美國工業與安全局（BIS）公布了一份把限制黑客技術放入全球武器貿易條約－－“瓦森納協定”（Wassenaar Arrangement，WA）的計劃。計劃表明了美國政府對黑客技術的態度，并在黑客技術與計算機安全的圈子里點燃了一場風暴。人們在激烈的內部爭論中表現得異常亢奮，這是因為這一新規改變了入侵軟件和網絡協議（IP）網絡通信監視的定義，并可能使滲透測試工具、網絡入侵、利用零日漏洞變成犯罪行為。
　　　 有些人認為，新的定義方式似乎也給給予了美國在購買、銷售、進出口某些特定種類的網絡戰工具時的優勢。漏洞市場目前還是黑市，但美國政府已經成為了其中最大的玩家。

代碼即武器

當爭議在本周爆發，人們紛紛討論政府將出售零日漏洞行為非法化的動機時，BIS的主管蘭迪·惠勒解釋稱，對漏洞、零日漏洞、入侵軟件進行開發、測試、評估、產品化現在都受到了限制：如果沒有獲得許可就開始出口，有可能被視為非法行為。但令人迷惑的是，新規并不限制對漏洞進行研究。

她表示，“漏洞研究并沒有受到限制，選擇、尋找、鎖定、學習、測試漏洞的技術也沒有”。

她的表述為安全專家們那些語調愈發激烈的說法提供了根據——政府可能根本就不知道自己在說什么。

謝爾蓋·阿拉圖斯是安全·技術·社會研究所的首席安全顧問，也是達特茅斯學院計算機科學系的副教授，他簡單地解釋了這個問題。“發生了入侵事件就代表存在著漏洞。如果沒有一個運行著的程序：入侵軟件，我和同事們就無法確認那些我們曾經描述過的安全漏洞真的存在，就像物理學家不可能在沒有成功實驗的基礎上就宣布某種物理現象一樣。”

阿拉圖斯對Engaget說，“瓦森納協定中對黑客工具的監管嘗試是基于類似‘入侵軟件’這樣的糟糕定義，以及‘零日’、‘rootkits’這類定義不清的行話之上的。瓦森納協定中的‘入侵軟件’概念存在嚴重漏洞。從技術上講，它并不對應任何具體的軟件類別，而且我懷疑，從法律上講也是如此。‘Rootkits’和‘零日漏洞’屬于模糊不清的術語行話，它們缺乏正規的教科書定義，而且在專業討論之外的場景中毫無意義。舉例而言，反病毒廠商們會使用一些其它的行話，而在另一些語境中可能會使用’rootkits’這種說法，盡管這兩類詞語所形容的技術是完全一樣的。”

他警告稱，“像文中寫的那樣，瓦森納協定適用于安全研究的基本結構和元素。如果禁止了那些能夠發現新威脅的主動性研究，網絡防御會受到惡劣影響，并永久落后一步。”

從程序員到律師，信息安全專家們普遍表示，新規讓黑客技術（安全研究）進入了一個合法的灰色區域，這可能會潛在地將黑客技術犯罪化，并讓特定類型的代碼在不經允許的情況下的出口行為變成非法。很多人都擔心，這會對那些合法銷售漏洞、零日漏洞，以及一些從事bug修復業務的公司產生影響。而且，它還可能讓一些安全研究者自動變成“黑客愛國者”，強制他們將自己的研究層次下降幾級，以獲取日常工資。

毫不令人吃驚的是，這些擔憂正在信息安全領域中的每個角落制造情緒亢奮。阿拉圖斯在接受媒體采訪時引述了一些火爆的推文，“出臺這項監管的人可能認為他們只針對一小部分產品；但從字面上講，他們的監管事實上面向的是安全技術的基礎，這些基礎也是公司未來發展中最有潛力的道路。”瓦森納協定是一項由41個國家簽署的出口限制協定，它限制彈藥和武器的出口，比如坦克、導彈、槍械。但同時也包括“軍民兩用的貨物和技術”，比如核燃料棒。在2013年的附加條款中，它試圖監管網絡戰爭工具，也就是所謂的“入侵軟件”。各國對協定的解讀和本國法律中實現它的方式各不相同。

因此，瓦森納協定的成員國：美國，一直在考慮如何在本國的外貿管理條例中進行修改，以適應協定的最新動向，并在修改中滲透美國的國家安全需求以及外交政策利益。美國的原定計劃是在2014年9月宣布如何將將協定中關于軟件部分的條款適用于犯罪和處罰（出口控制及許可）領域，而歐盟在2013年10月已經針對瓦森納協定2013年版進行了更新。

律師克里夫·伯恩斯表示，很多人認為這次延遲可能是因為BIS對瓦森納協定中關于“入侵檢測軟件”的絕對表述感到糾結。他隨后補充道，“然而我們錯了”。

相反，BIS讓情況變得更糟了。

伯恩斯說，“很多人指出，這個定義會涵蓋那些不經用戶同意就進行自動更新的軟件，比如Chrome。Chrome會在后臺更新，并會繞過一般操作系統所帶有的防止在用戶未授權情況下進行安裝或修改的防護措施。協定中所定義的沙盒是作為一種保護措施的，而這會使那些提供手機root或越獄功能的軟件也受到出口管制。”

喬恩·卡拉斯是PGP（Pretty Good Privacy）的聯合創始人，也是全球加密通信服務Silent Circle的CTO，他補充說，“我認為他們所做的事情從表面上看是值得稱贊的，它試圖監管那些我們可能會戲稱為‘網絡武器’的東西。不過，有一部分問題是，我們不清楚政府具體想要干些什么。”

也許政府使用的這種方式僅僅是過時了而已。“如果從更基本的層面上來看瓦森納協定描述軍民兩用的方式，軍民兩用技術包括一些說得過去的東西：用過的核燃料棒、先進的噴氣式發動機。但被監管的也包括加密、GPS、高端顯卡（因為它們也是計算引擎），以及其它很多技術。舉例而言，如果是在上個世紀八十年代，將GPS視為軍民兩用技術而禁止出口是有道理的。但到了今天就完全說不通，因為每部手機都在用GPS。類似地，加密在某個時代也曾經是可以被監管的軍民兩用技術。”

卡拉斯明智地補充道，“現在已經不是那個時代了。把殺毒軟件裝進同一個垃圾桶也并不是明智之舉。”

思想有罪

整個事件都在引發人們對于協定執行的不安。上個月，美國司法部起訴了四家美國公司和五位公民，因為他們將特定的電子物理設備出口到了伊朗。但如果BIS加快了司法部起訴出口零日漏洞和其它漏洞的腳步，它可能會在美國國內面臨艱苦的戰斗。

杰森·舒爾茨是紐約大學的科技法律及政策診斷研究所診所式法律教育部門副教授，他認為這種情況很有可能出現，因為“很難確定那些旨在對特定目標發動攻擊的意圖，而幫助發動攻擊的往往只是一些信息，而并不是代碼。這就是說，如果網絡戰爭條約真正落到了實處，可能會引起那些由于貿易凋敝而產生的訴訟。但哪怕一個漏洞是有效可用的，也很難證明它就是武器。”

另外，很多人相信，潛在的訴訟風險可能會對讓那些為了保護公共安全而披露危險問題的人裹足不前。這些人認為實施信息安全的最佳策略就是進行全面信息披露。

當事人認為公眾知情度（了解bug、零日漏洞、漏洞以及脆弱點）非常重要，才會進行這些披露工作。這些工作通常是推動各大公司修補自身漏洞的唯一因素。

阿拉圖斯相當肯定這會影響到消費者，盡管新的數據泄露事件每天都在發生，將個人信息到處撒播，而消費者往往是我們最后想到的念頭。“如果在信息安全社群中沒有活躍的交流，那些瓦森納想要保護的特定人群可能會失去關于安全威脅的有效信息。這可能會讓情況變得比現在更加糟糕，導致更多的入侵和私人數據被盜事件。”

瓦森納協定并不具有法律約束力，但它的管制措施在41個成員國中通過全國性立法得以實現，因此它的實施方式在各國之間都有不同。這也可能會讓安全研究人員進行國際旅行被列到新的未知威脅列表中。

市場控制破壞安全體系

從表面上看，瓦森納協定進軍入侵和監視技術領域是想通過危險武器出口條約來監管漏洞以及零日漏洞銷售，因為這些技術可能會為專制政權和罪犯所用。

然而，就像卡拉斯指出的那樣，“瓦森納協定并不包括南亞地區（包括印度、中國和印度尼西亞），南美的大部分地區（協定中的唯一國家是阿根廷），非洲的大部分地區（協定中唯一的國家是南非），以及西亞（包括以色列，伊朗等等）。”

瓦森納協定沒有覆蓋的地區正引發了那些關于實現主權國家利益的爭論，這種現狀可能預示著美國對網絡戰爭業務以及全球漏洞市場的陰險企圖。

卡拉斯解釋說，BIS實施的新規代表著美國的一些雄心勃勃的企圖。“瓦森納協定通常是國家本意的遮羞布。我們都見過美國在歷史上的所作所為。我很確定，你也知道澳大利亞正在發生著什么。瓦森納協定并不強制各國做任何事情，而且它甚至不會沿著各國的宣傳口徑走得太遠。”

由Junpier Networks去年委托撰寫并發布的藍德（RAND）報告中提到了“面向網絡犯罪工具以及失竊數據的市場”。報告中介紹了售賣漏洞以及零日漏洞的市場已經從“一盤散沙，由自我陶醉以及惡意企圖所構建的Ad Hoc網絡轉變成了新型的、高度組織化的生產工廠，還通常與傳統的犯罪集團（例如毒梟、黑手黨、恐怖分子組織）以及主權國家相勾連。”
值得一提的是，近年來漏洞市場發生的最大變化在于政府資金的涌入：特別是美國政府的錢。

根據華盛頓戰略和國際研究中心的說法，在漏洞買賣排行榜上，美國榮登榜首，緊隨其后的是以色列、英國、俄羅斯、印度和巴西。朝鮮也在這個市場中分了一杯羹，還有一些中東的情報機構。

事實上，歐洲信息安全和政策中心在一份2013年的報告中指出，由于美國自由法案的要求，NSA與法國VUPEN公司于2012年9月訂立了一年期的合同，訂閱了VUPEN的二進制分析及漏洞服務（Binary Analysis and Exploits Service）。這讓NSA可以使用軟件后門以及零日漏洞。

在2013年，“禁止交易漏洞的法律已經在醞釀中了。Marietije Schaake是歐洲議會的一名荷蘭代表，他正努力推動漏洞出口交易控制法案。她表示，這項法案正在獲得支持，因為漏洞可能會被專制政權用作‘數字武器’。舉例而言，政府可以使用這些技術來監控政治異見者的手機。不過，出于一些原因，這個新法案的前途將會很坎坷。”

“就像一位美國軍事情報官員指出的那樣，那些購買漏洞的政府正在為危險的科技研發提供資金，‘建立一個黑市’。”

令人難以置信的是，美國政府在漏洞黑市中的所作所為有一個不太可能的盟友：美國公民自由聯盟（ACLU）的主要技術專家和高級政策分析師。
克里斯·索安伊恩參與了ACLU的Speech和隱私與科技項目（Privacy and Technology Project），他在公眾輿論中長期反對政府購買漏洞。在過去的幾年中，他一直宣傳漏洞以及零日漏洞是“數字武器”，任何參與相關買賣的人都應該組建一個規范化的全球市場。

索安伊恩在他對Slate談話時曾發表過著名言論。“就像飛機上的引擎可以讓軍方投下殺人的炸彈，人們也可以使用零日漏洞來投放網絡武器，造成物理傷害甚至人員傷亡。”

現在美國政府似乎非常樂意幫助實現這一點。信息安全圈子內對于索安伊恩不可原諒的言論的反對聲音正在強烈地激蕩。現在的戰斗已經變成了最經典的那種：站在一起捍衛言論自由，對抗政府過度擴張，并維護安全研究中的思想自由交流。

法律博客Lexology寫道，“盡管BIS提出了實現這些新的管制策略的方法，但它同時也告訴人們，這些新規則的后果是未知的，結果招來了大量業務可能會受到影響的出口商的批評。”瓦森納協定的修改方案現在正出于征求意見階段，直到7月20日結束。

說到底，如果法案的目標是讓那些可能被用于壓迫的工具遠離專制政權之手，很明顯，瓦森納協定以及它的BIS版本不論從哪個方面來看都與此目標相差甚遠。