上周,美国工业与安全局(BIS)公布了一份把限制黑客技术放入全球武器贸易条约--“瓦森纳协定”(Wassenaar Arrangement,WA)的计划。计划表明了美国政府对黑客技术的态度,并在黑客技术与计算机安全的圈子里点燃了一场风暴。人们在激烈的内部争论中表现得异常亢奋,这是因为这一新规改变了入侵软件和网络协议(IP)网络通信监视的定义,并可能使渗透测试工具、网络入侵、利用零日漏洞变成犯罪行为。
有些人认为,新的定义方式似乎也给给予了美国在购买、销售、进出口某些特定种类的网络战工具时的优势。漏洞市场目前还是黑市,但美国政府已经成为了其中最大的玩家。
代码即武器
当争议在本周爆发,人们纷纷讨论政府将出售零日漏洞行为非法化的动机时,BIS的主管兰迪·惠勒解释称,对漏洞、零日漏洞、入侵软件进行开发、测试、评估、产品化现在都受到了限制:如果没有获得许可就开始出口,有可能被视为非法行为。但令人迷惑的是,新规并不限制对漏洞进行研究。
她表示,“漏洞研究并没有受到限制,选择、寻找、锁定、学习、测试漏洞的技术也没有”。
她的表述为安全专家们那些语调愈发激烈的说法提供了根据——政府可能根本就不知道自己在说什么。
谢尔盖·阿拉图斯是安全·技术·社会研究所的首席安全顾问,也是达特茅斯学院计算机科学系的副教授,他简单地解释了这个问题。“发生了入侵事件就代表存在着漏洞。如果没有一个运行着的程序:入侵软件,我和同事们就无法确认那些我们曾经描述过的安全漏洞真的存在,就像物理学家不可能在没有成功实验的基础上就宣布某种物理现象一样。”
阿拉图斯对Engaget说,“瓦森纳协定中对黑客工具的监管尝试是基于类似‘入侵软件’这样的糟糕定义,以及‘零日’、‘rootkits’这类定义不清的行话之上的。瓦森纳协定中的‘入侵软件’概念存在严重漏洞。从技术上讲,它并不对应任何具体的软件类别,而且我怀疑,从法律上讲也是如此。‘Rootkits’和‘零日漏洞’属于模糊不清的术语行话,它们缺乏正规的教科书定义,而且在专业讨论之外的场景中毫无意义。举例而言,反病毒厂商们会使用一些其它的行话,而在另一些语境中可能会使用’rootkits’这种说法,尽管这两类词语所形容的技术是完全一样的。”
他警告称,“像文中写的那样,瓦森纳协定适用于安全研究的基本结构和元素。如果禁止了那些能够发现新威胁的主动性研究,网络防御会受到恶劣影响,并永久落后一步。”
从程序员到律师,信息安全专家们普遍表示,新规让黑客技术(安全研究)进入了一个合法的灰色区域,这可能会潜在地将黑客技术犯罪化,并让特定类型的代码在不经允许的情况下的出口行为变成非法。很多人都担心,这会对那些合法销售漏洞、零日漏洞,以及一些从事bug修复业务的公司产生影响。而且,它还可能让一些安全研究者自动变成“黑客爱国者”,强制他们将自己的研究层次下降几级,以获取日常工资。
毫不令人吃惊的是,这些担忧正在信息安全领域中的每个角落制造情绪亢奋。阿拉图斯在接受媒体采访时引述了一些火爆的推文,“出台这项监管的人可能认为他们只针对一小部分产品;但从字面上讲,他们的监管事实上面向的是安全技术的基础,这些基础也是公司未来发展中最有潜力的道路。”
瓦森纳协定是一项由41个国家签署的出口限制协定,它限制弹药和武器的出口,比如坦克、导弹、枪械。但同时也包括“军民两用的货物和技术”,比如核燃料棒。在2013年的附加条款中,它试图监管网络战争工具,也就是所谓的“入侵软件”。各国对协定的解读和本国法律中实现它的方式各不相同。
因此,瓦森纳协定的成员国:美国,一直在考虑如何在本国的外贸管理条例中进行修改,以适应协定的最新动向,并在修改中渗透美国的国家安全需求以及外交政策利益。美国的原定计划是在2014年9月宣布如何将将协定中关于软件部分的条款适用于犯罪和处罚(出口控制及许可)领域,而欧盟在2013年10月已经针对瓦森纳协定2013年版进行了更新。
律师克里夫·伯恩斯表示,很多人认为这次延迟可能是因为BIS对瓦森纳协定中关于“入侵检测软件”的绝对表述感到纠结。他随后补充道,“然而我们错了”。
相反,BIS让情况变得更糟了。
伯恩斯说,“很多人指出,这个定义会涵盖那些不经用户同意就进行自动更新的软件,比如Chrome。Chrome会在后台更新,并会绕过一般操作系统所带有的防止在用户未授权情况下进行安装或修改的防护措施。协定中所定义的沙盒是作为一种保护措施的,而这会使那些提供手机root或越狱功能的软件也受到出口管制。”
乔恩·卡拉斯是PGP(Pretty Good Privacy)的联合创始人,也是全球加密通信服务Silent Circle的CTO,他补充说,“我认为他们所做的事情从表面上看是值得称赞的,它试图监管那些我们可能会戏称为‘网络武器’的东西。不过,有一部分问题是,我们不清楚政府具体想要干些什么。”
也许政府使用的这种方式仅仅是过时了而已。“如果从更基本的层面上来看瓦森纳协定描述军民两用的方式,军民两用技术包括一些说得过去的东西:用过的核燃料棒、先进的喷气式发动机。但被监管的也包括加密、GPS、高端显卡(因为它们也是计算引擎),以及其它很多技术。举例而言,如果是在上个世纪八十年代,将GPS视为军民两用技术而禁止出口是有道理的。但到了今天就完全说不通,因为每部手机都在用GPS。类似地,加密在某个时代也曾经是可以被监管的军民两用技术。”
卡拉斯明智地补充道,“现在已经不是那个时代了。把杀毒软件装进同一个垃圾桶也并不是明智之举。”#p#
思想有罪
整个事件都在引发人们对于协定执行的不安。上个月,美国司法部起诉了四家美国公司和五位公民,因为他们将特定的电子物理设备出口到了伊朗。但如果BIS加快了司法部起诉出口零日漏洞和其它漏洞的脚步,它可能会在美国国内面临艰苦的战斗。
杰森·舒尔茨是纽约大学的科技法律及政策诊断研究所诊所式法律教育部门副教授,他认为这种情况很有可能出现,因为“很难确定那些旨在对特定目标发动攻击的意图,而帮助发动攻击的往往只是一些信息,而并不是代码。这就是说,如果网络战争条约真正落到了实处,可能会引起那些由于贸易凋敝而产生的诉讼。但哪怕一个漏洞是有效可用的,也很难证明它就是武器。”
另外,很多人相信,潜在的诉讼风险可能会对让那些为了保护公共安全而披露危险问题的人裹足不前。这些人认为实施信息安全的最佳策略就是进行全面信息披露。
当事人认为公众知情度(了解bug、零日漏洞、漏洞以及脆弱点)非常重要,才会进行这些披露工作。这些工作通常是推动各大公司修补自身漏洞的唯一因素。
阿拉图斯相当肯定这会影响到消费者,尽管新的数据泄露事件每天都在发生,将个人信息到处撒播,而消费者往往是我们最后想到的念头。“如果在信息安全社群中没有活跃的交流,那些瓦森纳想要保护的特定人群可能会失去关于安全威胁的有效信息。这可能会让情况变得比现在更加糟糕,导致更多的入侵和私人数据被盗事件。”
瓦森纳协定并不具有法律约束力,但它的管制措施在41个成员国中通过全国性立法得以实现,因此它的实施方式在各国之间都有不同。这也可能会让安全研究人员进行国际旅行被列到新的未知威胁列表中。
市场控制破坏安全体系
从表面上看,瓦森纳协定进军入侵和监视技术领域是想通过危险武器出口条约来监管漏洞以及零日漏洞销售,因为这些技术可能会为专制政权和罪犯所用。
然而,就像卡拉斯指出的那样,“瓦森纳协定并不包括南亚地区(包括印度、中国和印度尼西亚),南美的大部分地区(协定中的唯一国家是阿根廷),非洲的大部分地区(协定中唯一的国家是南非),以及西亚(包括以色列,伊朗等等)。”
瓦森纳协定没有覆盖的地区正引发了那些关于实现主权国家利益的争论,这种现状可能预示着美国对网络战争业务以及全球漏洞市场的阴险企图。
卡拉斯解释说,BIS实施的新规代表着美国的一些雄心勃勃的企图。“瓦森纳协定通常是国家本意的遮羞布。我们都见过美国在历史上的所作所为。我很确定,你也知道澳大利亚正在发生着什么。瓦森纳协定并不强制各国做任何事情,而且它甚至不会沿着各国的宣传口径走得太远。”
由Junpier Networks去年委托撰写并发布的蓝德(RAND)报告中提到了“面向网络犯罪工具以及失窃数据的市场”。报告中介绍了售卖漏洞以及零日漏洞的市场已经从“一盘散沙,由自我陶醉以及恶意企图所构建的Ad Hoc网络转变成了新型的、高度组织化的生产工厂,还通常与传统的犯罪集团(例如毒枭、黑手党、恐怖分子组织)以及主权国家相勾连。”
值得一提的是,近年来漏洞市场发生的最大变化在于政府资金的涌入:特别是美国政府的钱。
根据华盛顿战略和国际研究中心的说法,在漏洞买卖排行榜上,美国荣登榜首,紧随其后的是以色列、英国、俄罗斯、印度和巴西。朝鲜也在这个市场中分了一杯羹,还有一些中东的情报机构。
事实上,欧洲信息安全和政策中心在一份2013年的报告中指出,由于美国自由法案的要求,NSA与法国VUPEN公司于2012年9月订立了一年期的合同,订阅了VUPEN的二进制分析及漏洞服务(Binary Analysis and Exploits Service)。这让NSA可以使用软件后门以及零日漏洞。
在2013年,“禁止交易漏洞的法律已经在酝酿中了。Marietije Schaake是欧洲议会的一名荷兰代表,他正努力推动漏洞出口交易控制法案。她表示,这项法案正在获得支持,因为漏洞可能会被专制政权用作‘数字武器’。举例而言,政府可以使用这些技术来监控政治异见者的手机。不过,出于一些原因,这个新法案的前途将会很坎坷。”
“就像一位美国军事情报官员指出的那样,那些购买漏洞的政府正在为危险的科技研发提供资金,‘建立一个黑市’。”
令人难以置信的是,美国政府在漏洞黑市中的所作所为有一个不太可能的盟友:美国公民自由联盟(ACLU)的主要技术专家和高级政策分析师。
克里斯·索安伊恩参与了ACLU的Speech和隐私与科技项目(Privacy and Technology Project),他在公众舆论中长期反对政府购买漏洞。在过去的几年中,他一直宣传漏洞以及零日漏洞是“数字武器”,任何参与相关买卖的人都应该组建一个规范化的全球市场。
索安伊恩在他对Slate谈话时曾发表过著名言论。“就像飞机上的引擎可以让军方投下杀人的炸弹,人们也可以使用零日漏洞来投放网络武器,造成物理伤害甚至人员伤亡。”
现在美国政府似乎非常乐意帮助实现这一点。信息安全圈子内对于索安伊恩不可原谅的言论的反对声音正在强烈地激荡。现在的战斗已经变成了最经典的那种:站在一起捍卫言论自由,对抗政府过度扩张,并维护安全研究中的思想自由交流。
法律博客Lexology写道,“尽管BIS提出了实现这些新的管制策略的方法,但它同时也告诉人们,这些新规则的后果是未知的,结果招来了大量业务可能会受到影响的出口商的批评。”瓦森纳协定的修改方案现在正出于征求意见阶段,直到7月20日结束。
说到底,如果法案的目标是让那些可能被用于压迫的工具远离专制政权之手,很明显,瓦森纳协定以及它的BIS版本不论从哪个方面来看都与此目标相差甚远。
来源:《经济学人》
译者:Venvoo