黑客攻擊電腦網絡系統示意圖(路透社)
中國本月開始施行的數據安全法規強制在華外國公司在發現自身網絡安全漏洞時立刻向北京匯報。外界擔心,這項規定將讓中國在增強自身網絡安全防禦能力的同時,也讓中國黑客輕易獲取發動「零日襲擊」的網絡資源,對外國目標發動攻擊。
何為零日漏洞?
中國自9月1日開始實施的《數據安全法》要求在中國境內的組織和個人在「發生數據安全事件時」「立即採取處置措施,按照規定及時告知用戶並向有關主管部門報告」。中國工業和信息化部、國家互聯網信息辦公室、公安部出台了相應的《網絡產品安全漏洞管理規定》,要求「網絡產品提供者」必須在2天內向工信部網絡安全威脅和漏洞信息共享平台報送相關漏洞信息,並不得將未公開的網絡產品安全漏洞信息向網絡產品提供者之外的境外組織或者個人提供。
分析指出,由於主流網絡產品在世界各地都被廣泛使用,中國的新法規將讓中國政府提前掌握外國消費者和軍政部門使用的軟件的「零日漏洞」信息,並可能以此發動網絡襲擊。
「零日漏洞」(zero-day vulnerability)指的是網絡產品的軟件設計和製造者對其自身產品不知曉、或者尚無補救措施的技術安全缺陷。黑客常常利用「零日漏洞」對相關目標進行網絡攻擊。
設在以色列特拉維夫的Check Point軟件技術公司網絡研究總監雅尼夫•巴爾馬斯(Yaniv Balmas)通過電子郵件對美國之音說:「零日漏洞是幾乎所有網絡攻擊武器的基礎,它們是可以成為武器的產品或服務中發現的安全漏洞。例如,安卓系統中的零日漏洞可能讓攻擊者通過遠程進入你的整個手機。」
巴爾馬斯說,網絡安全研究界目前的標準流程是私下向供應商報告此類漏洞,並讓他們有足夠的時間在與其他人共享信息之前解決這些漏洞。例如,如果智能手機的安卓系統出了漏洞問題,谷歌公司會在第一時間得以知曉。
「如果中國政府能在谷歌獲得信息之前或同時獲得信息,他們將有一個合適的時間窗口,在谷歌有機會解決問題之前將(零日漏洞信息)化作一種武器。這問題很嚴重。」巴爾馬斯說。
強制零日漏洞信息2日匯報中國黑客新武器?
網絡安全專家說,許多國家的政府都會想方設法獲取零日漏洞信息。但中國通過實施新法,獲取網絡「零日漏洞」信息不費吹灰之力。
美國退休高級情報官員、中國情報事務專家尼古拉斯·埃菲迪米亞德斯(Nicholas Eftimiades)說,從全局角度要求境內網絡產品提供商報告零日漏洞的做法,是「中國這樣的獨裁國家能夠施行的」。
「它可以用來保護中國的網絡,也可以在全球……為中國共產黨的進攻計劃尋找漏洞。」埃菲迪米亞德斯對美國之音說:「這種信息本身是所有政府都希望得到的,因為這有助於他們保護自己的產業和經濟,對中國政府來說也是如此。但基本的現實情況是是,中國政府也會利用它攻擊外國產業和政府。」
埃菲迪米亞德斯說,中國政府「毫無疑問」會將他人主動上交的零日漏洞信息作為網絡進攻武器。「他們(中國政府)的網絡間諜計劃非常活躍,通過網絡行動進行的經濟間諜活動也很活躍。」
他說,發展這樣的間諜項目,可能是中國要求境內研究人員和科技公司在第一時間披露漏洞信息的驅動力之一。
由於修補技術漏洞的所需時間較長,中國的「2日匯報」機制可能給北京足夠的時間優勢,讓黑客製造出可用於襲擊外國目標的零日進攻武器。
美國防務新聞網站Defense One說,科技公司在發現零日漏洞後發佈修補程序所需時間至少要60天,有的多達200天。例如,微軟的郵件系統漏洞在1月6日被發現後,該公司在3月2日才發佈補丁。在這一時間段中,利用這一漏洞的進攻劇增。
埃菲迪米亞德斯說,可能成為中國黑客零日漏洞攻擊的目標包括主流軟件,例如微軟、亞馬遜這些被廣泛綜合使用的雲技術產品和平台,也包括使用這些軟件的關鍵產業部門。
「這裏有兩個部分,第一是所有行業都綜合應用的網絡和軟件本身——航空航天行業和生物技術行業都使用同一個微軟,所以這是第一。第二個部分是中國網絡情報搜集項目的優先目標,他們最積極地瞄準哪些行業?正好是航空航天、生物技術行業以及信息技術行業。」
零日漏洞信息被各國使用
美國政府公開指責中共國家安全部門利用黑客在全球進行網絡入侵行動,其中包括今年三月微軟電子郵件系統(Microsoft Exchange)伺服器被黑事件。這次事件就是「零日攻擊」的典型例證。
微軟和外部的獨立研究人員公開表示,與中共相關的網絡間諜組織利用微軟郵件伺服器軟件漏洞,遠程入侵電子郵件。
分析人員在擔憂中國政府零日攻擊能力增強的同時也指出,許多國家的情報機構都在積極獲取零日資源。
據路透社2013年報道,美國情報機構在灰色市場通過承包商大手筆採購網絡技術漏洞信息和攻擊工具,美國政府被指責助長黑客工具交易、也被批評過度依賴攻擊型網絡策略,而不是將網絡漏洞信息與使用者分享。
以色列Check Point網絡安全公司的研究主管巴爾馬斯說:「當然,幾乎每一個政府都在內部利用這類操作——例如,僱傭不斷尋找漏洞的研究人員。但中國現在強迫其他所有人『為他們打工』的事實使他們具備了比其他人更顯著的優勢,並且可以將力量平衡轉移到他們一邊。」
前情報官員埃菲迪米亞德斯強調,網絡產品不僅僅為商業部門使用。「這讓全球所有人都變得容易受到攻擊。所以這就變成了一場競賽。這部法律讓中國政府、讓中國共產黨在這場競賽的跑道上擁有第一優勢。」
以色列網絡安全專家巴爾馬斯說:「我們只能猜測其他大國將如何應對這一行為,以及這是否會讓我們的互聯網更加安全還是更不安全。「