Вассенаарские соглашения ограничат беспорядочную продажу эксплойтов

в 8:35, , рубрики: security, wassenaar, Блог компании ESET NOD32, информационная безопасность

Вассенаарские соглашения, которые контролируют экспорт вооружений и причастных к ним технологий для США & ЕС, пополнились дополнительным пунктом. Речь идет о том, что теперь под контроль подпадает ПО, которое относится к типу т. н. технологий двойного назначения (dual use technologies): 0day эксплойты, ПО со шпионскими функциями (spyware, backdoors), а также по сути любое ПО, которое разрабатывается частными компаниями не для публичного использования, причем оно может экспортироваться в другие страны.

Вассенаарские соглашения ограничат беспорядочную продажу эксплойтов - 1

Теперь компании, которые занимаются разработкой подобного вида ПО, должны будут согласовывать с гос. органами своей страны вывозимые ими в другие страны программные технологии, в том числе, если речь идет о специальных соревнованиях типа Pwn2Own, на которых представляются 0day эксплойты. Эксплойты потенциально могут использоваться в качестве наступательных вооружений и их экспорт будет контролироваться в упоминаемых выше странах.

В документе, который был адаптирован с учетом этих изменений указаны следующие формулировки, определяющие понятие того ПО, которое подпадает под контроль (кибероружие).

Intrusion software (наступательное ПО):
“Software” specially designed or modified to avoid detection by ‘monitoring tools’, or to defeat ‘protective countermeasures’, of a computer or network capable device, and performing any of the following:
a. The extraction of data or information, from a computer or network capable device, or the modification of system or user data; or
b. The modification of the standard execution path of a program or process in order to allow the execution of externally provided instructions.

IP network surveillance systems (шпионское ПО)
5. A. 1. j. IP network communications surveillance systems or equipment, and specially designed components therefore, having all of the following:
1. Performing all of the following on a carrier class IP network (e.g., national grade IP backbone):
a. Analysis at the application layer (e.g., Layer 7 of Open Systems Interconnection (OSI) model (ISO/IEC 7498-1));
b. Extraction of selected metadata and application content (e.g., voice, video, messages, attachments); and
c. Indexing of extracted data; and
2. Being specially designed to carry out all of the following:
a. Execution of searches on the basis of ‘hard selectors’; and
b. Mapping of the relational network of an individual or of a group of people.

Таким образом, регулятор (гос. органы) США и ЕС берут под контроль цифровые технологии, которые на сегодняшний день уже представляют из себя оружие в киберпространстве. Вассенаарские соглашения призваны ограничить для частных компаний сферу продаж разрабатываемых ими технологий в те страны, которые, находятся в состоянии конфликта с блоком НАТО или ЕС (либо на них наложены санкции).

Автор: esetnod32

Источник

Поделиться

* - обязательные к заполнению поля