Специалисти по инфозащита притеснени от промени в международна спогодба

1
21


Американските политици проявиха за пореден път желанието да направят Интернет още по-несигурно място за посещение посредством спорни планове за промяна в международна спогодба.

Васенаарското споразумение върху контрол на експорта на конвенционалните оръжия и стоките и технологиите с двойна употреба или Васенаарското споразумение за краткост, представлява документ, подписан през далечната 1995 г., определящ правилата за експорт и импорт на оръжия и стоки с двойна употреба, който често търпи промени. Една такава предложена промяна от този месец разбуни духовете в инфозащитната общност. Тя предвижда включването в списъка със забранени технологии, инструменти и продукти, които са жизнено важни за специалистите, занимаващи се с IT сигурност да се справят с модерните заплахи в Интернет. Едно от най-важните оръжия на специалистите, борещи се с киберзаплахите е възможността за обмен на информация и инструменти, новооткрити заплахи, експлойти за незапушени уязвимости, троянизирани RAT (remote administration tool) инструменти и др. с колеги от други държави.

 Това помага за разпространение на знание за нови заплахи и издаването на подходящи решения, адресиращи ги. В резултат на това, една малуер проба или уязвимост, която се разпространява в Интернет, вече е ликвидирана. Всичко това, благодарение на възможността на разработчиците по информационна сигурност, да разработват и споделят знание и инструменти за тези заплахи. С предложените промени обаче, от страна на Бюрото за индустрия и сигурност към американското Министерство на търговията, това може да докара на някой разработчик до един милион долара глоба или 20 години затвор.

Става дума за експорта на интрузивен софтуер и инструменти, „специално проектирани или променени да избегнат засичане чрез мониторингови инструменти или да преодоляват „защитни контрамерки“ на компютърно или мрежово устройство и извършване на някое от следните: a) извличането на данни или информация от компютърно или мрежово устройство, или модифицирането на системата или данните на потребителя, или b) модификация на стандартния път за изпълнение на програма или процес с цел позволяването на изпълнението на външно осигурени инструкции“, се споделя в законопроекта, чието прилагане се очаква да се приеме в края на тази година.

Мнозина са специалистите по инфозащитата, които споделят, че въпросните действия не само ще поставят дейността им извън закона, но и ще повлияят негативно на общото състояние на киберзащитата в световен план.Така например, в началото на тази седмица независим специалист по инфозащита, базиран в Швейцария споделя в публикация, озаглавена „Защо промените във Васенаарското споразумение ще направи потисничеството и следенето по-лесно, а не по-трудно“, че ако новите промени се приемат, то публикуването на PoC код, или програма, доказваща наличието на дадена уязвимост, ще бъде считано за незаконно. Както знаем, нерядко, именно след публикуването на PoC даден софтуерен производител решава да адресира уязвимост в софтуера си.

През 2013 г. бяха направени промени по Васенаарското споразумение, които трябваше да защитят активисти в Интернет чрез включването на софтуерни продукти, използване за следене и пресичане на комуникациите, които бяха приети от Европа. Настоящите промени, разширяват значително дефинираните в споразумението продукти, забранени за експорт.

Известно е, че съществуват високопорофилни компании, които се занимават с откриването и продажбата на уязвимости на правителства, които използват тези уязвимости, за да атакуват системи и мрежи на неудобни за тях личности и организации, както и за осъществяването на кибершпионаж към чужди правителства. И макар и положителна в предотвратяване на подобни действия, то промените ще приравнят хората, престъпващи закона с разработчици по сигурността, които реално помагат, а не вредят.

По силата на готвените промени, ако разработчик по сигурността открие 0day уязвимост – такава, за която няма адекватно решение,трябва да кандидатства за специален лиценз за експорта й, предоставяйки и кода, който е разработен. Това притеснява специалистите по сигурността, които смятат, че тези данни могат да попаднат в неподходящи ръце и да бъдат използвани от тях за злонамерени цели. Робърт Греъм от ErrataSecurity споделя и конкретна институция – Агенцията за национална сигурност на САЩ.

Освен това, ако се приемат тези промени, и специалист по инфозащита реши да пътува със своя компютър, на който присъстват инструменти за тестване на сигурността на системи, то той може да бъде арестуван.
Васенаар няма да засегне някой друг, а хора, занимаващи се с инфосигурност, като хоби и легитимни изследователи. Престъпниците ще продължат да извършват своите престъпления, а Gamma Group (разработчици на FinFisher, инструмент използван от авторитарни режими да следят интернет активисти в страните си) ще си получат лиценза„, пише в Twitter потребител с псевдоним Hacker Fantastic.

„Разкриването на уязвимости в продукти, особено в такива компании, като Oracle и Microsoft, ги смущава. Те виждат не хакерите, а специалистите по сигурност, като тяхна основна заплаха. Те влагат много усилия и натиск над правителствата да направят нещо относно тези досадни разработчици“, пише Греъм на страниците на блога на ErrataSecurity. Комисията, отговорна за въвеждане на предложените промени ще очаква коментари относно предложенията до края на юли и Греъм се надява, че общността от специалисти по инфосигурност ще успеят да разубедят отговорните лица в решение за приемане на предложените промени.

1
ДОБАВИ КОМЕНТАР

avatar
1 Коментари
0 Отговори на коментарите
0 Последователи
 
Коментарът с най-много реакции
Най-горещият коментар
  Абонирай се  
нови стари оценка
Извести ме за
antonasenov
antonasenov

За жалост за всяко действие има равно на себе си противодействие, а именно направете връзка между двете статии https://www.kaldata.com/IT-%D0%9D%D0%BE%D0%B2%D0%B8%D0%BD%D0%B8/%D0%93%D0%BE%D0%BB%D0%B5%D0%BC%D0%B8%D1%82%D0%B5-IT-%D0%BA%D0%BE%D0%BC%D0%BF%D0%B0%D0%BD%D0%B8%D0%B8-%D0%BD%D0%B0-%D0%A1%D0%90%D0%A9-%D0%BC%D0%BE%D0%BB%D1%8F%D1%82-%D0%91%D0%B0%D1%80%D0%B0%D0%BA-%D0%9E%D0%B1-100879.html