美国过于拼写:禁止未公开的软件漏洞
美国商务部星期三提交一个新的出口限制禁令看未公开漏洞的潜在武器,目的是减少安全行业可能有助于敌对的国家,但许多安全研究人员说,美国商务部的出口限制禁令可能无法遏制的黑市和阻碍跨境合作和国防产品销售。商务部的禁令涵盖了所谓的零日漏洞和软件开发人员不理解的安全漏洞。Ldquo;零日漏洞,也称为零时差攻击,是在被发现后立即使用的安全漏洞。
黑客和国防承包商经常向政府机构或软件开发商出售此类漏洞的信息,而美国的内部销售可以继续下去,但如果没有特别许可,零日漏洞及其支持能力销售将在美国、英国、加拿大、澳大利亚和新西兰以外地区禁止。
美国安全公司Netragard公司首席执行官Adyl Destels说:在某种程度上,我认为,'实现'零日漏洞;经纪人;许可证制度是一个好主意,可以防止美国软件漏洞信息出售伊朗,某种形式的授权或监督是非常有用的,但监管可能会对安全行业潜在的损害作为一个整体,这是一个展开和愚蠢的想法。
美国商务部的禁令的协议,2013,由41个国家签署,是一个补充,一些渗透软件也应该成为监管的对象,就像核武器和化学武器的部分。许多研究人员声称,美国的国防承包商正在寻求或花钱买软件的漏洞,然后出售他们的情报机构、军方和执法机构。他们可以很容易地聘请律师,并获得一些海外销售许可证。
但中小型证券公司,独立的研究人员更容易跨境出售相关软件漏洞信息,大量的信息会落入不法分子手中。具体地说,零日漏洞的市场兰德公司的安全专家Lilian Ablon说:这是可能产生重大影响我们如何做漏洞研究和保护我们的系统。如果我们限制在白帽子黑客漏洞搜索,只会让坏的邪恶更容易。
尽管开源软件和科学研究可以获得豁免,但如果通过商务部禁止,它将对软件漏洞和它们使用的工具的合法市场产生重大影响,因为这些市场刚刚进入开放和成熟阶段。
越来越多的公司最近开始支付股息,得到奖励漏洞;对那些发现的研究人员在他们的产品的安全漏洞,而不是驱动他们将出售给政府或黑客漏洞。一些企业甚至已经开发出一种新的职业回报;报告;系统,小公司可以从中受益。
Katie Moussouris,HackerOne首席战略官,风险投资支持的企业表示,海外企业可能提供现金奖励和指导研究者在未来获得出口授权书,确保自己的程序更加安全。
误差校正
微信公众号搜索驱动之家加关注,最新的移动电话,电脑,汽车,智能硬件信息可以给你全方面推荐关注!{在}微信扫描