美国重新调整黑客工具出口军控规则
美国重新调整黑客工具出口军控规则
2016-02-03 16:48:33 来源:E安全抢沙发
2016-02-03 16:48:33 来源:E安全
摘要:美国政府正在着手重拟一份建议,旨在对20年前定稿的原有军控规则做出调整,从而简化黑客与监控软件等可作为安全计算机网络元素之相关工具的出口流程。
关键词:
黑客
根据本周二公布的一封信件,白宫目前表示,其支持美国向海外提供用于合法网络安全行为的网络入侵工具。
各行业团体与国会议员此前曾提出,对这类黑客工具传播做出过于宽泛的限制有可能产生意想不到的结果,甚至给美国国家网络安全乃至研究产生负面影响。
作为1996年瓦森纳协议的41个成员国之一(协议要求各国对全球领先级别的军备与特定技术成果的出口做出限制),美国于2013年曾同意对那些可能落入专制政权手中的网络“入侵软件”做出限制。
奥巴马政府同意“保证这些来自非法人员的技术成果绝不可被用于合法网络安全行为之外的范畴”,国家安全委员会立法事务高级主任Caroline Tess在一封信中指出。这封信件由国会网络安全众议员Jim Langevin公开发布。
Tess指出,白宫方面已经加强了与美国各官员以及行业的讨论,而美国商务部将针对最终规则公开征求意见,并在得出共识性结论后发布修订版草案。
不过Langevin在本周二的一份声明中指出,目前这项规则的问题可能取决于其内容本身——其中要求对2013年的协议做出重新磋商以限制此类高危工具。
拿出这样一份行之有效的美国黑客工具出口规则再次凸显了将物理物品之出口限制政策施加于虚拟世界的巨大难度,这是因为虚拟领域的网络安全性主要取决于自由信息流的传播速度。众多企业在多个国家拥有分支机构,并需要跨越极广地理区划由当地员工对其企业网络进行测试。
去年5月,美国商务部下工业与安全局提出了禁止进攻性工具传播的意见——其进攻性工具之定义为利用“零日”漏洞或者非经补丁修复之新型安全漏洞,从而允许使用者以管理员级别权限访问系统的软件工具。
不过在网络层面,“渗透其实是一种防御性工作,其用于测试当前防御机制的实际效果,”入侵测试工具供应商Rapid 7有限公司发言人Jen Ellis表示。“用户出于积累经验与专业知识的目的而进行自我攻击,这意味着出于防御的目标而实施进攻。这是一类典型的实例,我们无法对其进行一刀切式的粗暴对待方式。这类攻击活动立足于内部,而且有其必要性。”
这家总部位于马萨诸塞州波士顿市的网络安全厂商已经将业务推广到90个国家。
2013年的协议增项还涵盖了用于开发入侵软件的技术,这亦成为反对者研究结论中的一大重要内容。美国规则草案要求对研究结果进行公开,但某些针对安全漏洞的修复工作则可私下进行,从而避免恶意人士借此窥探到现存之系统缺陷。
为了将入侵软件或者信息交付非美国及非加拿大接收对象,各企业需要耗时数月为此专门申请许可。
全球政府事务与网络安全策略副总裁Cheri McGuire表示:赛门铁克公司每年需要申请约20份出口许可,并针对议案要求对未来许可需求数量进行了预估。
“我们数到了1000项就放弃继续计数了,而且我们甚至不知道最终实际数字会是多少,因为每项实例(包括信息或者工具共享)都需要一份与之对应的出口许可。我们需要申请上千份许可,而目的仅仅是继续开展我们的正常业务,”McGuire解释称。她将此称为一场官僚主义引发的噩梦。
美国规则草案亦引起了网络安全专业人员、活动家以及议员的广泛批评,人们发布了近300项评论,认为这将严重削弱网络安全水平。工业与安全局正在对其内容进行调整,预计将在今年上半年发布。美联社就此进行求证,但对方政府发言人没有对去电或邮件做出任何回应。
“全部企业都就此达成了共识,即以独裁手段压制软件供应业务是错误的,”商业软件联盟(其成员包括苹果、IBM、甲骨文、戴尔以及微软)的Craig Albright表示。但这一次“对全部日常使用之网络安全产品进行无差别扫荡的作法根本不是对错的问题——这是种极其可怕的作法。”
第三十八届CIO班招生
国际CIO认证培训
首席数据官(CDO)认证培训
责编:pingxiaoli
免责声明:本网站(http://www.ciotimes.com/)内容主要来自原创、合作媒体供稿和第三方投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。
本网站刊载的所有内容(包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等)版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时,请及时通知本站,予以删除。