Вассенаарские соглашения ограничат беспорядочную продажу эксплойтов

    Вассенаарские соглашения, которые контролируют экспорт вооружений и причастных к ним технологий для США & ЕС, пополнились дополнительным пунктом. Речь идет о том, что теперь под контроль подпадает ПО, которое относится к типу т. н. технологий двойного назначения (dual use technologies): 0day эксплойты, ПО со шпионскими функциями (spyware, backdoors), а также по сути любое ПО, которое разрабатывается частными компаниями не для публичного использования, причем оно может экспортироваться в другие страны.



    Теперь компании, которые занимаются разработкой подобного вида ПО, должны будут согласовывать с гос. органами своей страны вывозимые ими в другие страны программные технологии, в том числе, если речь идет о специальных соревнованиях типа Pwn2Own, на которых представляются 0day эксплойты. Эксплойты потенциально могут использоваться в качестве наступательных вооружений и их экспорт будет контролироваться в упоминаемых выше странах.

    В документе, который был адаптирован с учетом этих изменений указаны следующие формулировки, определяющие понятие того ПО, которое подпадает под контроль (кибероружие).

    Intrusion software (наступательное ПО):
    “Software” specially designed or modified to avoid detection by ‘monitoring tools’, or to defeat ‘protective countermeasures’, of a computer or network capable device, and performing any of the following:
    a. The extraction of data or information, from a computer or network capable device, or the modification of system or user data; or
    b. The modification of the standard execution path of a program or process in order to allow the execution of externally provided instructions.

    IP network surveillance systems (шпионское ПО)
    5. A. 1. j. IP network communications surveillance systems or equipment, and specially designed components therefore, having all of the following:
    1. Performing all of the following on a carrier class IP network (e.g., national grade IP backbone):
    a. Analysis at the application layer (e.g., Layer 7 of Open Systems Interconnection (OSI) model (ISO/IEC 7498-1));
    b. Extraction of selected metadata and application content (e.g., voice, video, messages, attachments); and
    c. Indexing of extracted data; and
    2. Being specially designed to carry out all of the following:
    a. Execution of searches on the basis of ‘hard selectors’; and
    b. Mapping of the relational network of an individual or of a group of people.

    Таким образом, регулятор (гос. органы) США и ЕС берут под контроль цифровые технологии, которые на сегодняшний день уже представляют из себя оружие в киберпространстве. Вассенаарские соглашения призваны ограничить для частных компаний сферу продаж разрабатываемых ими технологий в те страны, которые, находятся в состоянии конфликта с блоком НАТО или ЕС (либо на них наложены санкции).
    ESET NOD32 170,43
    Компания
    Поделиться публикацией
    Комментарии 19
    • +1
      Если американские спецслужбы будут накатывать апдейт троянов у сотовых операторов в Европе, это будут курировать регуляторы США или ЕС?
      • +7
        Как и в случае с оружием: у плохих парней оно уже есть и клали они на все эти законы и ограничения.
        • +3
          Более того, в случае кибероружием — у плохих парней оно обычно даже лучше и эффективней
          • +1
            Это сложный вопрос, я не готов однозначно утверждать :-) В качестве довода: плохие парни реверсят (не всегда успешно), а «хорошие» получают готовые спецификации и потому, в теории, могут состряпать сплоет получше. Но так как фактов о действиях «хороших» у меня ровно ноль — вилами по воде все…
            • 0
              Зато с такими поправками в закон станет меньше объём торговли и будет усилен контроль. Плохих парней немного проще вычислить.
            • 0
              Но лишняя статья никому не нужна тем не менее.
            • +5
              Похоже единственная цель — криминализировать сам факт поиска 0day.
              Ждем 0day book, как это было с pgp :)
              • 0
                Пока это кибер-оружие первого и второго класса © «Лабиринт отражений»
                • +2
                  А в этой трилогии у Лукьяненко очень многое знаменательно. И переход от однопользовательским играм к мморпг, отсталый заход наших госучреждений в интернет и неуклюжая работа в нём. И много много много другого.
                  Шикарная трилогия. Рекомендуется к прочтению всем.
                • 0
                  Я правильно понимаю, что 0day vulnerabilities теперь запрещено провозить через границу? А за непатченную винду могут и с рейса снять?
                  • 0
                    Неправильно. Уязвимости — можно, эксплойты — нет.
                    • 0
                      А вот интересно если я приехал на конференцию в другую страну и показываю как работает (не исходник) мой эксплоит через удалёнку со своей например домашней машины, расположенной в моей родной стране, то это как считается?
                      • +1
                        Трансграничная передача?
                        • –1
                          ну тут же куча вариантов. я например положу эксплоит в свой например дропбокс… и?
                          • 0
                            леново же не засудили за вирусы? хотя ноуты леново на мкс вроде как летают
                          • 0
                            ну я понимаю сарказм, но вопрос таки серьёзен…
                      • +2
                        Неплохая новость, в общем-то: регулирующее законодательство стимулирует развитие теневого рынка, а теневой рынок, в свою очередь, подразумевает более высокие прибыли для разработчиков и продавцов эксплойтов.
                        • 0
                          И более витиеватые методы вывода денежных средств, как следствие, потерь этих самых денег.
                        • –1
                          Хотел было привести кусочек из «Лабиринта отражений», а потом подумал: пойдем «под монастырь» за пропаганду вредоносного софта, либо за «пиратство» интеллектуальной собственности?

                          А если серьезно, если я строю внутри интернета свою сеть (через VPN-ы, через всякие onon-ы и tor-ы), которая с обычным интернетом не пересекается в логическом смысле, я могу хотя бы в ней жить так, как я сам хочу? Миф о том, что мы — жители интернета, и нам решать, как он будет работать, оказался в результате мифом, только с той еще «сносочкой мелким шрифтом», что он мало что не «наш», так еще и все наши действия в нем истолковываются нам во вред. Что-то мне такая «цифровая свобода» не нравится, прямо пресловутое FREEDOM IS SLAVERY получается…

                          Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                          Самое читаемое