPEN的二進(jìn)制分析及漏洞服務(wù)(Binary Analysis and Exploits Service)。這讓NSA可以使用軟件后門以及零日漏洞。

在2013年，“禁止交易漏洞的法律已經(jīng)在醞釀中了。Marietije Schaake是歐洲議會(huì)的一名荷蘭代表，他正努力推動(dòng)漏洞出口交易控制法案。她表示，這項(xiàng)法案正在獲得支持，因?yàn)槁┒纯赡軙?huì)被專制政權(quán)用作‘?dāng)?shù)字武器’。舉例而言，政府可以使用這些技術(shù)來(lái)監(jiān)控政治異見者的手機(jī)。不過(guò)，出于一些原因，這個(gè)新法案的前途將會(huì)很坎坷?！?/p>

“就像一位美國(guó)軍事情報(bào)官員指出的那樣，那些購(gòu)買漏洞的政府正在為危險(xiǎn)的科技研發(fā)提供資金，‘建立一個(gè)黑市’?！?/p>

令人難以置信的是，美國(guó)政府在漏洞黑市中的所作所為有一個(gè)不太可能的盟友：美國(guó)公民自由聯(lián)盟(ACLU)的主要技術(shù)專家和高級(jí)政策分析師。

克里斯·索安伊恩參與了ACLU的Speech和隱私與科技項(xiàng)目(Privacy and Technology Project)，他在公眾輿論中長(zhǎng)期反對(duì)政府購(gòu)買漏洞。在過(guò)去的幾年中，他一直宣傳漏洞以及零日漏洞是“數(shù)字武器”，任何參與相關(guān)買賣的人都應(yīng)該組建一個(gè)規(guī)范化的全球市場(chǎng)。

索安伊恩在他對(duì)Slate談話時(shí)曾發(fā)表過(guò)著名言論。“就像飛機(jī)上的引擎可以讓軍方投下殺人的炸彈，人們也可以使用零日漏洞來(lái)投放網(wǎng)絡(luò)武器，造成物理傷害甚至人員傷亡?！?/p>

現(xiàn)在美國(guó)政府似乎非常樂(lè)意幫助實(shí)現(xiàn)這一點(diǎn)。信息安全圈子內(nèi)對(duì)于索安伊恩不可原諒的言論的反對(duì)聲音正在強(qiáng)烈地激蕩?，F(xiàn)在的戰(zhàn)斗已經(jīng)變成了最經(jīng)典的那種：站在一起捍衛(wèi)言論自由，對(duì)抗政府過(guò)度擴(kuò)張，并維護(hù)安全研究中的思想自由交流。

法律博客Lexology寫道，“盡管BIS提出了實(shí)現(xiàn)這些新的管制策略的方法，但它同時(shí)也告訴人們，這些新規(guī)則的后果是未知的，結(jié)果招來(lái)了大量業(yè)務(wù)可能會(huì)受到影響的出口商的批評(píng)?！蓖呱{協(xié)定的修改方案現(xiàn)在正出于征求意見階段，直到7月20日結(jié)束。

說(shuō)到底，如果法案的目標(biāo)是讓那些可能被用于壓迫的工具遠(yuǎn)離專制政權(quán)之手，很明顯，瓦森納協(xié)定以及它的BIS版本不論從哪個(gè)方面來(lái)看都與此目標(biāo)相差甚遠(yuǎn)。

來(lái)源：《經(jīng)濟(jì)學(xué)人》

譯者：Venvoo

新聞名稱：代碼即武器：美國(guó)開始控制漏洞市場(chǎng)
當(dāng)前路徑：http://fisionsoft.com.cn/article/dpdjjeg.html

新聞中心

其他資訊