微软及来自安全产业的一组工程师联合建议对《瓦森纳协定》进行重大修订,他们担心该文件的条款对信息安全行业构成威胁。
《瓦森纳协定》意图阻止间谍软件流向不好的国家,但还可以走的更远。旨在限制武器和兼具军事用途的“两用”物品出口的《瓦森纳协定》是在2013年秘密商定签署的,并没有信息安全行业的参与,因此工程师们想要重新定义该协定的核心条款。
由于要阻止漏洞利用软件卖往人权记录不良的受制裁国家,该协定的条款非常宽泛,以致几乎影响到了信息安全行业的方方面面。如果《瓦森纳协定》就照现在的情况通过,将迫使微软每年提交3800个应用程序供武器出口审查。
7月21号在新加坡举行的RSA亚太安全大会上,微软助理总顾问克里斯汀·古德温说:“无论我们怎么调整其实施,这些定义都将成为问题。”
“政府一方无人有意修改定义,这就是问题。”
“这事关限制对文件既定路线的修改——对信息技术十分重要。”
左起:赛门铁克政务总监布莱恩·弗莱彻、微软助理总顾问克里斯汀·古德温
虽然美国通过商务部在近几个月开放了对协定的讨论,协定对双用物品限制的基础——定义,却依然不在讨论之列。古德温没有说出共同努力推动对协定的技术型重起草的那些公司和工程师的名字。
她表示,中心定义相当牢固,将更有效地遏制 Hacking Team 一类间谍软件的流通,同时将备受折磨的安全行业从经常性漏洞利用代码传播的大额罚款和牢狱之灾的威胁中解脱出来。
提出的新定义包括:
“
入侵投放平台被定义为:专用于进攻性入侵和远程监视,并表现出漏洞利用、规避和颠覆及销毁元素的系统、设备、组件和软件。
瓦森纳协议时间线
“双用技术控制从定义上将就非常难。我们得问这样的问题:‘这是能被行业良好处理的东西吗?’”
狙击手
《瓦森纳协定》把安全行业各个方面都打了个措手不及,但其真正毁灭性后果只会在未来数月数年间释放出来。古德温、弗莱彻等安全界大佬,和业内偶像凯蒂·穆苏里都已采取行动将技术元素直接引入了政府大厅,包括欧洲委员会和白宫。
但在参加RSA大会的5000多名代表中,第一天上午9点的会议中,只有8位谈及了《瓦森纳协定》。协定的效果如今已很好地陈述了出来。或许在你的通讯员刚开始抄更新过的协定时,数十篇文章就已经发布出来,各种探讨签署国各自不同的实现会对当地带来的影响了。
古德温说:“我们不可能错过这个。这是美国商务部迄今为止收到的最大量的评论,显示了商务部对此的极大失察。”
“这是协定的非计划后果,但已经呈现出来了。”
古德温和弗莱彻正呼吁业界游说他们的机构,在9月闭门会议之前还有时间可提出修改的时候,彻底检查协定对双用软件的定义。美国暂停了协定的实施,以防12月最终投票时修改生效。一旦协定以当前状态实施,安全界将感受到“真正的痛”。
澳大利亚的可以向国防出口管制部门请愿,美国是向商务部,英国可向政府通信总部(GCHQ)。
“既然现有协定是我们最坏的选择,何不改了它?”
====================================分割线================================
本文转自d1net(转载)