美國商務部周三送出了新的出口限制禁令,将未公開的軟體漏洞視為潛在武器。此舉旨在減少安全行業為敵對國家提供的可能幫助。但是很多安全研究人員表示,美國商務部的出口限制禁令可能無法遏制黑市,同時阻礙跨境合作和國防産品銷售。
商務部的禁令中覆寫所謂的“零日漏洞”(zero-day)以及軟體開發商也不了解的安全漏洞。“零日漏洞”又叫零時差攻擊,是指被發現後立即被惡意利用的安全漏洞。
黑客與國防承包商經常向政府機構或軟體開發商出售有關此類漏洞的資訊,美國内部銷售則可以繼續。但是在未經特别許可的情況下,“零日漏洞”及其支援能力的銷售在美國、英國、加拿大、澳洲以及紐西蘭之外将被禁止。
美國安全廠商netragard的首席執行官阿德瑞爾·德斯特爾斯(adriel desautels)說:“在某種程度上,我認為實行‘零日漏洞’經紀人許可制度是個好主意,可以預防美國人向伊朗出售軟體漏洞資訊,某種形式的授權或監管十分有用。但是監管可能對安全行業整體存在潛在損害,這是個不折不扣的蠢主意。”
美國商務部的禁令是2013年41國簽署的協定的補充,即某些滲透性軟體也應該成為監管對象,就像核武器和化學武器零部件一樣。多名研究人員稱,美國大國防承包商正尋找或花錢購買軟體漏洞,然後将其賣給情報機構、軍方以及執法機構,他們很容易就可招募到律師,獲得某些海外銷售授權。
但中小型安全公司、獨立研究人員更有可能跨境出售相關軟體漏洞資訊,很多資訊甚至會落入犯罪分子手中。專門研究“零日漏洞”市場的蘭德公司安全專家莉莉安·阿布隆(lillian ablon)說:“這有可能對我們如何進行弱點研究以及保護我們的系統産生重大影響。如果我們限制尋找漏洞的白帽黑客的能力,隻會令壞人作惡更容易。”
盡管開源軟體和科學研究可享有豁免權,但是如果商務部禁令被采用,将對軟體漏洞以及利用它們的工具的合法市場産生重大影響,因為這些市場剛剛進入開放和成熟期。
更多公司近來開始付費購買“漏洞紅利”,對那些在他們的産品中發現安全漏洞的研究人員予以重獎,而不是驅使他們将漏洞賣給政府或黑客。多家初創企業甚至已經開發出新的職業化“報告-回報”系統,更小型公司都可從中獲益。
獲得風險投資支援的初創企業hackerone首席政策官凱蒂·穆索瑞斯 (katie moussouris) 稱,将來,海外公司可能不得不向研究人員提供現金獎勵和指導,以獲得出口授權,確定他們自己的程式更加安全。(風帆)
作者:佚名
來源:51cto