美国跟另外40个国家就漏洞出口问题的谈判破裂,导致安全研究人员面临的依然是不确定性。
《瓦森纳协议》是一份武器控制协议,其成员同意限制对某种类型的武器和“两用产品”的出口。通常来讲,“武器”只是指传统的武器,但2013年12月份,协议增加了一项内容即禁止出口能够用于网络战争的软件工具,尤其是可被利用且攻击不安全程序和服务器的代码。
遗憾的是,按照这个规定,IT安全专业人员每天所使用的软件都可被归类于“武器”;而测试并保证网络安全的一个重要步骤就是实施攻击、查找漏洞,也就是说,要实现这一步骤则必须对代码进行利用。但在最新规定下,安全研究人员必须历经纷繁复杂的程序才能获取出口许可证,意味着他们必须将网络渗透利用邮件发送给海外同事或客户作为审计的一部分。
信息安全界对这一规定提出抗议后,美国商务部同意再次审议,并且让道德黑客参与到谈判队伍中来。然而,跟其他国家的最新一轮谈判并未就合法计算机安全研究人员使用代码的最佳方式达成一致,因此协议仍然悬而未决。
实际上,谈判已经对协议针对一些计算机安全工具获取出口许可的要求作出了改变,而且成员国现在已经可以执行这些规定了。但是因为美国跟其他国家之间就措辞的改进谈判失败,因此信息安全行业处于无所适从的状态,而且也不知道如何合法地执行这些规定。
由于美国政府更迭,漏洞出口的问题估计至少还需要一年左右的时间才会解决,不过正如之前提到的,相关成员国可以根据协议采取措施了。
美国谈判成员议员Jim Langevin表示非常失望,协议成员国并没有就入侵软件控制的规定做出必要的更新,尤其是跟哪些促进技术发展相关的内容。他表示自己一年多以来都在跟同事仔细审议这些控制措施,因为这些内容让防御工具的分享和漏洞的关闭变得更加困难,从而损害美国的网络安全。不过也出现了一些微小的进展。参与国都同意应该在出口限制中增加僵尸命令和控制软件的内容,但Langevin认为这对解决IT行业的担忧来说微不足道。另外一名谈判成员Katie Moussouris曾推动微软开启漏洞奖励计划并且现在拥有自己的安全公司,她也对结果表示失望和恼火,表示该问题成了下一届美国政府需要处理的事情。
那接下来该怎么办呢?可以肯定的是,学习计算机科学的学生不得不对自己的课堂作业进行审查了,到国外出差的研究人员也必须变得格外小心了,而企业正在请求获得明确的建议即到底哪些产品是可以出售的。而未来会如何,只能寄望于新一届的美国政府。