代码即武器：美国开始控制漏洞市场(2)

发布时间:2015-06-08 16:02 作者:Venvoo 来源:安全牛点击:加载中...次

思想有罪

整个事件都在引发人们对于协定执行的不安。上个月，美国司法部起诉了四家美国公司和五位公民，因为他们将特定的电子物理设备出口到了伊朗。但如果BIS加快了司法部起诉出口零日漏洞和其它漏洞的脚步，它可能会在美国国内面临艰苦的战斗。

杰森·舒尔茨是纽约大学的科技法律及政策诊断研究所诊所式法律教育部门副教授，他认为这种情况很有可能出现，因为“很难确定那些旨在对特定目标发动攻击的意图，而帮助发动攻击的往往只是一些信息，而并不是代码。这就是说，如果网络战争条约真正落到了实处，可能会引起那些由于贸易凋敝而产生的诉讼。但哪怕一个漏洞是有效可用的，也很难证明它就是武器。”

另外，很多人相信，潜在的诉讼风险可能会对让那些为了保护公共安全而披露危险问题的人裹足不前。这些人认为实施信息安全的最佳策略就是进行全面信息披露。

当事人认为公众知情度(了解bug、零日漏洞、漏洞以及脆弱点)非常重要，才会进行这些披露工作。这些工作通常是推动各大公司修补自身漏洞的唯一因素。

阿拉图斯相当肯定这会影响到消费者，尽管新的数据泄露事件每天都在发生，将个人信息到处撒播，而消费者往往是我们最后想到的念头。“如果在信息安全社群中没有活跃的交流，那些瓦森纳想要保护的特定人群可能会失去关于安全威胁的有效信息。这可能会让情况变得比现在更加糟糕，导致更多的入侵和私人数据被盗事件。”

瓦森纳协定并不具有法律约束力，但它的管制措施在41个成员国中通过全国性立法得以实现，因此它的实施方式在各国之间都有不同。这也可能会让安全研究人员进行国际旅行被列到新的未知威胁列表中。

市场控制破坏安全体系

从表面上看，瓦森纳协定进军入侵和监视技术领域是想通过危险武器出口条约来监管漏洞以及零日漏洞销售，因为这些技术可能会为专制政权和罪犯所用。

然而，就像卡拉斯指出的那样，“瓦森纳协定并不包括南亚地区(包括印度、中国和印度尼西亚)，南美的大部分地区(协定中的唯一国家是阿根廷)，非洲的大部分地区(协定中唯一的国家是南非)，以及西亚(包括以色列，伊朗等等)。”

瓦森纳协定没有覆盖的地区正引发了那些关于实现主权国家利益的争论，这种现状可能预示着美国对网络战争业务以及全球漏洞市场的阴险企图。

卡拉斯解释说，BIS实施的新规代表着美国的一些雄心勃勃的企图。“瓦森纳协定通常是国家本意的遮羞布。我们都见过美国在历史上的所作所为。我很确定，你也知道澳大利亚正在发生着什么。瓦森纳协定并不强制各国做任何事情，而且它甚至不会沿着各国的宣传口径走得太远。”

由Junpier Networks去年委托撰写并发布的蓝德(RAND)报告中提到了“面向网络犯罪工具以及失窃数据的市场”。报告中介绍了售卖漏洞以及零日漏洞的市场已经从“一盘散沙，由自我陶醉以及恶意企图所构建的Ad Hoc网络转变成了新型的、高度组织化的生产工厂，还通常与传统的犯罪集团(例如毒枭、黑手党、恐怖分子组织)以及主权国家相勾连。”

值得一提的是，近年来漏洞市场发生的最大变化在于政府资金的涌入：特别是美国政府的钱。

根据华盛顿战略和国际研究中心的说法，在漏洞买卖排行榜上，美国荣登榜首，紧随其后的是以色列、英国、俄罗斯、印度和巴西。朝鲜也在这个市场中分了一杯羹，还有一些中东的情报机构。

事实上，欧洲信息安全和政策中心在一份2013年的报告中指出，由于美国自由法案的要求，NSA与法国VUPEN公司于2012年9月订立了一年期的合同，订阅了VUPEN的二进制分析及漏洞服务(Binary Analysis and Exploits Service)。这让NSA可以使用软件后门以及零日漏洞。

在2013年，“禁止交易漏洞的法律已经在酝酿中了。Marietije Schaake是欧洲议会的一名荷兰代表，他正努力推动漏洞出口交易控制法案。她表示，这项法案正在获得支持，因为漏洞可能会被专制政权用作‘数字武器’。举例而言，政府可以使用这些技术来监控政治异见者的手机。不过，出于一些原因，这个新法案的前途将会很坎坷。”

“就像一位美国军事情报官员指出的那样，那些购买漏洞的政府正在为危险的科技研发提供资金，‘建立一个黑市’。”

令人难以置信的是，美国政府在漏洞黑市中的所作所为有一个不太可能的盟友：美国公民自由联盟(ACLU)的主要技术专家和高级政策分析师。