20.07.2015

Российским пентестерам запрещено предоставлять услуги за пределами РФ?

В конце октября прошлого года Евросоюз принял новые правила ограничения распространения продуктов и технологий для обхода средств защиты. В новых правилах этих продукты и технологии получили название "intrusion software", которое расшифровывалось как: "ПО, специально разработанное или модифицированное с целью избежания его обнаружения средствами мониторинга, или для обхода защитных мер, сетевых устройств или средств вычислительной техники, а также для выполнения одной из следующих функций:

  • добыча данных или информации из средств вычислительной техники или сетевых устройств, или
  • модификации систем или пользовательских данных, или
  • модификации стандартного способа выполнения программ или процессов с целью выполнения полученных извне инструкций". 
Ограничение подразумевало получение специальной экспортной лицензии.

И вот по этому же пути пошел давний союзник Европы - США, которые решили ввести аналогичные правила для своих компаний. На следующей неделе заканчивается срок приема замечаний к данным новым правилам регулирования такого же как и в Европе понятия "intrusion software". Правда американское определение немного отличается от европейского и касается не только ПО, но и "информации, требуемой для разработки, тестирования, совершенствования или оценки ПО для вторжения". То есть различные компании, которые создают эксплоиты для тестовых целей, сканеры безопасности, средства эмуляции атак, да и просто публикуют информацию об уязвимостях должны получать соответствующую экспортную лицензию (про нее я уже писал).

Некоторые игроки американского рынка ИБ (Symantec, FireEye, WhiteHat и другие) даже создали коалицию, которая должна отстаивать права американских ИБ-компаний на бесконтрольное распространение информации и ПО, подпадающего под новое регулирование. А 6-го августа на предстоящем BlackHat организована специальная сессия, посвященная данной тематике.

Откуда растут ноги у требований, вводимых в США и Евросоюзе? Это известные Вассенаарские соглашения по контролю за распространением технологий двойного назначения, которые контролируют много чего, включая криптографию (именно по ней о Вассенаарских соглашениях многие и знают). Так вот 4 декабря 2013-го года в данные соглашения были внесены новые изменения, среди которых и контроль "intrusion software".

Но самое во всей этой истории другое. Среди 41-й страны, являющейся участницей Вассенаарских соглашений, есть и Российская Федерация, которая по идее должна в своем законодательстве реализовать данные изменения, а значит российские пентестеры и другие компании, занимающиеся схожими услугами и продуктами, должны будут получать экспортную лицензию на данный вид деятельности. Регулирует эту область в России у нас ФСТЭК, а точнее ее подразделение по экспортному контролю.

ЗЫ. Кстати, недавно взломанная Hacking Team в полной мере подпадала под требования европейского экспортного законодательства. Интересно, была у них лицензия на данный вид деятельности или нет?..

7 коммент.:

Мирослав Берков комментирует...

Кстати да, давно заметил что Метасплоит не скачивается если не написать в анкете что ты из США, указав какую-либо другую страну. Оказывается вот почему так.

andrewz66 комментирует...

Алексей, вы нагнетаете.
Цель подобной инициативы - ограничить распространение средств и знаний, которые могут быть использованы во вред стране их создавшей. Иными словами на технологические компании накладываются обязательства по контролю распространения информации и экспорта разрабатываемых технологий и средств. Точка.
Пентестеры ничего не экспортируют, только сетевые пакеты. Формально можно прицепиться к стадии "заливки" на атакуемый хост вредоносного ПО, но в пентесте есть этап "зачистки следов" - "Упавший на пол бутерброд не считается упавшим, если он поднят в течение 3 секунд".

Алексей Лукацкий комментирует...

Они экспортируют знания, эксплойты и разработанный ими же софт

andrewz66 комментирует...

Тогда давайте определимся, что считать распространением.
Любой вид передачи данных? Должны ли полученные данные быть зафиксированы в каком-либо виде, чтобы состоялся факт их распространения?
Например, я везу сильно пахнущий букет марихуаны в автобусе. Я распространяю?
Аналогия близкая на самом деле. Молекулы вещества, байты информации - одно и то же.

Алексей Лукацкий комментирует...

Это ты в суде будешь доказывать

andrewz66 комментирует...

У любого процесса распространения есть субъекты и есть объект. Если отмахиваться от идентификации этих сущностей в каждой конкретной ситуации - "доказывать в суде" будет просто нечего.

Алексей Лукацкий комментирует...

Вот в суде это и расскажешь