2021年9月26日 星期日
农历辛丑年 八月二十
繁體中文
登录 | 注册

中国新法强征“零日漏洞”信息 方便中国黑客攻击海外


2021-09-09 居安 分享到Twitter 分享到Facebook 分享到Telegram |  国语 |  粤语

9月9日,据美国之音报道,中国本月开始施行的数据安全法规强制在华外国公司在发现自身网络安全漏洞时立刻向北京汇报。外界担心,这项规定将让中国在增强自身网络安全防御能力的同时,也让中国黑客轻易获取发动“零日袭击”的网络资源,对外国目标发动攻击。

何为零日漏洞?

中国自9月1日开始实施的《数据安全法》要求在中国境内的组织和个人在“发生数据安全事件时”“立即采取处置措施,按照规定及时告知用户并向有关主管部门报告”。中国工业和信息化部、国家互联网信息办公室、公安部出台了相应的《网络产品安全漏洞管理规定》,要求“网络产品提供者”必须在2天内向工信部网络安全威胁和漏洞信息共享平台报送相关漏洞信息,并不得将未公开的网络产品安全漏洞信息向网络产品提供者之外的境外组织或者个人提供。

分析指出,由于主流网络产品在世界各地都被广泛使用,中国的新法规将让中国政府提前掌握外国消费者和军政部门使用的软件的“零日漏洞”信息,并可能以此发动网络袭击。

“零日漏洞”(zero-day vulnerability)指的是网络产品的软件设计和制造者对其自身产品不知晓、或者尚无补救措施的技术安全缺陷。黑客常常利用“零日漏洞”对相关目标进行网络攻击。

设在以色列特拉维夫的check point软件技术公司网络研究总监雅尼夫•巴尔马斯(yaniv balmas)通过电子邮件对美国之音说:“零日漏洞是几乎所有网络攻击武器的基础,它们是可以成为武器的产品或服务中发现的安全漏洞。例如,安卓系统中的零日漏洞可能让攻击者通过远程进入你的整个手机。”

巴尔马斯说,网络安全研究界目前的标准流程是私下向供应商报告此类漏洞,并让他们有足够的时间在与其他人共享信息之前解决这些漏洞。例如,如果智能手机的安卓系统出了漏洞问题,谷歌公司会在第一时间得以知晓。

“如果中国政府能在谷歌获得信息之前或同时获得信息,他们将有一个合适的时间窗口,在谷歌有机会解决问题之前将(零日漏洞信息)化作一种武器。这问题很严重。”巴尔马斯说。

强制零日漏洞信息2日汇报 中国黑客新武器?

网络安全专家说,许多国家的政府都会想方设法获取零日漏洞信息。但中国通过实施新法,获取网络“零日漏洞”信息不费吹灰之力。

美国退休高级情报官员、中国情报事务专家尼古拉斯·埃菲迪米亚德斯(nicholas eftimiades)说,从全局角度要求境内网络产品提供商报告零日漏洞的做法,是“中国这样的独裁国家能够施行的”。

“它可以用来保护中国的网络,也可以在全球……为中国共产党的进攻计划寻找漏洞。” 埃菲迪米亚德斯对美国之音说:“这种信息本身是所有政府都希望得到的,因为这有助于他们保护自己的产业和经济,对中国政府来说也是如此。但基本的现实情况是是,中国政府也会利用它攻击外国产业和政府。”

埃菲迪米亚德斯说,中国政府“毫无疑问”会将他人主动上交的零日漏洞信息作为网络进攻武器。“他们(中国政府)的网络间谍计划非常活跃,通过网络行动进行的经济间谍活动也很活跃。”

他说,发展这样的间谍项目,可能是中国要求境内研究人员和科技公司在第一时间披露漏洞信息的驱动力之一。

由于修补技术漏洞的所需时间较长,中国的“2日汇报”机制可能给北京足够的时间优势,让黑客制造出可用于袭击外国目标的零日进攻武器。

美国防务新闻网站defense one说,科技公司在发现零日漏洞后发布修补程序所需时间至少要60天,有的多达200天。例如,微软的邮件系统漏洞在1月6日被发现后,该公司在3月2日才发布补丁。在这一时间段中,利用这一漏洞的进攻剧增。

埃菲迪米亚德斯说,可能成为中国黑客零日漏洞攻击的目标包括主流软件,例如微软、亚马逊这些被广泛综合使用的云技术产品和平台,也包括使用这些软件的关键产业部门。

“这里有两个部分,第一是所有行业都综合应用的网络和软件本身——航空航天行业和生物技术行业都使用同一个微软,所以这是第一。第二个部分是中国网络情报搜集项目的优先目标,他们最积极地瞄准哪些行业?正好是航空航天、生物技术行业以及信息技术行业。”

零日漏洞信息被各国使用

美国政府公开指责中国国家安全部门利用黑客在全球进行网络入侵行动,其中包括今年三月微软电子邮件系统(microsoft exchange)服务器被黑事件。这次事件就是“零日攻击”的典型例证。

微软和外部的独立研究人员公开表示,与中国相关的网络间谍组织利用微软邮件服务器软件漏洞,远程入侵电子邮件。

中国一直否认或拒绝正面回应是否参与此类黑客入侵活动。中国外交部发言人3月3日对中国黑客涉嫌袭击微软的事件回应说,中国坚决反对并依法打击任何形式的网络攻击和网络窃密行为,称不应“无端猜测指责”,要“基于充分证据”定性网络事件。

分析人员在担忧中国政府零日攻击能力增强的同时也指出,许多国家的情报机构都在积极获取零日资源。

据路透社2013年报道,美国情报机构在灰色市场通过承包商大手笔采购网络技术漏洞信息和攻击工具,美国政府被指责助长黑客工具交易、也被批评过度依赖攻击型网络策略,而不是将网络漏洞信息与使用者分享。

以色列check point网络安全公司的研究主管巴尔马斯说:“当然,几乎每一个政府都在内部利用这类操作——例如,雇佣不断寻找漏洞的研究人员。但中国现在强迫其他所有人‘为他们打工’的事实使他们具备了比其他人更显著的优势,并且可以将力量平衡转移到他们一边。”

前情报官员埃菲迪米亚德斯强调,网络产品不仅仅为商业部门使用。“这让全球所有人都变得容易受到攻击。所以这就变成了一场竞赛。这部法律让中国政府、让中国共产党在这场竞赛的跑道上拥有第一优势。”

以色列网络安全专家巴尔马斯说:“我们只能猜测其他大国将如何应对这一行为,以及这是否会让我们的互联网更加安全还是更不安全。“



声明:时刻新闻编辑发布的文章并不代表时刻新闻的立场或观点。时刻新闻的宗旨是努力为读者提供多源化的信息和观点,同时也欢迎读者在时刻新闻评论区分享个人观点。





一周最热
  1. 孟晚舟获释回国 中美重启关键一步 习近平谋划已久拜登低头
  2. 人质交换!孟晚舟乘中国政府专机回国 两名加拿大人被释放
  3. 江泽民突然“现身” 中秋节祝福字条流出 敏感时期传递信号?
  4. 习近平为二十大准备了4套剧本保权位 最坏情况台海开战
  5. 孟晚舟听证会结束将获释 纽时:标志着拜登向习近平低头
  6. 孟晚舟回国宣传战打响 全球见识到习近平和中共的野蛮手段
  7. 加拿大大选结果出炉 特鲁多获胜 自由党未赢得多数席位
  8. 习近平的房地产赌局 对恒大和许家印极限施压 吃了的吐出来
  9. 习近平的权力路多谢陈良宇 陈保护民众利益救下属引火烧身
  10. 孟晚舟将与美国司法部达成认罪协议 支付罚款 解套回国
  11. 习近平能善罢甘休吗?江泽民胡锦涛养的“唐僧肉”不能放过
  12. 恒大债务危机持续全球经济严阵以待?全在习近平一念之间

相关文章

  1. 习近平向朱立伦抛橄榄枝 贺其当选国民党主席 重申九二共识
  2. 朱立伦击败主张统一的张亚中 国民党主席选举前途堪忧
  3. 美国逮捕俄罗斯天然气集团首席财务官 俄方称不介入该案
  4. 华为欠习近平大人情 孟晚舟发言表忠心 丈夫接机高呼我爱你
  5. 儿童的最爱都不放过!中国动漫剧全网下架 广电总局整顿
  6. 德国选举影响全球 默克尔执政16年给接班人留下一盘棋
  7. 英国政府或终止中企在英核电站的参与 据报接近达成协议
  8. 最糟糕的熊市正快步逼近 罗杰斯:美国的债务会付代价
  9. 曝中国将整合全国稀土商 在南北创建两大巨头 加强定价权
  10. 拜登和习近平可能达成某种和解 孟晚舟案“换囚”是第一步
  11. 孟晚舟案是习近平给拜登布置的作业?两周前通话时已谈妥
  12. 孟晚舟美国庭审情景曝光 一度崩溃掩面痛哭 丈夫提前回国

关于我们 | 使用条款 | 隐私策略 | 联系我们
©2021 时刻新闻 TN20210926092243