<div dir="ltr"><br><div>There were a few very telling moments in the BIS phone call yesterday about the new proposed &quot;Cyber&quot; regulations. </div><div><br></div><div>One thing was that they are explicitly carving out a few things:</div><div>1. Metasploit and other free tools. </div><div>2. Exploits that pop a calc.</div><div>3. Vulnerability scanners that don&#39;t offer shells</div><div>4. Fuzzers and web scanners</div><div>5. Papers and stuff for academics that are eventually going to be made public </div><div><br></div><div>A lot of their responses to questions (which they found highly amusing and giggly!) were repetitions on &quot;why don&#39;t people understand our highly vague and convoluted regulation wording!?!&quot; And, fair enough, many of the questions were very similar.</div><div><br></div><div>Some major strategic problems are still there, which you should be worried about:</div><div><br></div><div>1. Penetration testing tools are considered harmful. Despite being such a central part of operations that they are REQUIRED by PCI and many government regulations already, the current proposed regulations specifically explicitly &quot;default deny&quot; all penetration testing tools on the market right now.</div><div><br></div><div>It is telling that the US COMMERCE DEPARTMENT is pro &quot;free things&quot; but if you charge money for that very same thing, it is banned like plutonium. This is a rather extreme position, and not one validated by a common sense reading of the last decade of security operations. </div><div><br></div><div>2.  Bug bounties where the information is kept secret are not allowed.</div><div><br></div><div>3. The regulatory agency draws a line between &quot;supports exploits&quot; and &quot;supports 0day exploits&quot; that does not have any technical value. There&#39;s no way to support exploitation and NOT 0day exploitation. They seem reluctant to discern or define what an 0day is as opposed to just an exploit, and the penalty is &quot;default deny&quot;. Same with &quot;rootkit&quot;. All current penetration testing frameworks &quot;support 0day&quot; under any definition of course, since they are so modular.</div><div><br></div><div>4.  &quot;deemed exports&quot; are a vast blackhole of danger for any modern company that has security operations spread across the world.</div><div><br></div><div>5. You&#39;re still allowed to do vulnerability research with an international team if you plan on giving it to an AV company or Vendor or make it public, but &quot;I planned on doing something&quot; is a VERY weird position to take when the BIS comes knocking. There&#39;s no way to prove it, for example. Honestly, there&#39;s still a lot of cloudy &quot;maybes&quot; in this area. You should be worried about a Commerce Department that has taken Full-Disclosure as a religion without being in the community and dealing with the heat...</div><div><br></div><div><br></div></div>