Американские законодатели сообщают, что Белый дом планирует пересмотреть стратегию реализации противоречивых Вассенаарских соглашений в отношении ПО для пентестинга.

Бюро промышленности и безопасности при министерстве торговли США отправило на доработку изначальную редакцию документа после того, как в течение 90-дневного периода, отведенного на первое чтение, представители ИБ-отрасли раскритиковали предложенный законопроект. Экспертов обеспокоил ряд трактовок в тексте документа, из-за которых «под раздачу» попали не только программы для слежки.

Теперь бюро предстоит поторопиться с разработкой следующей редакции текста соглашений, чтобы второе чтение завершилось до следующего пленарного заседания в Вассенааре, которое состоится в декабре. Все это происходит на фоне разворачивающейся в США предвыборной борьбы: так как выборы нового президента назначены на ноябрь, вопрос реализации Вассенаарских соглашений может быть отложен на более поздний срок.

Конгрессмен Джеймс Ленджвин (James Langevin), старший член Комитета по вопросам национальной безопасности и один из основателей закрытого собрания Конгресса по кибербезопасности, назвал решение администрации Обамы победой.

«Так как вопрос контроля над технологиями снимается с повестки встречи в Вассенааре, администрация президента ясно дает понять, что текст документа требует доработки, — сказал Ленджвин. — Кроме того, Белый дом предоставляет возможность внести другие дополнения перед следующим чтением».

Изначальная редакция Вассенаарских соглашений была представлена 20 мая прошлого года; ИБ-эксперты сразу отметили, что легитимные инструменты исследования и тестирования тоже подпадают под действие новых правил и, таким образом, будут подлежать дополнительному налогообложению. Цель законопроекта — регулирование распространения программных продуктов от таких компаний, как Hacking Team и Gamma International, в связи с использованием данного ПО для слежки репрессивными режимами, что является угрозой для гражданских свобод.

Но при этом формулировки, использованные в документе, допускали слишком широкую трактовку: авторы документа не сделали исключений для коммерческих программ для пентестинга и других инструментов обеспечения безопасности. Например, PoC-эксплойты в первой редакции документа попадали под действие Вассенаарских правил, и на них также распространялись бы высокие экспортные пошлины. Но эти эксплойты имеют огромную значимость для вендоров, тестирующих свои продукты на наличие уязвимостей: они воссоздают реальные условия атак, подвергающих опасности конфиденциальные данные.

Эксперты предупредили, что высокая стоимость таких продуктов ввиду повышенного налогообложения и вероятность юридических проблем для разработчиков не только станут преградой на пути развития ИБ-решений, но и существенно подорвут информационную безопасность, так как известные и неизвестные уязвимости могут в таких условиях остаться открытыми.

На прошедшем недавно саммите Security Analyst Summit «Лаборатории Касперского» представительница HackerOne Кейти Муссурис (Katie Moussouris) рассказала, что первое чтение Вассенаарских соглашений спровоцировало беспрецедентные дискуссии и стало предвестником больших проблем.

«Они знали, что представителям отрасли и ИБ-экспертам нужно было серьезно проанализировать формулировки в документе и выразить свое профессиональное мнение», — отметила Муссурис. Однако она заявила, что еще две недели назад ей не было известно о том, чтобы авторы принялись за вторую редакцию соглашений.

«Срок полномочий администрации президента подходит к концу, у нас уже нет времени; обычно никто не принимает противоречивых законов под конец срока, — сказала Муссурис. — В идеале мы хотели бы, чтобы в формулировках появилась конкретика; слишком обширные возможности трактовки текста в нашем случае провоцируют проволочки с принятием документа. Нужно более точно определить, что имеется в виду под понятием «технология» в отношении термина «технологии проникновения». Авторы документа думали, что таким образом они сузят формулировку, но на самом деле они ее расширили. Если мы добьемся более конкретной трактовки в следующей редакции, мы сможем быстрее реализовать Вассенаарские соглашения».

Категории: Кибероборона, Уязвимости, Хакеры