代码即武器：美国开始控制漏洞市场

发布时间:2015-06-08 16:02 作者:Venvoo 来源:安全牛点击:加载中...次

上周，美国工业与安全局(BIS)公布了一份把限制黑客技术放入全球武器贸易条约--“瓦森纳协定”(Wassenaar Arrangement，WA)的计划。计划表明了美国政府对黑客技术的态度，并在黑客技术与计算机安全的圈子里点燃了一场风暴。人们在激烈的内部争论中表现得异常亢奋，这是因为这一新规改变了入侵软件和网络协议(IP)网络通信监视的定义，并可能使渗透测试工具、网络入侵、利用零日漏洞变成犯罪行为。

有些人认为，新的定义方式似乎也给给予了美国在购买、销售、进出口某些特定种类的网络战工具时的优势。漏洞市场目前还是黑市，但美国政府已经成为了其中最大的玩家。

代码即武器

当争议在本周爆发，人们纷纷讨论政府将出售零日漏洞行为非法化的动机时，BIS的主管兰迪·惠勒解释称，对漏洞、零日漏洞、入侵软件进行开发、测试、评估、产品化现在都受到了限制：如果没有获得许可就开始出口，有可能被视为非法行为。但令人迷惑的是，新规并不限制对漏洞进行研究。

她表示，“漏洞研究并没有受到限制，选择、寻找、锁定、学习、测试漏洞的技术也没有”。

她的表述为安全专家们那些语调愈发激烈的说法提供了根据——政府可能根本就不知道自己在说什么。

谢尔盖·阿拉图斯是安全·技术·社会研究所的首席安全顾问，也是达特茅斯学院计算机科学系的副教授，他简单地解释了这个问题。“发生了入侵事件就代表存在着漏洞。如果没有一个运行着的程序：入侵软件，我和同事们就无法确认那些我们曾经描述过的安全漏洞真的存在，就像物理学家不可能在没有成功实验的基础上就宣布某种物理现象一样。”

阿拉图斯对Engaget说，“瓦森纳协定中对黑客工具的监管尝试是基于类似‘入侵软件’这样的糟糕定义，以及‘零日’、‘rootkits’这类定义不清的行话之上的。瓦森纳协定中的‘入侵软件’概念存在严重漏洞。从技术上讲，它并不对应任何具体的软件类别，而且我怀疑，从法律上讲也是如此。‘Rootkits’和‘零日漏洞’属于模糊不清的术语行话，它们缺乏正规的教科书定义，而且在专业讨论之外的场景中毫无意义。举例而言，反病毒厂商们会使用一些其它的行话，而在另一些语境中可能会使用’rootkits’这种说法，尽管这两类词语所形容的技术是完全一样的。”

他警告称，“像文中写的那样，瓦森纳协定适用于安全研究的基本结构和元素。如果禁止了那些能够发现新威胁的主动性研究，网络防御会受到恶劣影响，并永久落后一步。”

从程序员到律师，信息安全专家们普遍表示，新规让黑客技术(安全研究)进入了一个合法的灰色区域，这可能会潜在地将黑客技术犯罪化，并让特定类型的代码在不经允许的情况下的出口行为变成非法。很多人都担心，这会对那些合法销售漏洞、零日漏洞，以及一些从事bug修复业务的公司产生影响。而且，它还可能让一些安全研究者自动变成“黑客爱国者”，强制他们将自己的研究层次下降几级，以获取日常工资。

毫不令人吃惊的是，这些担忧正在信息安全领域中的每个角落制造情绪亢奋。阿拉图斯在接受媒体采访时引述了一些火爆的推文，“出台这项监管的人可能认为他们只针对一小部分产品;但从字面上讲，他们的监管事实上面向的是安全技术的基础，这些基础也是公司未来发展中最有潜力的道路。”

瓦森纳协定是一项由41个国家签署的出口限制协定，它限制弹药和武器的出口，比如坦克、导弹、枪械。但同时也包括“军民两用的货物和技术”，比如核燃料棒。在2013年的附加条款中，它试图监管网络战争工具，也就是所谓的“入侵软件”。各国对协定的解读和本国法律中实现它的方式各不相同。

因此，瓦森纳协定的成员国：美国，一直在考虑如何在本国的外贸管理条例中进行修改，以适应协定的最新动向，并在修改中渗透美国的国家安全需求以及外交政策利益。美国的原定计划是在2014年9月宣布如何将将协定中关于软件部分的条款适用于犯罪和处罚(出口控制及许可)领域，而欧盟在2013年10月已经针对瓦森纳协定2013年版进行了更新。

律师克里夫·伯恩斯表示，很多人认为这次延迟可能是因为BIS对瓦森纳协定中关于“入侵检测软件”的绝对表述感到纠结。他随后补充道，“然而我们错了”。

相反，BIS让情况变得更糟了。

伯恩斯说，“很多人指出，这个定义会涵盖那些不经用户同意就进行自动更新的软件，比如Chrome。Chrome会在后台更新，并会绕过一般操作系统所带有的防止在用户未授权情况下进行安装或修改的防护措施。协定中所定义的沙盒是作为一种保护措施的，而这会使那些提供手机root或越狱功能的软件也受到出口管制。”

乔恩·卡拉斯是PGP(Pretty Good Privacy)的联合创始人，也是全球加密通信服务Silent Circle的CTO，他补充说，“我认为他们所做的事情从表面上看是值得称赞的，它试图监管那些我们可能会戏称为‘网络武器’的东西。不过，有一部分问题是，我们不清楚政府具体想要干些什么。”

也许政府使用的这种方式仅仅是过时了而已。“如果从更基本的层面上来看瓦森纳协定描述军民两用的方式，军民两用技术包括一些说得过去的东西：用过的核燃料棒、先进的喷气式发动机。但被监管的也包括加密、GPS、高端显卡(因为它们也是计算引擎)，以及其它很多技术。举例而言，如果是在上个世纪八十年代，将GPS视为军民两用技术而禁止出口是有道理的。但到了今天就完全说不通，因为每部手机都在用GPS。类似地，加密在某个时代也曾经是可以被监管的军民两用技术。”

卡拉斯明智地补充道，“现在已经不是那个时代了。把杀毒软件装进同一个垃圾桶也并不是明智之举。”

(责任编辑：安博涛)