美国国土安全部网络安全与通信副部长Phyllis Schneck

来自弗吉尼亚州高科技部门的一位议员要求国会将黑客工具从国际军控协议的管控名单当中剔除出去。

这份于2013年出台的协议禁止各跨国公司及网络供应商在未获得许可的前提下进行“入侵软件”相关信息的跨境传输。而在2015年5月奥巴马政府发布美国法令以执行这项协议后，联邦政府已经收到了数百条公众意见反馈，其中大部分对这项计划表示反对。

批评者指出，这项协议中的重大错误在于，对敏感工具相关技术数据的转移是实现潜在受攻击目标免于感染的重要手段。

在这项诞生于1995年并有41个国家多边参与的瓦森纳协定当中，要求将特定激光发射器以及超级计算机作为常规武器及多用物品来对待，但协定所要求的将间谍软件纳入管理范畴的观点没有与任何信息安全企业进行过磋商。

美国商务部“没有得到任何信息安全厂商以顾问身份的协助”，从而帮助美国国会就黑客工具控制规范达成全球性共识，赛门铁克公司全球政府事务与网络安全政策副总裁Cheri Flynn在本周二向各位议员强调称。

众议员Gerry Connolly、D-Va以及McGuire等多位技术业界领导者纷纷在参加美国众议院与政府改革委员会的听证会时敦促其重新进行谈判。而且就连美国国土安全部自身的安全技术负责人目前亦明确指出，应重新对这项建议进行考量。

这项要求的出发点无疑是好的。美国及其盟友希望阻止压迫人民的政权利用入侵软件窥探异端政见者的通信内容。然而不同于由美国国会及商务部达成的瓦森纳谈判结果，各美国信息安全供应商认为其有理由获取此类代码。如果不对这类黑客与IT系统代码进行研究以掌握其对设备的影响，他们将无法有效保护政府或者企业对抗恶意软件。而这些合法技术手段长久以来一直存在，也就是大家所熟知的安全漏洞或者“漏洞利用”研究以及“渗透测试”。

软件与服务器承包商VMware公司每天都会以跨境方式进行恶意代码技术数据的传输工作，而此举正是为了保护其自身内部网络以及企业与政府客户网络环境，VMware公司工程信用与保障副总裁Iain Mulholland解释道。

他进一步补充称，“我们目前的所谓控制手段”就相当于阻止计算机打印出已输入代码。

“而这些代码指向的正是Bearbleed安全漏洞，”这项漏洞于2014年发现并存在于被广泛使用的加密软件当中。“如果我要对其进行传播，完全可以进行复印、通过邮件发送或者直接张贴到互联网上去，”Mulholland强调称。

“我们相当于努力剥夺人们过去二十年中所熟悉的物理处理方式并将其转移到数字化层面，坦率地讲，我认为这根本行不通，”他表示。

选区当中坐落着Herndon、Vienna以及Fairfax等众多全国最大技术企业总部的Connolly也对此表示认同，指出这种不扩散协议在网络空间当中根本不具备现实意义。

国会方面希望“快速了解目前的事态与状况，”Connolly指出。“而相关业界则要求其投入更多时间与资源以深入掌握实际情况，而非一拍脑袋就做出决定。”

举例来说，微软公司平均需要投入一到三个月才能批准一项许可应用。与此同时，根据GFI软件公司发布的2014年政府数据分析报告显示，每一天研究人员都会报告19种新型安全漏洞。

微软公司每年接收到的产品内安全漏洞报告在1000份左右，并需要调动全球多支技术队伍的力量才能够加以应对。

“我们可以看到，这1000个安全漏洞往往需要经过三轮、四轮或者五轮出口许可以实现漏洞信息分流，”微软公司网络安全首席顾问助理 Cristin Flynn Goodwin表示。“我们现在讨论的不是恶意软件、也不是什么新型工具或者新问题。我们要争取的只是完成日常工作的权利。根据我们的理解，单单是微软自己需要使用的许可数量就超过了商务部的处理能力。”

国土安全部网络安全与通信副部长Phyllis Schneck也指出，如果各企业宣称整个许可申请流程需要耗时数周，那么这种关于黑客工具的限制手段肯定存在问题。

“我们能够提供的最理想的网络安全保护手段，”且最具时效性的处理方式，“在于了解当前的安全状况并确保当网络攻击者尝试对目标设备执行入侵活动时，该设备能够a、拒绝加以执行或者b、意识到自身遭遇攻击，从而将情况报告给每位相关人员，而非放任恶意活动继续进行，”她表示。

“这种能力或者说解决思路足以帮助我们拖延任何一种不利于现有网络安全水平的恶意活动，”Schneck补充道。

除此之外，美国国内的各技术巨头同时指出，在这项禁令的影响下他们可能会逐渐在与不受影响的国外安全厂商竞争时处于下风，甚至最终因失去安全领域的顶尖地位而随约750亿美元的经济损失。Mullholland同时表示，目前全世界约有75%的国家——包括以色列及中国等强大网络势力——都没有参与瓦森纳协定。

这种贸易层面的不平衡性将使得“严格贯彻并执行相关法令的一方处于明显的竞争劣势，”他补充称。

赛门铁克与微软两家公司的官员还强烈建议称，该协议应该被打回瓦森纳接受重新审核。

Schneck指出，“我们已经达成了共识，”作为相关机构与行业合作伙伴，“明确拒绝执行这项提案。”

作为美国各谈判代表的下一步计划，“目前已经提出的一切要求——无论归属于瓦森纳协定”还是其它提案要求“都必须经过修改、澄清、解释或者整理，”商务部出境事务助理部长Kevin Wolf向议员们陈述称。

目前常规武器威胁控制署长Ann Ganzer表示，各相关瓦森内提案将于今年3月起进行年内讨论，并于12月给出最终意见。

转载请注明来自 E安全 （www.easyaq.com）

您也可以下载E安全app获取及时最及时的安全资讯