瓦森纳会议过后 信息安全控制有所减弱
作者: 日期:2018年01月13日 阅:7,374

没有过多的喧哗,12月初达成的瓦森纳协定草案,给白帽子带来了便利的一面。

正如去年报道的那样,瓦森纳会谈处在一个冰点,这一情形对IT领域是个坏消息,因为挖漏洞和开发漏洞利用工具的发展会受到其影响。

如果按会谈释放出的意思,类似Metasploit这样的工具,需要出口许可签名的支持——一个冗长烦闷的流程,令研究人员者陷入官僚做派的漩涡中。

12月早些时候,按照文档记录,一些内容上的修改带来了变化。

在12月的会议中,会议各方同意增加技术备注“本地漏洞的定义,披露与网络事件响应”,并采取了一份修理解声明(双方使用技术列表4.E.1)。

最新版本列出的受控制产品解释了2个令人担忧的表述“不适于应用在漏洞披露或网络事件响应”(4.E.1.a and4.E.1.c) 。

这份清单同时定义了漏洞披露以便允许个人及组织“负责协同补救及执行”,沟通并分析漏洞。

“网络事件响应”也得到了定义,这样个人和组织就可以交换信息以帮助事件响应。

这很重要,因为“在漏洞披露与安全事件应对的交叉领域进行具体解释,使得不再需要有瓦森纳支配的出口控制许可。”

另外,根据12月份的这次修改,对计算机的约束减弱了,部分原因是由于基于性能的出口控制大大落后于新的、更大更快的技术发展速度。

相关阅读

瓦瑟纳尔新规将冲击漏洞市场

代码即武器:美国开始控制漏洞市场

 

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章