ADD / XOR / ROL
一个关于逆向工程、数学、政治、经济学等内容的博客…
2016年1月27日,星期三
修复瓦森纳协议的尝试
去年五月,我详细撰写了关于2013年瓦森纳协议“入侵软件”修正案的多种问题,这些修正案存在缺陷,并且对全球IT基础设施的安全工作构成严重威胁。自那时起,各方辩论愈演愈烈——包括美国国会听证会(几乎一致谴责这些修正案),但也有像詹姆斯·班福德这样的声音在专栏文章中支持这些管制措施。讨论的格局现在过于复杂,无法在此总结(感兴趣的读者可以在此处找到近期发展的部分调查)。
讨论各方之间的共识并不多,但几乎所有人都同意的一点是:“当专制政权无法获得先进的监控软件时,从国外购买复杂监控软件是不好的”。如何防止这种情况发生尚在讨论中,尚不清楚出口管制(特别是瓦森纳协议)是否是完成此任务的正确工具。
为了确定出口管制语言是否可以发挥作用,我与同事Mara Tam和Vincenzo Iozzo合作,尝试提出对瓦森纳协议语言的修正案,以满足以下标准:
- 确保像HackingTeam或Gamma销售的点击即用监控框架被捕获并受到控制。
- 确保防御网络所需的技术(包括漏洞、概念验证漏洞利用、网络扫描器等)不被捕获或受到控制。
为了实现这一点,我们必须脱离“传统”的瓦森纳语言(侧重于性能指标和技术属性),并更加注重“意图”,尤其是“用户的知情同意”。我们根据相关软件的设计意图是否用于未经同意的人员来划分好坏界限。
截至目前,我们正在更广泛地传播我们的草案。我们并不100%确定我们的语言能够实现我们想要的目标,甚至不确定我们想要的目标是否可以在出口管制语言的框架内实现——但我们已经非常努力地测试了我们的语言,针对我们能想到的所有场景,并且效果良好。
我们希望通过传播我们的提案,能够在一定程度上消除讨论的两极化,并尝试找到一个让每个人都满意的中间立场——或者,如果失败,表明即使付出大量努力,2013年的修正案最终可能无法修复。
无论如何,如果您对我们的文档感兴趣,可以在此处下载。随着我们获得更多反馈,文档将更新并替换为新版本。
发布者:halvar.flake
时间:凌晨1:23