В конце октября прошлого года Евросоюз принял новые правила ограничения распространения продуктов и технологий для обхода средств защиты. В новых правилах этих продукты и технологии получили название «intrusion software», которое расшифровывалось как: «ПО, специально разработанное или модифицированное с целью избежания его обнаружения средствами мониторинга, или для обхода защитных мер, сетевых устройств или средств вычислительной техники, а также для выполнения одной из следующих функций:
- добыча данных или информации из средств вычислительной техники или сетевых устройств, или
- модификации систем или пользовательских данных, или
- модификации стандартного способа выполнения программ или процессов с целью выполнения полученных извне инструкций«.
Ограничение подразумевало получение специальной экспортной лицензии.
И вот по этому же пути пошел давний союзник Европы — США, которые решили ввести аналогичные правила для своих компаний. На следующей неделе заканчивается срок приема замечаний к данным новым правилам регулирования такого же как и в Европе понятия «intrusion software». Правда американское определение немного отличается от европейского и касается не только ПО, но и «информации, требуемой для разработки, тестирования, совершенствования или оценки ПО для вторжения«. То есть различные компании, которые создают эксплоиты для тестовых целей, сканеры безопасности, средства эмуляции атак, да и просто публикуют информацию об уязвимостях должны получать соответствующую экспортную лицензию (про нее я уже писал).
Некоторые игроки американского рынка ИБ (Symantec, FireEye, WhiteHat и другие) даже создали коалицию, которая должна отстаивать права американских ИБ-компаний на бесконтрольное распространение информации и ПО, подпадающего под новое регулирование. А 6-го августа на предстоящем BlackHat организована специальная сессия, посвященная данной тематике.
Откуда растут ноги у требований, вводимых в США и Евросоюзе? Это известные Вассенаарские соглашения по контролю за распространением технологий двойного назначения, которые контролируют много чего, включая криптографию (именно по ней о Вассенаарских соглашениях многие и знают). Так вот 4 декабря 2013-го года в данные соглашения были внесены новые изменения, среди которых и контроль «intrusion software».
Но самое во всей этой истории другое. Среди 41-й страны, являющейся участницей Вассенаарских соглашений, есть и Российская Федерация, которая по идее должна в своем законодательстве реализовать данные изменения, а значит российские пентестеры и другие компании, занимающиеся схожими услугами и продуктами, должны будут получать экспортную лицензию на данный вид деятельности. Регулирует эту область в России у нас ФСТЭК, а точнее ее подразделение по экспортному контролю.
ЗЫ. Кстати, недавно взломанная Hacking Team в полной мере подпадала под требования европейского экспортного законодательства. Интересно, была у них лицензия на данный вид деятельности или нет?..
Кстати да, давно заметил что Метасплоит не скачивается если не написать в анкете что ты из США, указав какую-либо другую страну. Оказывается вот почему так.
Алексей, вы нагнетаете.
Цель подобной инициативы — ограничить распространение средств и знаний, которые могут быть использованы во вред стране их создавшей. Иными словами на технологические компании накладываются обязательства по контролю распространения информации и экспорта разрабатываемых технологий и средств. Точка.
Пентестеры ничего не экспортируют, только сетевые пакеты. Формально можно прицепиться к стадии "заливки" на атакуемый хост вредоносного ПО, но в пентесте есть этап "зачистки следов" — "Упавший на пол бутерброд не считается упавшим, если он поднят в течение 3 секунд".
Они экспортируют знания, эксплойты и разработанный ими же софт
Тогда давайте определимся, что считать распространением.
Любой вид передачи данных? Должны ли полученные данные быть зафиксированы в каком-либо виде, чтобы состоялся факт их распространения?
Например, я везу сильно пахнущий букет марихуаны в автобусе. Я распространяю?
Аналогия близкая на самом деле. Молекулы вещества, байты информации — одно и то же.
Это ты в суде будешь доказывать
У любого процесса распространения есть субъекты и есть объект. Если отмахиваться от идентификации этих сущностей в каждой конкретной ситуации — "доказывать в суде" будет просто нечего.
Вот в суде это и расскажешь