image

Google luidt noodklok over Wassenaar-akkoord

dinsdag 21 juli 2015, 10:38 door Redactie, 3 reacties

Een groot aantal landen, waaronder Nederland, heeft een akkoord getekend over de export van goederen en technologieën, maar de beperkingen van het akkoord belemmeren beveiligingsonderzoek en zorgen ervoor dat zowel internetgebruikers als het web onveiliger worden, aldus Google.

Het Wassenaar-akkoord stelt regels aan goederen, software en informatie die landen mogen exporteren, waaronder technologieën die als "intrusion software" (pdf) worden omschreven. Het gaat om zogeheten "dual use" goederen, die voor meerdere doeleinden zijn te gebruiken. Zo staan surveillancesystemen op de lijst, maar ook wapens als landmijnen en kernmateriaal. Het is een vrijwillig akkoord en het is aan landen hoe ze het akkoord binnen hun eigen wetgeving toepassen.

Gevolgen

De manier waarop de Amerikaanse overheid de regels mogelijk gaat implementeren kan vergaande gevolgen hebben, waarschuwt Google. "We vinden dat de voorgestelde regels grote gevolgen op de open gemeenschap van beveiligingsonderzoekers zal hebben. Ze hinderen ook onze mogelijkheid om onszelf en onze gebruikers te beschermen en het web veiliger te maken", zegt Neil Martin van Google. "Het zou een verschrikkelijke uitkomst zijn als een exportbeperking bedoeld om mensen veiliger te maken, ervoor zorgt dat miljarden gebruikers wereldwijd permanent onveiliger worden."

Volgens Martin zijn de regels "gevaarlijk" breed en vaag en zouden inhouden dat Google tienduizenden licenties moet aanvragen. Daarnaast zouden onderzoekers geen licentie nodig moeten hebben om bugs te rapporteren, terwijl dat straks mogelijk wel het geval wordt. Verder zouden multinationals informatie wereldwijd moeten kunnen delen. Google heeft wereldwijd engineers en het bedrijf zou informatie over "intrusion software" dan niet mogen delen met engineers in bepaalde landen. De regels moeten dan ook zo snel als mogelijk worden veranderd, stelt Martin.

Reacties (3)
21-07-2015, 11:49 door Anoniem
Misschien is de bedoeling goed, maar door knullige onkunde is de werking weer eens averechts.

Naast dat intrusion tools veel gebruikt worden voor (nuttig) onderzoek, wordt het voor AV bedrijven ook bijna onmogelijk om via hun klanten mallware samples te vergaren.

Resultaat: wederom wordt de digitale wereld onveiliger gemaakt.
21-07-2015, 13:07 door Anoniem
Martin heeft in principe wel een punt, maar wanneer hij pleit voor een uitzonderingspositie voor multinationals komt de aap uit de mouw en blijkt dat het hem helemaal niet om de veiligheid van de gebruiker te doen is, maar om de rechtspositie van van Google.

Als Google engineers in mensenrechten-schendende dictaturen e.d. heeft, dan vind ik het niet meer dan normaal dat dezelfde exportbeperkingen naar dat land die voor de rest van de wereld gelden, ook voor Google gelden. Wat voor fysieke oorlogs- en surveillancetechnologie geldt zou net zo goed voor de cyber-tegenhangers moeten gelden.

Dat multinationals zich steeds meer buiten de internationale rechtsorde proberen te plaatsen is een buitengewoon kwalijke zaak voor de rechtspositie van de gewone burger en daar doen al die mierzoete verhaaltjes van de multinationals niets aan af.
21-07-2015, 15:35 door D0rus - Bijgewerkt: 21-07-2015, 15:36
Achterdeurtjes verplicht stellen in software lukt ze nog niet echt, veel te veel weerstand. Dan maar een verbod op het vinden, rapporteren, fixen en uitrollen van patches moeten ze gedacht hebben. Want ja, een patch kun je revers-engineren en daarmee kun je een gevaarlijk cyber wapen in handen krijgen!

Waar men helemaal aan voorbij gaat is dat de beste manier om bugs te vinden, is door veel ogen erna te laten kijken. Die interesse lok je alleen maar door informatie over beveiligingsgaten zoveel mogelijk vrij te verspreiden. Zo kunnen andere beveiligingsonderzoekers kennis oppikken, daarmee nieuwe lekken identificeren en ook weer rapporteren/publiceren. Zo'n `beveiligingsonderzoeker` kan ook een amateur op een zolderkamertje zijn die hengelt naar de bonus die veel bedrijven uitloten voor het rapporteren van lekken. Dat alles is gewoon onderdeel van `responsible disclosure`.

Responsible disclosure houd wat mij betreft in dat je geen zero-day lekken openbaar maakt (uiteraard), maar bijv. wel na 30, 60, 90 dagen het lek publiceert om een stok achter de hand te houden als bedrijven weigeren te reageren. Vanuit bedrijven is het ook verstandig om een leuke bonus te verbinden aan een goed rapport, immers verhoogt dat de inzet van de beveiligingsgemeenschap, en verkleint het de kans dat de zwarte markt eerder aan de haal gaat met het probleem. Niet dat die onderzoeker die het lek rapporteert maar meteen dat lek aan de hoogste bieder geeft, wel dat als een iemand het kan vinden, iedereen het kan, en het een kwestie van tijd is voordat dat gebeurd.

En denk nou maar niet dat ook maar één cybercrimineel gaat denken 'oh, handelen in exploits is illegaal, ik zal er maar mee ophouden'. En dat terwijl de legitieme beveiligingsgemeenschap grote nadelen ondervind van dergelijke regels.

Waar nucleaire geheimen vooral gevaarlijk worden als ze in de verkeerde handen vallen, en het dus zaak is zo min mogelijk experts te hebben, worden cyber-lekken juist minder gevaarlijk als meer mensen er van weten: Hoe meer kennis, hoe sneller ze gepatched worden en niet meer bestaan.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.