随着人们对海外黑客带来的安全风险的担忧日益增加,美国商务部工业和安全局(BIS)发布了对某些网络安全出口禁令的修订。
该禁令于去年10月首次宣布,有效地禁止在没有美国商务部工业和安全局(BIS)许可的情况下向中国,俄罗斯和其他一些国家出口黑客软件和设备。
中断、拒绝、降级
“这些项目需要控制,因为这些工具可能用于监视,间谍活动或其他破坏,拒绝或降低其上的网络或设备的行为,”在《联邦公报》上发布并于5月26日生效的新最终规则写道。
因此,出口禁令可能会涵盖Pegasus等间谍软件,Pegasus由以色列公司NSO Group开发,并被专制政府有争议地用于监视记者,活动家,政治家和企业高管。
此举使美国与《常规武器和两用货物及技术出口管制瓦森纳安排》的其他42个国家保持一致。
去年发布的该规则的早期版本为授权网络安全出口(ACE)引入了新的许可证例外。这是为了回应网络安全行业的担忧,允许出口,再出口和国内转移“网络安全物品”到大多数目的地。
因此,根据去年的草案,各方商定,只有向担心国家安全或大规模毁灭性武器的国家以及受美国武器禁运的国家出口才需要许可证。
此最终版本是在公众咨询后制作的,包括对本节的一些更改。这些措施包括澄清“政府最终用户”的定义,重写一些文本以使其更清晰,以及纠正BIS说“无意中”扩大了例外范围的措辞。
强烈反对
此前,网络安全行业一直强烈反对,担心这些控制措施涵盖了范围太广的工具和技术,所涉及的繁文缛节会阻碍善意黑客和漏洞赏金猎人的工作,并且对入侵软件开发的限制会阻碍国际网络安全研究。
“这条规则旨在成为一个框架,以了解和阻止向D组政府输出网络能力 - 主要是利用,但也可能是TTP,IOC等 - ”Bugcrowd的创始人兼首席技术官Casey Ellis告诉The Daily Swig。
“对有形武器的出口管制已经足够困难了——加密出口管制已经表明,在网络领域监管出口是困难的,而《瓦森纳协定》的实施也包括美国的网络。
遵约困难
人们对该规则仍有一些担忧,一些评论者对草案表示,它存在合规困难,并且不一定总是很清楚 - 例如,关于它是否将控制网络安全事件检测和监控软件的问题。
BIS正试图通过定期发布常见问题解答来解决这个问题,并表示计划随着时间的推移提供更多的指导。
“这里的好处和明确之处在于,美国商务部工业和安全局(BIS)已经听取并积极努力考虑来自安全,研究和赏金猎人社区的反馈,”埃利斯说。
“需要关注的一个重要部分是许可证要求的范围,他们承诺通过常见问题解答来概述和维护这些范围。这些常见问题解答最终将决定谁需要根据裁决寻求许可,以及谁被分割出来。
原文:2022.06.02发布
https://portswigger.net/daily-swig/us-export-ban-on-hacking-tools-tweaked-after-public-consultation
原文始发于微信公众号(xiaozhu佩奇学安全):美国对黑客工具的出口禁令在公众咨询后进行调整
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论