Европа ограничивает распространение инструментов для обхода средств защиты

Европа ограничивает распространение инструментов для обхода средств защиты
Многие, наверное, слышали про санкции в отношении России, про технологии двойного использования (назначения), про Васенаарские соглашения... Для многих эти термины связаны с определенной процедурой (а иногда и ограничениями) поставок отдельных видов ИТ/ИБ-продукции в страны, являющиеся участниками соответствующих соглашений. Но недавно данные ограничения стали применяться и в отношении кибероружия.

22 октября Европа внесла изменения в свой список технологий двойного назначения (dual use items). Изменения коснулись свыше 400 позиций, включая и появление совершенно нового объекта для регулирования - "intrusion software", которое расшифровывается как "ПО, специально разработанное или модифицированное с целью избежания его обнаружения средствами мониторинга, или для обхода защитных мер, сетевых устройств или средств вычислительной техники, а также для выполнения одной из следующих функций:

  • добыча данных или информации из средств вычислительной техники или сетевых устройств, или модификации систем или пользовательских данных, или
  • модификации стандартного способа выполнения программ или процессов с целью выполнения полученных извне инструкций".
К средствам мониторинга относится по версии Евросоюза ПО или "железо", предназначенное для мониторинга поведения системы или процессов, запущенных на устройстве. Примером таких средств являются антивирусы, системы обнаружения и предотвращения вторжений, межсетевые экраны и средства защиты ПК и мобильных устройств, а также иные средства персональной ИБ.

К защитным мерам Евросоюз относит "песочницы", DEP, ASLR и иные технологии безопасного исполнения кода.

К "intrusion software" не относятся:
  • гипервизоры, отладчики и средств для реверс-инжиниринга
  • ПО для DRM (Digital Rights Management)
  • ПО, установленное разработчиком, администратором или пользователем для целей отслеживания активов и восстановления.
Я уже неоднократно говорил и писал, что "санкции" не означают запрета. Также и попадание в технологии двойного назначения не означает невозможности продажи, распространения и использования таких технологий. Просто Евросоюз хочет контролировать данный вид программного обеспечения и позволяет распространять его, но после получения соответствующей экспортной лицензии.

Данные поправки в законодательство демонстрируют две проблемы, которые все чаще проявляются в последнее время применительно к кибероружию или спецоперациям в киберпространстве. Во-первых, многие международные эксперты считают, что в отношении кибероружия (или "intrusion software") надо вводить режим нераспространения по аналогии с ядерным нераспространением. Однако, хочу отметить, что если технология создания ядерного оружия действительно доступна далеко не каждому государству, то создание вредоносного ПО не является такой уж и сложной задачей. Она под силу не то, что государству, но и хакерам-одиночкам. Поэтому ограничивать создание и распространение таких технологий достаточно сложно - работы в этом направлении могут вестись скрытно и не попадать в поле зрения "кибер-МАГАТЭ" (создание аналога МАГАТЭ, но в киберпространстве, сейчас также обсуждается на международной арене).

Вторая проблема связана с попытками ограничивать распространение программного обеспечения. Это продажу танка можно ограничить. Или продажу боеголовки. Или компьютеров. Но как ограничить продажу нематериального? Ведь я могу просто скачать с какого-либо сайта или из сети Тор нужное мне ПО, минуя все запреты? По сути, вводимые Евросоюзом нормы, могут ограничить экспорт только легально продаваемого шпионского/вредоносного ПО. Нелегально производимое ПО остается вне регулирования и контроля.

По сути сегодня международное сообщество не готово к регулированию вопросов международной информационной безопасности, спецопераций в киберпространстве, распространения кибероружия и т.п. Традиционные нормы международного права малоприменимы к виртуальному пространству, а новых пока не появилось. Да и вся структура международного законодательства в области безопасности сегодня устарела, так как разрабатывалась совсем в иных условиях и в другое время.

Поэтому можно резюмировать, что предпринятые Евросоюзом попытки ограничить распространение вредоносного ПО достаточно интересны, но малопродуктивны. Но как начало некоторой тенденции, этот факт стоит взять на карандаш.
Alt text

Подписывайтесь на каналы "SecurityLab" в TelegramTelegram и TwitterTwitter, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.