12.11.14

Европа ограничивает распространение инструментов для обхода средств защиты

Многие, наверное, слышали про санкции в отношении России, про технологии двойного использования (назначения), про Васенаарские соглашения... Для многих эти термины связаны с определенной процедурой (а иногда и ограничениями) поставок отдельных видов ИТ/ИБ-продукции в страны, являющиеся участниками соответствующих соглашений. Но недавно данные ограничения стали применяться и в отношении кибероружия.

22 октября Европа внесла изменения в свой список технологий двойного назначения (dual use items). Изменения коснулись свыше 400 позиций, включая и появление совершенно нового объекта для регулирования - "intrusion software", которое расшифровывается как "ПО, специально разработанное или модифицированное с целью избежания его обнаружения средствами мониторинга, или для обхода защитных мер, сетевых устройств или средств вычислительной техники, а также для выполнения одной из следующих функций:

  • добыча данных или информации из средств вычислительной техники или сетевых устройств, или модификации систем или пользовательских данных, или
  • модификации стандартного способа выполнения программ или процессов с целью выполнения полученных извне инструкций".
К средствам мониторинга относится по версии Евросоюза ПО или "железо", предназначенное для мониторинга поведения системы или процессов, запущенных на устройстве. Примером таких средств являются антивирусы, системы обнаружения и предотвращения вторжений, межсетевые экраны и средства защиты ПК и мобильных устройств, а также иные средства персональной ИБ.

К защитным мерам Евросоюз относит "песочницы", DEP, ASLR и иные технологии безопасного исполнения кода.

К "intrusion software" не относятся:
  • гипервизоры, отладчики и средств для реверс-инжиниринга
  • ПО для DRM (Digital Rights Management)
  • ПО, установленное разработчиком, администратором или пользователем для целей отслеживания активов и восстановления.
Я уже неоднократно говорил и писал, что "санкции" не означают запрета. Также и попадание в технологии двойного назначения не означает невозможности продажи, распространения и использования таких технологий. Просто Евросоюз хочет контролировать данный вид программного обеспечения и позволяет распространять его, но после получения соответствующей экспортной лицензии.

Данные поправки в законодательство демонстрируют две проблемы, которые все чаще проявляются в последнее время применительно к кибероружию или спецоперациям в киберпространстве. Во-первых, многие международные эксперты считают, что в отношении кибероружия (или "intrusion software") надо вводить режим нераспространения по аналогии с ядерным нераспространением. Однако, хочу отметить, что если технология создания ядерного оружия действительно доступна далеко не каждому государству, то создание вредоносного ПО не является такой уж и сложной задачей. Она под силу не то, что государству, но и хакерам-одиночкам. Поэтому ограничивать создание и распространение таких технологий достаточно сложно - работы в этом направлении могут вестись скрытно и не попадать в поле зрения "кибер-МАГАТЭ" (создание аналога МАГАТЭ, но в киберпространстве, сейчас также обсуждается на международной арене).

Вторая проблема связана с попытками ограничивать распространение программного обеспечения. Это продажу танка можно ограничить. Или продажу боеголовки. Или компьютеров. Но как ограничить продажу нематериального? Ведь я могу просто скачать с какого-либо сайта или из сети Тор нужное мне ПО, минуя все запреты? По сути, вводимые Евросоюзом нормы, могут ограничить экспорт только легально продаваемого шпионского/вредоносного ПО. Нелегально производимое ПО остается вне регулирования и контроля.

По сути сегодня международное сообщество не готово к регулированию вопросов международной информационной безопасности, спецопераций в киберпространстве, распространения кибероружия и т.п. Традиционные нормы международного права малоприменимы к виртуальному пространству, а новых пока не появилось. Да и вся структура международного законодательства в области безопасности сегодня устарела, так как разрабатывалась совсем в иных условиях и в другое время.

Поэтому можно резюмировать, что предпринятые Евросоюзом попытки ограничить распространение вредоносного ПО достаточно интересны, но малопродуктивны. Но как начало некоторой тенденции, этот факт стоит взять на карандаш.

2 коммент.:

Sergey Soldatov комментирует...

Ребята в Европе явно скучают.

Инструменты создания кибероружия и киберзащиты - одни и те же, ну, например, это Visual C++. Если они собираются ограничить распространение С++, то это затруднит развитие всего ИТ (хотя, в целом, угробить ИТ - тоже мера по борьбе с ИТ-угрозами - убить кого-то - самый надежный способ вылечить его сразу и от всего), если они затруднят распространения вредоносов, разработанных на С++, то тут и без них таких ограничивателей полно - все антивирусные вендоры.

Алексей Лукацкий комментирует...

Ты не понял. Не средства разработки, а средства обхода