美国国会意欲了解外国政府正在使用的商用监控软件即俗称的间谍软件。
最近美国在《财年2021情报授权法案 (IntelligenceAuthorization Act for Fiscal Year 2021)》草案(美国政府来年的情报行动预算法案)中指出,美国政府想让国家情报局局长 (DNI) 向美国国会提交关于商用软件现状、生产这些黑客工具的企业名单以及使用这些工具的外国政府或外国实体名单的报告。这说明美国立法者对于强大的黑客工具的商业化变得更加担忧。在过去十年间,出售此类工具的企业数量急剧上涨。有些企业是公开售卖,大规模地对exploit 收购计划进行宣传,并将自身营销为仅向政府和执法部门出售工具。然而,有些企业并不按照此类套路出牌。它们通过隐秘的离岸空壳绕过出口控制并积极向专制政权出售这些黑客工具,后者进而用于追踪持不同政见者、记者和人权活动家等。美国立法部门要求国家情报局局长对当前局势进行评估并提出限制此类工具进行传播的解决方案。法案草案建议国家情报局局长和技术公司合作打击或限制这类工具的效力,同时通过传统方法如出口控制、外交压力或贸易协议寻求解决方案。第503节:报告由外国政府和实体使用商用网络入侵和监控技术造成的威胁。(a) 要求提交报告——自本法颁布之日起的180天内,国家情报局局长应向国会情报委员会提交报告,说明关于由外国政府和实体使用商用网络入侵和监控技术而造成的威胁情况。(b) 内容——(a)节要求提交的报告应包括如下方面: (1)与 (a) 节描述的威胁相关的事项,涉及如下内容: (A) 对美国人及在美国境内人员造成的威胁 (B) 对海外美国人员造成的威胁 (C) 对联邦政府员工造成的威胁,包括通过官方和个人账户及设备造成的威胁。 (2)说明哪国政府和实体通过使用 (a)节中描述的技术造成最大威胁以及这些威胁的性质。 (3)评估造成 (a) 节中提到的威胁的商用网络入侵和其它监控技术的来源,内容包括这些技术是由美国企业或在美境内企业制造还是外国企业制造。 (4)自本法案颁布之日起,评估联邦政府和外国政府为限制以造成上述威胁的方法从美国或他国将(a)节中提到的技术出口到外国政府和实体所采取的措施。 (5)和美国联邦政府、国会和外国政府如何最有效地缓解 (a) 节中提到的威胁有关的事项,包括如下方面: (A) 和技术及电信行业合作,识别并改进遭商用网络入侵和监控软件针对的美国人和在美国境内人员所使用的消费者软件和硬件的安全性。 (B) 出口控制。 (C) 外交压力。 (D) 贸易协定。(c) 报告提交形式——按照 (a) 节提交的报告应以非机密形式提交,但可包含机密附件。
专注于调查商用间谍软件的公民实验室安全研究员 John Scott-Railton 率先在即将发布的情报预算法案中发现了这项新条例。他在推特上将该新法案视作“恶意行动者惯犯的糟糕消息”。
当前的预算法案已在上周以14比1的投票通过参议院情报选举委员会,将在今年夏天晚些时候再次面临投票。虽然过去发生了很多起关于商用间谍软件被用于骚扰和监控少数群体、记者和政客的事件,但公众从未严肃对待此类威胁,仅限于小规模的网络安全圈子传播。当 Facebook 在2019年10月起诉黑客工具厂商 NSO Group 之后公众的态度发生急剧变化。Facebook 起诉该公司创建并出售用于监控全球用户的一个 WhatsApp exploit。
https://www.zdnet.com/article/congress-wants-to-know-what-commercial-spyware-other-countries-are-using/https://www.congress.gov/bill/116th-cgress/senate-bill/3905/text#id5b04539bb3ce41ab8bd4693096d37717
题图:Pixabay License
本文由奇安信代码卫士编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 www.codesafe.cn”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的
产品线。
点个 “在看” ,加油鸭~