کاخ سفید خواستار مذاکره‌ی مجدد در مورد اجرای معاهده‌ی واسنار

قانون‌گذاران کاخ سفید گفتند که می‌خواهند در مورد اجرای بحث‌برانگیز معاهده‌ی واسنار که به نرم‌افزارهای نفوذگر هم مربوط می‌شود،‌ دوباره مذاکره کنند.
در ماه جولای پیش‌نویسی از این قوانین توسط دفتر امنیت وزارت صنعت و بازرگانی آمریکا (BIS) برای اظهار نظر در یک دوره‌ی ۹۰ روزه قرار داده شد که در طول آن طرفداران و حامیان صنعت امنیت فن‌آوری اعتراضات فراوانی را در مورد مشکلات زبانی این معاهده ابراز کردند که نرم‌افزارهای نظارتی را در تیررس خود قرار می‌دهد.
با این حال فشار بر BIS باقی ماند تا یک پیش‌نویس دیگر را برای یک دوره‌ی نظرخواهی دیگر قبل از اجلاس عمومی واسنار در ماه دسامبر به اجرا گذارد. البته همه‌ی این‌ها به این خاطر اتفاق می‌افتد که آمریکا در ماه نوامبر یک رئیس‌جمهور جدید خواهد داشت که ممکن است بر اولویت‌بندی اجرای این قوانین تأثیر گذارد.
جمیز لانوین، نماینده‌ی کنگره و عضو ارشد کمیته‌ی امنیت داخلی مجلس و یکی از مؤسسان انجمن امنیت سایبری کنگره‌ی آمریکا می‌گوید که تصمیم دولت اوباما در این زمینه یک پیروزی است.
لانوین می‌گوید: «با افزودن حذف کنترل فن‌آوری در دستور کار اجلاس واسنار، دولت موضع روشنی را در این زمینه ابراز می‌کند مبنی بر این‌که این متن باید تغییر پیدا کند. علاوه بر این، دولت امکان این موضوع را باز گذاشته است که تغییرات بیشتری با بازبینی‌های اضافی در این کنترل‌ها صورت گیرد.»
متن پیش‌نویس اولیه‌ در ۲۰ ماه می منتشر شد و تقریباً بلافاصله، کارشناسان حوزه‌ی امنیت اشاره کردند که تحقیقات و ابزارهای قانونی نیز شامل این معاهده می‌شوند و در نتیجه‌ی آن به مجوزهای کنترل صادرات بسیار پرهزینه نیاز پیدا خواهد شد.
این پیش‌نویس معاهده، کنترل‌هایی برای نرم‌افزارهای نوشته‌شده توسط شرکت‌هایی نظیر Hacking Team ،Gamma International و دیگر شرکت‌ها ایجاد می‌کند که به دولت‌های سرکوب‌گر جهان فروخته می‌شوند و آزادی‌های مدنی را در معرض خطر قرار می‌دهند.
اما جمله‌بندی این معاهده به گونه‌ای وسیع همه‌چیز را شامل می‌شود که برای مثال هیچ معافیتی برای نرم‌افزارهای امنیتی قانونی و ابزارهای آزمایش امنیت در آن‌ها لحاظ نشده است. بنابراین توسعه‌ی ابزارهای بهره‌برداری اثبات مفهومی نیز شامل معاهده‌ی واسنار می‌شوند و نیاز به مجوز صادرات پیدا می‌کنند. یک چنین بهره‌برداری‌هایی برای سازندگان حیاتی هستند چرا که آن‌ها با استفاده از این بهره‌برداری‌ها به آزمایش آسیب‌پذیری در محصولات خود می‌پردازند و تلاش می‌کنند تا وضعیت‌هایی را که ممکن است در اثر آن‌ها داده‌ها در خطر قرار گیرند، کشف کنند.
این هزینه‌های بالا و ترس از مشکلات قانونی مربوط به آن هشداری برای محققان است چرا که نه‌تنها مانع نوآوری شده بلکه امنیت محصول نیز با عدم اصلاح آسیب‌پذیری‌های شناخته‌شده و شناخته‌نشده در معرض خطر قرار خواهد گرفت.
در اجلاس تحلیل‌های امنیتی اخیر کسپرسکی، کتی موسوریس، مسئول ارشد سیاست شرکت HackerOne گفته است که اولین دوره‌ی نظرخواهی بی‌سابقه بوده و نشان‌دهنده‌ی وجود مشکل بوده است.
او می‌گوید: «آن‌ها می‌دانند که به جامعه‌ی امنیت و صنعت در آمریکا نیاز دارند تا به این متن توجه کرده و آن را ارزیابی کنند.»
او اشاره می‌کند که اگر چه همچون دو هفته‌ی قبل، از نوشته‌شدن پیش‌نویسی جدید اطلاع ندارد.
موسوریس می‌گوید: «ما در دولت فعلی زمان را از دست می‌دهیم، معمولاً شما نمی‌توانید موارد جدید بحث‌برانگیز را در پایان این دوره‌ی ریاست‌جمهوری، تصویب کنید. در بهترین حالت ما چیزی را خواهیم دید که این زبان گسترده‌ی موجود در پیش‌نویس را محدود کند. اگر ما بتوانیم به صورت خاص برای نرم‌افزارهای ابزار نفوذ معافیتی ایجاد کنیم، موفقیتی برای دنیای فن‌آوری خواهد بود. آن‌ها تصور کرده‌اند که این حیطه را محدود کرده‌اند، اما در حقیقت آن‌ها کمی دامنه‌ی آن را گسترش داده‌اند. اگر بتوان این بخش را خارج کرد، من فکر می‌کنم که در شرایط اجرا ما بسیار بهتر خواهیم بود.»

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.

اسکن امنیتی وب سایت
(5000 تومان)

نوع وب سایت: وبلاگ، شرکتی، تجارت الکترونیک و کسب و کارحرفه ای
آسیب پذیری های OWASP (شامل بررسی 10 آسیب پذیری متداول)
اسکن نرم افزار/وب سایت توسط Acunetix نسخه 11
اسکن تمامی پورت ها با ابزار Nmap
اسکن وب سرور و پیکربندی آن توسط ابزار Nikto
اسکن تزریق توسط نرم افزار قدرتمند SQLmap