美国商务部周三提交了新的出口限制禁令,将未公开的软件漏洞视为潜在武器。此举旨在减少安全行业为敌对国家提供的可能帮助。但是很多安全研究人员表示,美国商务部的出口限制禁令可能无法遏制黑市,同时阻碍跨境合作和国防产品销售。
商务部的禁令中覆盖所谓的“零日漏洞”(zero-day)以及软件开发商也不了解的安全漏洞。“零日漏洞”又叫零时差攻击,是指被发现后立即被恶意利用的安全漏洞。
黑客与国防承包商经常向政府机构或软件开发商出售有关此类漏洞的信息,美国内部销售则可以继续。但是在未经特别许可的情况下,“零日漏洞”及其支持能力的销售在美国、英国、加拿大、澳大利亚以及新西兰之外将被禁止。
美国安全厂商Netragard的首席执行官阿德瑞尔·德斯特尔斯(Adriel Desautels)说:“在某种程度上,我认为实行‘零日漏洞’经纪人许可制度是个好主意,可以预防美国人向伊朗出售软件漏洞信息,某种形式的授权或监管十分有用。但是监管可能对安全行业整体存在潜在损害,这是个不折不扣的蠢主意。”
美国商务部的禁令是2013年41国签署的协议的补充,即某些渗透性软件也应该成为监管对象,就像核武器和化学武器零部件一样。多名研究人员称,美国大国防承包商正寻找或花钱购买软件漏洞,然后将其卖给情报机构、军方以及执法机构,他们很容易就可招募到律师,获得某些海外销售授权。
但中小型安全公司、独立研究人员更有可能跨境出售相关软件漏洞信息,很多信息甚至会落入犯罪分子手中。专门研究“零日漏洞”市场的兰德公司安全专家莉莉安·阿布隆(Lillian Ablon)说:“这有可能对我们如何进行弱点研究以及保护我们的系统产生重大影响。如果我们限制寻找漏洞的白帽黑客的能力,只会令坏人作恶更容易。”
尽管开源软件和科学研究可享有豁免权,但是如果商务部禁令被采用,将对软件漏洞以及利用它们的工具的合法市场产生重大影响,因为这些市场刚刚进入开放和成熟期。
更多公司近来开始付费购买“漏洞红利”,对那些在他们的产品中发现安全漏洞的研究人员予以重奖,而不是驱使他们将漏洞卖给政府或黑客。多家初创企业甚至已经开发出新的职业化“报告-回报”系统,更小型公司都可从中获益。
获得风险投资支持的初创企业HackerOne首席策略官凯蒂·穆索瑞斯 (Katie Moussouris) 称,将来,海外公司可能不得不向研究人员提供现金奖励和指导,以获得出口授权,确保他们自己的程序更加安全。(风帆)
