强征网络“零日漏洞”信息 中国新法迫使外国公司“自废武功”?
-
黑客攻击电脑网络系统示意图(路透社)(photo:VOA)华盛顿 - 中国本月开始施行的数据安全法规强制在华外国公司在发现自身网络安全漏洞时立刻向北京汇报。外界担心,这项规定将让中国在增强自身网络安全防御能力的同时,也让中国黑客轻易获取发动“零日袭击”的网络资源,对外国目标发动攻击。
何为零日漏洞?
中国自9月1日开始实施的《数据安全法》要求在中国境内的组织和个人在“发生数据安全事件时”“立即采取处置措施,按照规定及时告知用户并向有关主管部门报告”。中国工业和信息化部、国家互联网信息办公室、公安部出台了相应的《网络产品安全漏洞管理规定》,要求“网络产品提供者”必须在2天内向工信部网络安全威胁和漏洞信息共享平台报送相关漏洞信息,并不得将未公开的网络产品安全漏洞信息向网络产品提供者之外的境外组织或者个人提供。
分析指出,由于主流网络产品在世界各地都被广泛使用,中国的新法规将让中国政府提前掌握外国消费者和军政部门使用的软件的“零日漏洞”信息,并可能以此发动网络袭击。
“零日漏洞”(zero-day vulnerability)指的是网络产品的软件设计和制造者对其自身产品不知晓、或者尚无补救措施的技术安全缺陷。黑客常常利用“零日漏洞”对相关目标进行网络攻击。
设在以色列特拉维夫的Check Point软件技术公司网络研究总监雅尼夫•巴尔马斯(Yaniv Balmas)通过电子邮件对美国之音说:“零日漏洞是几乎所有网络攻击武器的基础,它们是可以成为武器的产品或服务中发现的安全漏洞。例如,安卓系统中的零日漏洞可能让攻击者通过远程进入你的整个手机。”
巴尔马斯说,网络安全研究界目前的标准流程是私下向供应商报告此类漏洞,并让他们有足够的时间在与其他人共享信息之前解决这些漏洞。例如,如果智能手机的安卓系统出了漏洞问题,谷歌公司会在第一时间得以知晓。
“如果中国政府能在谷歌获得信息之前或同时获得信息,他们将有一个合适的时间窗口,在谷歌有机会解决问题之前将(零日漏洞信息)化作一种武器。这问题很严重。”巴尔马斯说。
强制零日漏洞信息2日汇报 中国黑客新武器?
网络安全专家说,许多国家的政府都会想方设法获取零日漏洞信息。但中国通过实施新法,获取网络“零日漏洞”信息不费吹灰之力。
美国退休高级情报官员、中国情报事务专家尼古拉斯·埃菲迪米亚德斯(Nicholas Eftimiades)说,从全局角度要求境内网络产品提供商报告零日漏洞的做法,是“中国这样的独裁国家能够施行的”。
“它可以用来保护中国的网络,也可以在全球……为中国共产党的进攻计划寻找漏洞。” 埃菲迪米亚德斯对美国之音说:“这种信息本身是所有政府都希望得到的,因为这有助于他们保护自己的产业和经济,对中国政府来说也是如此。但基本的现实情况是是,中国政府也会利用它攻击外国产业和政府。”
埃菲迪米亚德斯说,中国政府“毫无疑问”会将他人主动上交的零日漏洞信息作为网络进攻武器。“他们(中国政府)的网络间谍计划非常活跃,通过网络行动进行的经济间谍活动也很活跃。”
他说,发展这样的间谍项目,可能是中国要求境内研究人员和科技公司在第一时间披露漏洞信息的驱动力之一。
由于修补技术漏洞的所需时间较长,中国的“2日汇报”机制可能给北京足够的时间优势,让黑客制造出可用于袭击外国目标的零日进攻武器。
美国防务新闻网站Defense One说,科技公司在发现零日漏洞后发布修补程序所需时间至少要60天,有的多达200天。例如,微软的邮件系统漏洞在1月6日被发现后,该公司在3月2日才发布补丁。在这一时间段中,利用这一漏洞的进攻剧增。
埃菲迪米亚德斯说,可能成为中国黑客零日漏洞攻击的目标包括主流软件,例如微软、亚马逊这些被广泛综合使用的云技术产品和平台,也包括使用这些软件的关键产业部门。
“这里有两个部分,第一是所有行业都综合应用的网络和软件本身——航空航天行业和生物技术行业都使用同一个微软,所以这是第一。第二个部分是中国网络情报搜集项目的优先目标,他们最积极地瞄准哪些行业?正好是航空航天、生物技术行业以及信息技术行业。”
零日漏洞信息被各国使用
美国政府公开指责中国国家安全部门利用黑客在全球进行网络入侵行动,其中包括今年三月微软电子邮件系统(Microsoft Exchange)服务器被黑事件。这次事件就是“零日攻击”的典型例证。
微软和外部的独立研究人员公开表示,与中国相关的网络间谍组织利用微软邮件服务器软件漏洞,远程入侵电子邮件。
中国一直否认或拒绝正面回应是否参与此类黑客入侵活动。中国外交部发言人3月3日对中国黑客涉嫌袭击微软的事件回应说,中国坚决反对并依法打击任何形式的网络攻击和网络窃密行为,称不应“无端猜测指责”,要“基于充分证据”定性网络事件。
分析人员在担忧中国政府零日攻击能力增强的同时也指出,许多国家的情报机构都在积极获取零日资源。
据路透社2013年报道,美国情报机构在灰色市场通过承包商大手笔采购网络技术漏洞信息和攻击工具,美国政府被指责助长黑客工具交易、也被批评过度依赖攻击型网络策略,而不是将网络漏洞信息与使用者分享。
以色列Check Point网络安全公司的研究主管巴尔马斯说:“当然,几乎每一个政府都在内部利用这类操作——例如,雇佣不断寻找漏洞的研究人员。但中国现在强迫其他所有人‘为他们打工’的事实使他们具备了比其他人更显著的优势,并且可以将力量平衡转移到他们一边。”
前情报官员埃菲迪米亚德斯强调,网络产品不仅仅为商业部门使用。“这让全球所有人都变得容易受到攻击。所以这就变成了一场竞赛。这部法律让中国政府、让中国共产党在这场竞赛的跑道上拥有第一优势。”
以色列网络安全专家巴尔马斯说:“我们只能猜测其他大国将如何应对这一行为,以及这是否会让我们的互联网更加安全还是更不安全。“
