美國商務部周三提交了新的出口限制禁令,將未公開的軟件漏洞視為潛在武器。此舉旨在減少安全行業為敵對國家提供的可能幫助。但是很多安全研究人員表示,美國商務部的出口限制禁令可能無法遏制黑市,同時阻礙跨境合作和國防產品銷售。
商務部的禁令中覆蓋所謂的“零日漏洞”(zero-day)以及軟件開發商也不了解的安全漏洞。“零日漏洞”又叫零時差攻擊,是指被發現后立即被惡意利用的安全漏洞。
黑客與國防承包商經常向政府機構或軟件開發商出售有關此類漏洞的信息,美國內部銷售則可以繼續。但是在未經特別許可的情況下,“零日漏洞”及其支持能力的銷售在美國、英國、加拿大、澳大利亞以及新西蘭之外將被禁止。
美國安全廠商Netragard的首席執行官阿德瑞爾·德斯特爾斯(Adriel Desautels)說:“在某種程度上,我認為實行‘零日漏洞’經紀人許可制度是個好主意,可以預防美國人向伊朗出售軟件漏洞信息,某種形式的授權或監管十分有用。但是監管可能對安全行業整體存在潛在損害,這是個不折不扣的蠢主意。”
美國商務部的禁令是2013年41國簽署的協議的補充,即某些滲透性軟件也應該成為監管對象,就像核武器和化學武器零部件一樣。多名研究人員稱,美國大國防承包商正尋找或花錢購買軟件漏洞,然后將其賣給情報機構、軍方以及執法機構,他們很容易就可招募到律師,獲得某些海外銷售授權。
但中小型安全公司、獨立研究人員更有可能跨境出售相關軟件漏洞信息,很多信息甚至會落入犯罪分子手中。專門研究“零日漏洞”市場的蘭德公司安全專家莉莉安·阿布隆(Lillian Ablon)說:“這有可能對我們如何進行弱點研究以及保護我們的系統產生重大影響。如果我們限制尋找漏洞的白帽黑客的能力,只會令壞人作惡更容易。”
盡管開源軟件和科學研究可享有豁免權,但是如果商務部禁令被采用,將對軟件漏洞以及利用它們的工具的合法市場產生重大影響,因為這些市場剛剛進入開放和成熟期。
更多公司近來開始付費購買“漏洞紅利”,對那些在他們的產品中發現安全漏洞的研究人員予以重獎,而不是驅使他們將漏洞賣給政府或黑客。多家初創企業甚至已經開發出新的職業化“報告-回報”系統,更小型公司都可從中獲益。
獲得風險投資支持的初創企業HackerOne首席策略官凱蒂·穆索瑞斯 (Katie Moussouris) 稱,將來,海外公司可能不得不向研究人員提供現金獎勵和指導,以獲得出口授權,確保他們自己的程序更加安全。
京公網安備 11010502049343號