2021年09月26日 星期日
農曆辛醜年 八月二十
简体中文
登錄 | 注冊

中國新法強征“零日漏洞”信息 方便中國黑客攻擊海外


2021-09-09 居安 分享到Twitter 分享到Facebook 分享到Telegram | 聽新聞 國語 | 聽新聞 粵語

9月9日,據美國之音報道,中國本月開始施行的數據安全法規強製在華外國公司在發現自身網絡安全漏洞時立刻向北京彙報。外界擔心,這項規定將讓中國在增強自身網絡安全防禦能力的同時,也讓中國黑客輕易獲取發動“零日襲擊”的網絡資源,對外國目標發動攻擊。

何爲零日漏洞?

中國自9月1日開始實施的《數據安全法》要求在中國境內的組織和個人在“發生數據安全事件時”“立即采取處置措施,按照規定及時告知用戶並向有關主管部門報告”。中國工業和信息化部、國家互聯網信息辦公室、公安部出台了相應的《網絡產品安全漏洞管理規定》,要求“網絡產品提供者”必須在2天內向工信部網絡安全威脅和漏洞信息共享平台報送相關漏洞信息,並不得將未公開的網絡產品安全漏洞信息向網絡產品提供者之外的境外組織或者個人提供。

分析指出,由於主流網絡產品在世界各地都被廣泛使用,中國的新法規將讓中國政府提前掌握外國消費者和軍政部門使用的軟件的“零日漏洞”信息,並可能以此發動網絡襲擊。

“零日漏洞”(zero-day vulnerability)指的是網絡產品的軟件設計和製造者對其自身產品不知曉、或者尚無補救措施的技術安全缺陷。黑客常常利用“零日漏洞”對相關目標進行網絡攻擊。

設在以色列特拉維夫的check point軟件技術公司網絡研究總監雅尼夫•巴爾馬斯(yaniv balmas)通過電子郵件對美國之音說:“零日漏洞是幾乎所有網絡攻擊武器的基礎,它們是可以成爲武器的產品或服務中發現的安全漏洞。例如,安卓系統中的零日漏洞可能讓攻擊者通過遠程進入妳的整個手機。”

巴爾馬斯說,網絡安全研究界目前的標準流程是私下向供應商報告此類漏洞,並讓他們有足夠的時間在與其他人共享信息之前解決這些漏洞。例如,如果智能手機的安卓系統出了漏洞問題,谷歌公司會在第壹時間得以知曉。

“如果中國政府能在谷歌獲得信息之前或同時獲得信息,他們將有壹個合適的時間窗口,在谷歌有機會解決問題之前將(零日漏洞信息)化作壹種武器。這問題很嚴重。”巴爾馬斯說。

強製零日漏洞信息2日彙報 中國黑客新武器?

網絡安全專家說,許多國家的政府都會想方設法獲取零日漏洞信息。但中國通過實施新法,獲取網絡“零日漏洞”信息不費吹灰之力。

美國退休高級情報官員、中國情報事務專家尼古拉斯·埃菲迪米亞德斯(nicholas eftimiades)說,從全局角度要求境內網絡產品提供商報告零日漏洞的做法,是“中國這樣的獨裁國家能夠施行的”。

“它可以用來保護中國的網絡,也可以在全球……爲中國共產黨的進攻計劃尋找漏洞。” 埃菲迪米亞德斯對美國之音說:“這種信息本身是所有政府都希望得到的,因爲這有助於他們保護自己的產業和經濟,對中國政府來說也是如此。但基本的現實情況是是,中國政府也會利用它攻擊外國產業和政府。”

埃菲迪米亞德斯說,中國政府“毫無疑問”會將他人主動上交的零日漏洞信息作爲網絡進攻武器。“他們(中國政府)的網絡間諜計劃非常活躍,通過網絡行動進行的經濟間諜活動也很活躍。”

他說,發展這樣的間諜項目,可能是中國要求境內研究人員和科技公司在第壹時間披露漏洞信息的驅動力之壹。

由於修補技術漏洞的所需時間較長,中國的“2日彙報”機製可能給北京足夠的時間優勢,讓黑客製造出可用於襲擊外國目標的零日進攻武器。

美國防務新聞網站defense one說,科技公司在發現零日漏洞後發布修補程序所需時間至少要60天,有的多達200天。例如,微軟的郵件系統漏洞在1月6日被發現後,該公司在3月2日才發布補丁。在這壹時間段中,利用這壹漏洞的進攻劇增。

埃菲迪米亞德斯說,可能成爲中國黑客零日漏洞攻擊的目標包括主流軟件,例如微軟、亞馬遜這些被廣泛綜合使用的雲技術產品和平台,也包括使用這些軟件的關鍵產業部門。

“這裏有兩個部分,第壹是所有行業都綜合應用的網絡和軟件本身——航空航天行業和生物技術行業都使用同壹個微軟,所以這是第壹。第二個部分是中國網絡情報搜集項目的優先目標,他們最積極地瞄準哪些行業?正好是航空航天、生物技術行業以及信息技術行業。”

零日漏洞信息被各國使用

美國政府公開指責中國國家安全部門利用黑客在全球進行網絡入侵行動,其中包括今年叁月微軟電子郵件系統(microsoft exchange)服務器被黑事件。這次事件就是“零日攻擊”的典型例證。

微軟和外部的獨立研究人員公開表示,與中國相關的網絡間諜組織利用微軟郵件服務器軟件漏洞,遠程入侵電子郵件。

中國壹直否認或拒絕正面回應是否參與此類黑客入侵活動。中國外交部發言人3月3日對中國黑客涉嫌襲擊微軟的事件回應說,中國堅決反對並依法打擊任何形式的網絡攻擊和網絡竊密行爲,稱不應“無端猜測指責”,要“基於充分證據”定性網絡事件。

分析人員在擔憂中國政府零日攻擊能力增強的同時也指出,許多國家的情報機構都在積極獲取零日資源。

據路透社2013年報道,美國情報機構在灰色市場通過承包商大手筆采購網絡技術漏洞信息和攻擊工具,美國政府被指責助長黑客工具交易、也被批評過度依賴攻擊型網絡策略,而不是將網絡漏洞信息與使用者分享。

以色列check point網絡安全公司的研究主管巴爾馬斯說:“當然,幾乎每壹個政府都在內部利用這類操作——例如,雇傭不斷尋找漏洞的研究人員。但中國現在強迫其他所有人‘爲他們打工’的事實使他們具備了比其他人更顯著的優勢,並且可以將力量平衡轉移到他們壹邊。”

前情報官員埃菲迪米亞德斯強調,網絡產品不僅僅爲商業部門使用。“這讓全球所有人都變得容易受到攻擊。所以這就變成了壹場競賽。這部法律讓中國政府、讓中國共產黨在這場競賽的跑道上擁有第壹優勢。”

以色列網絡安全專家巴爾馬斯說:“我們隻能猜測其他大國將如何應對這壹行爲,以及這是否會讓我們的互聯網更加安全還是更不安全。“



聲明:聲明:時刻新聞編輯發布的文章並不代表時刻新聞的立場或觀點。時刻新聞的宗旨是努力爲讀者提供多源化的信息和觀點,同時也歡迎讀者在時刻新聞評論區分享個人觀點。





一周最热
  1. 孟晚舟获释回国 中美重启关键一步 习近平谋划已久拜登低头
  2. 人质交换!孟晚舟乘中国政府专机回国 两名加拿大人被释放
  3. 江泽民突然“现身” 中秋节祝福字条流出 敏感时期传递信号?
  4. 习近平为二十大准备了4套剧本保权位 最坏情况台海开战
  5. 孟晚舟听证会结束将获释 纽时:标志着拜登向习近平低头
  6. 孟晚舟回国宣传战打响 全球见识到习近平和中共的野蛮手段
  7. 加拿大大选结果出炉 特鲁多获胜 自由党未赢得多数席位
  8. 习近平的房地产赌局 对恒大和许家印极限施压 吃了的吐出来
  9. 习近平的权力路多谢陈良宇 陈保护民众利益救下属引火烧身
  10. 孟晚舟将与美国司法部达成认罪协议 支付罚款 解套回国
  11. 习近平能善罢甘休吗?江泽民胡锦涛养的“唐僧肉”不能放过
  12. 恒大债务危机持续全球经济严阵以待?全在习近平一念之间

相關文章

  1. 习近平向朱立伦抛橄榄枝 贺其当选国民党主席 重申九二共识
  2. 朱立伦击败主张统一的张亚中 国民党主席选举前途堪忧
  3. 美国逮捕俄罗斯天然气集团首席财务官 俄方称不介入该案
  4. 华为欠习近平大人情 孟晚舟发言表忠心 丈夫接机高呼我爱你
  5. 儿童的最爱都不放过!中国动漫剧全网下架 广电总局整顿
  6. 德国选举影响全球 默克尔执政16年给接班人留下一盘棋
  7. 英国政府或终止中企在英核电站的参与 据报接近达成协议
  8. 最糟糕的熊市正快步逼近 罗杰斯:美国的债务会付代价
  9. 曝中国将整合全国稀土商 在南北创建两大巨头 加强定价权
  10. 拜登和习近平可能达成某种和解 孟晚舟案“换囚”是第一步
  11. 孟晚舟案是习近平给拜登布置的作业?两周前通话时已谈妥
  12. 孟晚舟美国庭审情景曝光 一度崩溃掩面痛哭 丈夫提前回国

關于我們 | 使用條款 | 隱私策略 | 聯系我們
©2021 時刻新聞 TN20210926120957