代碼即武器:美國開始控制漏洞市場

責(zé)任編輯:editor007

2015-07-13 17:33:47

摘自:安全牛

美國工業(yè)與安全局(BIS)公布了一份把限制黑客技術(shù)放入全球武器貿(mào)易條約--“瓦森納協(xié)定”(Wassenaar Arrangement,WA)的計(jì)劃。” 

美國工業(yè)與安全局(BIS)公布了一份把限制黑客技術(shù)放入全球武器貿(mào)易條約--“瓦森納協(xié)定”(Wassenaar Arrangement,WA)的計(jì)劃。計(jì)劃表明了美國政府對黑客技術(shù)的態(tài)度,并在黑客技術(shù)與計(jì)算機(jī)安全的圈子里點(diǎn)燃了一場風(fēng)暴。人們在激烈的內(nèi)部爭論中表現(xiàn)得異??簥^,這是因?yàn)檫@一新規(guī)改變了入侵軟件和網(wǎng)絡(luò)協(xié)議(IP)網(wǎng)絡(luò)通信監(jiān)視的定義,并可能使?jié)B透測試工具、網(wǎng)絡(luò)入侵、利用零日漏洞變成犯罪行為。
    有些人認(rèn)為,新的定義方式似乎也給給予了美國在購買、銷售、進(jìn)出口某些特定種類的網(wǎng)絡(luò)戰(zhàn)工具時(shí)的優(yōu)勢。漏洞市場目前還是黑市,但美國政府已經(jīng)成為了其中最大的玩家。

代碼即武器

當(dāng)爭議在本周爆發(fā),人們紛紛討論政府將出售零日漏洞行為非法化的動機(jī)時(shí),BIS的主管蘭迪·惠勒解釋稱,對漏洞、零日漏洞、入侵軟件進(jìn)行開發(fā)、測試、評估、產(chǎn)品化現(xiàn)在都受到了限制:如果沒有獲得許可就開始出口,有可能被視為非法行為。但令人迷惑的是,新規(guī)并不限制對漏洞進(jìn)行研究。

她表示,“漏洞研究并沒有受到限制,選擇、尋找、鎖定、學(xué)習(xí)、測試漏洞的技術(shù)也沒有”。

她的表述為安全專家們那些語調(diào)愈發(fā)激烈的說法提供了根據(jù)——政府可能根本就不知道自己在說什么。

謝爾蓋·阿拉圖斯是安全·技術(shù)·社會研究所的首席安全顧問,也是達(dá)特茅斯學(xué)院計(jì)算機(jī)科學(xué)系的副教授,他簡單地解釋了這個問題。“發(fā)生了入侵事件就代表存在著漏洞。如果沒有一個運(yùn)行著的程序:入侵軟件,我和同事們就無法確認(rèn)那些我們曾經(jīng)描述過的安全漏洞真的存在,就像物理學(xué)家不可能在沒有成功實(shí)驗(yàn)的基礎(chǔ)上就宣布某種物理現(xiàn)象一樣。”

阿拉圖斯對Engaget說,“瓦森納協(xié)定中對黑客工具的監(jiān)管嘗試是基于類似‘入侵軟件’這樣的糟糕定義,以及‘零日’、‘rootkits’這類定義不清的行話之上的。瓦森納協(xié)定中的‘入侵軟件’概念存在嚴(yán)重漏洞。從技術(shù)上講,它并不對應(yīng)任何具體的軟件類別,而且我懷疑,從法律上講也是如此。‘Rootkits’和‘零日漏洞’屬于模糊不清的術(shù)語行話,它們?nèi)狈φ?guī)的教科書定義,而且在專業(yè)討論之外的場景中毫無意義。舉例而言,反病毒廠商們會使用一些其它的行話,而在另一些語境中可能會使用’rootkits’這種說法,盡管這兩類詞語所形容的技術(shù)是完全一樣的。”

他警告稱,“像文中寫的那樣,瓦森納協(xié)定適用于安全研究的基本結(jié)構(gòu)和元素。如果禁止了那些能夠發(fā)現(xiàn)新威脅的主動性研究,網(wǎng)絡(luò)防御會受到惡劣影響,并永久落后一步。”

從程序員到律師,信息安全專家們普遍表示,新規(guī)讓黑客技術(shù)(安全研究)進(jìn)入了一個合法的灰色區(qū)域,這可能會潛在地將黑客技術(shù)犯罪化,并讓特定類型的代碼在不經(jīng)允許的情況下的出口行為變成非法。很多人都擔(dān)心,這會對那些合法銷售漏洞、零日漏洞,以及一些從事bug修復(fù)業(yè)務(wù)的公司產(chǎn)生影響。而且,它還可能讓一些安全研究者自動變成“黑客愛國者”,強(qiáng)制他們將自己的研究層次下降幾級,以獲取日常工資。

毫不令人吃驚的是,這些擔(dān)憂正在信息安全領(lǐng)域中的每個角落制造情緒亢奮。阿拉圖斯在接受媒體采訪時(shí)引述了一些火爆的推文,“出臺這項(xiàng)監(jiān)管的人可能認(rèn)為他們只針對一小部分產(chǎn)品;但從字面上講,他們的監(jiān)管事實(shí)上面向的是安全技術(shù)的基礎(chǔ),這些基礎(chǔ)也是公司未來發(fā)展中最有潛力的道路。”瓦森納協(xié)定是一項(xiàng)由41個國家簽署的出口限制協(xié)定,它限制彈藥和武器的出口,比如坦克、導(dǎo)彈、槍械。但同時(shí)也包括“軍民兩用的貨物和技術(shù)”,比如核燃料棒。在2013年的附加條款中,它試圖監(jiān)管網(wǎng)絡(luò)戰(zhàn)爭工具,也就是所謂的“入侵軟件”。各國對協(xié)定的解讀和本國法律中實(shí)現(xiàn)它的方式各不相同。

因此,瓦森納協(xié)定的成員國:美國,一直在考慮如何在本國的外貿(mào)管理?xiàng)l例中進(jìn)行修改,以適應(yīng)協(xié)定的最新動向,并在修改中滲透美國的國家安全需求以及外交政策利益。美國的原定計(jì)劃是在2014年9月宣布如何將將協(xié)定中關(guān)于軟件部分的條款適用于犯罪和處罰(出口控制及許可)領(lǐng)域,而歐盟在2013年10月已經(jīng)針對瓦森納協(xié)定2013年版進(jìn)行了更新。

律師克里夫·伯恩斯表示,很多人認(rèn)為這次延遲可能是因?yàn)锽IS對瓦森納協(xié)定中關(guān)于“入侵檢測軟件”的絕對表述感到糾結(jié)。他隨后補(bǔ)充道,“然而我們錯了”。

相反,BIS讓情況變得更糟了。

伯恩斯說,“很多人指出,這個定義會涵蓋那些不經(jīng)用戶同意就進(jìn)行自動更新的軟件,比如Chrome。Chrome會在后臺更新,并會繞過一般操作系統(tǒng)所帶有的防止在用戶未授權(quán)情況下進(jìn)行安裝或修改的防護(hù)措施。協(xié)定中所定義的沙盒是作為一種保護(hù)措施的,而這會使那些提供手機(jī)root或越獄功能的軟件也受到出口管制。”

喬恩·卡拉斯是PGP(Pretty Good Privacy)的聯(lián)合創(chuàng)始人,也是全球加密通信服務(wù)Silent Circle的CTO,他補(bǔ)充說,“我認(rèn)為他們所做的事情從表面上看是值得稱贊的,它試圖監(jiān)管那些我們可能會戲稱為‘網(wǎng)絡(luò)武器’的東西。不過,有一部分問題是,我們不清楚政府具體想要干些什么。”

也許政府使用的這種方式僅僅是過時(shí)了而已。“如果從更基本的層面上來看瓦森納協(xié)定描述軍民兩用的方式,軍民兩用技術(shù)包括一些說得過去的東西:用過的核燃料棒、先進(jìn)的噴氣式發(fā)動機(jī)。但被監(jiān)管的也包括加密、GPS、高端顯卡(因?yàn)樗鼈円彩怯?jì)算引擎),以及其它很多技術(shù)。舉例而言,如果是在上個世紀(jì)八十年代,將GPS視為軍民兩用技術(shù)而禁止出口是有道理的。但到了今天就完全說不通,因?yàn)槊坎渴謾C(jī)都在用GPS。類似地,加密在某個時(shí)代也曾經(jīng)是可以被監(jiān)管的軍民兩用技術(shù)。”

卡拉斯明智地補(bǔ)充道,“現(xiàn)在已經(jīng)不是那個時(shí)代了。把殺毒軟件裝進(jìn)同一個垃圾桶也并不是明智之舉。”

思想有罪

整個事件都在引發(fā)人們對于協(xié)定執(zhí)行的不安。上個月,美國司法部起訴了四家美國公司和五位公民,因?yàn)樗麄儗⑻囟ǖ碾娮游锢碓O(shè)備出口到了伊朗。但如果BIS加快了司法部起訴出口零日漏洞和其它漏洞的腳步,它可能會在美國國內(nèi)面臨艱苦的戰(zhàn)斗。

杰森·舒爾茨是紐約大學(xué)的科技法律及政策診斷研究所診所式法律教育部門副教授,他認(rèn)為這種情況很有可能出現(xiàn),因?yàn)?ldquo;很難確定那些旨在對特定目標(biāo)發(fā)動攻擊的意圖,而幫助發(fā)動攻擊的往往只是一些信息,而并不是代碼。這就是說,如果網(wǎng)絡(luò)戰(zhàn)爭條約真正落到了實(shí)處,可能會引起那些由于貿(mào)易凋敝而產(chǎn)生的訴訟。但哪怕一個漏洞是有效可用的,也很難證明它就是武器。”

另外,很多人相信,潛在的訴訟風(fēng)險(xiǎn)可能會對讓那些為了保護(hù)公共安全而披露危險(xiǎn)問題的人裹足不前。這些人認(rèn)為實(shí)施信息安全的最佳策略就是進(jìn)行全面信息披露。

當(dāng)事人認(rèn)為公眾知情度(了解bug、零日漏洞、漏洞以及脆弱點(diǎn))非常重要,才會進(jìn)行這些披露工作。這些工作通常是推動各大公司修補(bǔ)自身漏洞的唯一因素。

阿拉圖斯相當(dāng)肯定這會影響到消費(fèi)者,盡管新的數(shù)據(jù)泄露事件每天都在發(fā)生,將個人信息到處撒播,而消費(fèi)者往往是我們最后想到的念頭。“如果在信息安全社群中沒有活躍的交流,那些瓦森納想要保護(hù)的特定人群可能會失去關(guān)于安全威脅的有效信息。這可能會讓情況變得比現(xiàn)在更加糟糕,導(dǎo)致更多的入侵和私人數(shù)據(jù)被盜事件。”

瓦森納協(xié)定并不具有法律約束力,但它的管制措施在41個成員國中通過全國性立法得以實(shí)現(xiàn),因此它的實(shí)施方式在各國之間都有不同。這也可能會讓安全研究人員進(jìn)行國際旅行被列到新的未知威脅列表中。

市場控制破壞安全體系

從表面上看,瓦森納協(xié)定進(jìn)軍入侵和監(jiān)視技術(shù)領(lǐng)域是想通過危險(xiǎn)武器出口條約來監(jiān)管漏洞以及零日漏洞銷售,因?yàn)檫@些技術(shù)可能會為專制政權(quán)和罪犯所用。

然而,就像卡拉斯指出的那樣,“瓦森納協(xié)定并不包括南亞地區(qū)(包括印度、中國和印度尼西亞),南美的大部分地區(qū)(協(xié)定中的唯一國家是阿根廷),非洲的大部分地區(qū)(協(xié)定中唯一的國家是南非),以及西亞(包括以色列,伊朗等等)。”

瓦森納協(xié)定沒有覆蓋的地區(qū)正引發(fā)了那些關(guān)于實(shí)現(xiàn)主權(quán)國家利益的爭論,這種現(xiàn)狀可能預(yù)示著美國對網(wǎng)絡(luò)戰(zhàn)爭業(yè)務(wù)以及全球漏洞市場的陰險(xiǎn)企圖。

卡拉斯解釋說,BIS實(shí)施的新規(guī)代表著美國的一些雄心勃勃的企圖。“瓦森納協(xié)定通常是國家本意的遮羞布。我們都見過美國在歷史上的所作所為。我很確定,你也知道澳大利亞正在發(fā)生著什么。瓦森納協(xié)定并不強(qiáng)制各國做任何事情,而且它甚至不會沿著各國的宣傳口徑走得太遠(yuǎn)。”

由Junpier Networks去年委托撰寫并發(fā)布的藍(lán)德(RAND)報(bào)告中提到了“面向網(wǎng)絡(luò)犯罪工具以及失竊數(shù)據(jù)的市場”。報(bào)告中介紹了售賣漏洞以及零日漏洞的市場已經(jīng)從“一盤散沙,由自我陶醉以及惡意企圖所構(gòu)建的Ad Hoc網(wǎng)絡(luò)轉(zhuǎn)變成了新型的、高度組織化的生產(chǎn)工廠,還通常與傳統(tǒng)的犯罪集團(tuán)(例如毒梟、黑手黨、恐怖分子組織)以及主權(quán)國家相勾連。”
值得一提的是,近年來漏洞市場發(fā)生的最大變化在于政府資金的涌入:特別是美國政府的錢。

根據(jù)華盛頓戰(zhàn)略和國際研究中心的說法,在漏洞買賣排行榜上,美國榮登榜首,緊隨其后的是以色列、英國、俄羅斯、印度和巴西。朝鮮也在這個市場中分了一杯羹,還有一些中東的情報(bào)機(jī)構(gòu)。

事實(shí)上,歐洲信息安全和政策中心在一份2013年的報(bào)告中指出,由于美國自由法案的要求,NSA與法國VUPEN公司于2012年9月訂立了一年期的合同,訂閱了VUPEN的二進(jìn)制分析及漏洞服務(wù)(Binary Analysis and Exploits Service)。這讓NSA可以使用軟件后門以及零日漏洞。

在2013年,“禁止交易漏洞的法律已經(jīng)在醞釀中了。Marietije Schaake是歐洲議會的一名荷蘭代表,他正努力推動漏洞出口交易控制法案。她表示,這項(xiàng)法案正在獲得支持,因?yàn)槁┒纯赡軙粚V普?quán)用作‘數(shù)字武器’。舉例而言,政府可以使用這些技術(shù)來監(jiān)控政治異見者的手機(jī)。不過,出于一些原因,這個新法案的前途將會很坎坷。”

“就像一位美國軍事情報(bào)官員指出的那樣,那些購買漏洞的政府正在為危險(xiǎn)的科技研發(fā)提供資金,‘建立一個黑市’。”

令人難以置信的是,美國政府在漏洞黑市中的所作所為有一個不太可能的盟友:美國公民自由聯(lián)盟(ACLU)的主要技術(shù)專家和高級政策分析師。
克里斯·索安伊恩參與了ACLU的Speech和隱私與科技項(xiàng)目(Privacy and Technology Project),他在公眾輿論中長期反對政府購買漏洞。在過去的幾年中,他一直宣傳漏洞以及零日漏洞是“數(shù)字武器”,任何參與相關(guān)買賣的人都應(yīng)該組建一個規(guī)范化的全球市場。

索安伊恩在他對Slate談話時(shí)曾發(fā)表過著名言論。“就像飛機(jī)上的引擎可以讓軍方投下殺人的炸彈,人們也可以使用零日漏洞來投放網(wǎng)絡(luò)武器,造成物理傷害甚至人員傷亡。”

現(xiàn)在美國政府似乎非常樂意幫助實(shí)現(xiàn)這一點(diǎn)。信息安全圈子內(nèi)對于索安伊恩不可原諒的言論的反對聲音正在強(qiáng)烈地激蕩?,F(xiàn)在的戰(zhàn)斗已經(jīng)變成了最經(jīng)典的那種:站在一起捍衛(wèi)言論自由,對抗政府過度擴(kuò)張,并維護(hù)安全研究中的思想自由交流。

法律博客Lexology寫道,“盡管BIS提出了實(shí)現(xiàn)這些新的管制策略的方法,但它同時(shí)也告訴人們,這些新規(guī)則的后果是未知的,結(jié)果招來了大量業(yè)務(wù)可能會受到影響的出口商的批評。”瓦森納協(xié)定的修改方案現(xiàn)在正出于征求意見階段,直到7月20日結(jié)束。

說到底,如果法案的目標(biāo)是讓那些可能被用于壓迫的工具遠(yuǎn)離專制政權(quán)之手,很明顯,瓦森納協(xié)定以及它的BIS版本不論從哪個方面來看都與此目標(biāo)相差甚遠(yuǎn)。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號-6京公網(wǎng)安備 11010502049343號