2021年9月9日

 

中國本月開始施行的資料安全法規強制在華外國公司在發現自身網路安全性漏洞時立刻向北京彙報。外界擔心，這項規定將讓中國在增強自身網路安全防禦能力的同時，也讓中國駭客輕易獲取發動“零日襲擊”的網路資源，對外國目標發動攻擊。

 

何為零日漏洞？

中國自9月1日開始實施的《資料安全法》，要求在中國境內的組織和個人在“發生資料安全事件時”“，立即採取處置措施，按照規定及時告知用戶並向有關主管部門報告”。中國工業和資訊化部、國家互聯網資訊辦公室、公安部公布了相應的《網路產品安全性漏洞管理規定》，要求“網路產品提供者”必須在2天內向工信部網路安全威脅和漏洞資訊共用平臺報送相關漏洞資訊，並不得將未公開的網路產品安全性漏洞資訊向網路產品提供者之外的境外組織或者個人提供。

分析指出，由於主流網路產品在世界各地都被廣泛使用，中國的新法規將讓中國政府提前掌握外國消費者和軍政部門使用的軟體的“零日漏洞”資訊，並可能以此發動網路襲擊。

“零日漏洞”（zero-day vulnerability）指的是網路產品的軟體設計和製造者對其自身產品不知曉、或者尚無補救措施的技術安全缺陷。駭客常常利用“零日漏洞”對相關目標進行網路攻擊。

 

設在以色列特拉維夫的Check Point軟體技術公司網路研究總監雅尼夫•巴爾馬斯（Yaniv Balmas）通過電子郵件對美國之音說：“零日漏洞是幾乎所有網路攻擊武器的基礎，它們是可以成為武器的產品或服務中發現的安全性漏洞。例如，安卓系統中的零日漏洞可能讓攻擊者通過遠端進入你的整個手機。”

巴爾馬斯說，網路安全研究界目前的標準流程是私下向供應商報告此類漏洞，並讓他們有足夠的時間在與其他人共用資訊之前解決這些漏洞。例如，如果智慧手機的安卓系統出了漏洞問題，谷歌公司會在第一時間得以知曉。

“如果中國政府能在谷歌獲得資訊之前或同時獲得資訊，他們將有一個合適的時間視窗，在谷歌有機會解決問題之前將（零日漏洞資訊）化作一種武器。這問題很嚴重。”巴爾馬斯說。

 

強制零日漏洞資訊2日彙報，中國駭客新武器？

網路安全專家說，許多國家的政府都會想方設法獲取零日漏洞資訊。但中國通過實施新法，獲取網路“零日漏洞”資訊不費吹灰之力。

美國退休高級情報官員、中國情報事務專家尼古拉斯·埃菲迪米亞德斯（Nicholas Eftimiades）說，從全域角度要求境內網路產品提供商報告零日漏洞的做法，是“中國這樣的獨裁國家能夠施行的”。

“它可以用來保護中國的網路，也可以在全球……為中國共產黨的進攻計畫尋找漏洞。” 埃菲迪米亞德斯對美國之音說：“這種資訊本身是所有政府都希望得到的，因為這有助於他們保護自己的產業和經濟，對中國政府來說也是如此。但基本的現實情況是是，中國政府也會利用它攻擊外國產業和政府。”

 

埃菲迪米亞德斯說，中國政府“毫無疑問”會將他人主動上交的零日漏洞資訊作為網路進攻武器。“他們（中國政府）的網路間諜計畫非常活躍，通過網路行動進行的經濟間諜活動也很活躍。”

他說，發展這樣的間諜專案，可能是中國要求境內研究人員和科技公司在第一時間披露漏洞資訊的驅動力之一。

由於修補技術漏洞的所需時間較長，中國的“2日彙報”機制可能給北京足夠的時間優勢，讓駭客製造出可用於襲擊外國目標的零日進攻武器。

 

美國防務新聞網站Defense One說，科技公司在發現零日漏洞後發佈修補程式所需時間至少要60天，有的多達200天。例如，微軟的郵件系統漏洞在1月6日被發現後，該公司在3月2日才發佈補丁。在這一時間段中，利用這一漏洞的進攻劇增。

埃菲迪米亞德斯說，可能成為中國駭客零日漏洞攻擊的目標包括主流軟體，例如微軟、亞馬遜這些被廣泛綜合使用的雲技術產品和平臺，也包括使用這些軟體的關鍵產業部門。

“這裡有兩個部分，第一是所有行業都綜合應用的網路和軟體本身——航空航太行業和生物技術行業都使用同一個微軟，所以這是第一。第二個部分是中國網路情報搜集專案的優先目標，他們最積極地瞄準哪些行業？正好是航空航太、生物技術行業以及資訊技術行業。”

 

零日漏洞資訊被各國使用

美國政府公開指責中國國家安全部門利用駭客在全球進行網路入侵行動，其中包括今年三月微軟電子郵件系統（Microsoft Exchange）伺服器被黑事件。這次事件就是“零日攻擊”的典型例證。

微軟和外部的獨立研究人員公開表示，與中國相關的網路間諜組織利用微軟郵件伺服器軟體漏洞，遠端入侵電子郵件。

中國一直否認或拒絕正面回應是否參與此類駭客入侵活動。中國外交部發言人3月3日對中國駭客涉嫌襲擊微軟的事件回應說，中國堅決反對並依法打擊任何形式的網路攻擊和網路竊密行為，稱不應“無端猜測指責”，要“基於充分證據”定性網路事件。

 

分析人員在擔憂中國政府零日攻擊能力增強的同時也指出，許多國家的情報機構都在積極獲取零日資源。

據路透社2013年報導，美國情報機構在灰色市場通過承包商大手筆採購網路技術漏洞資訊和攻擊工具，美國政府被指責助長駭客工具交易、也被批評過度依賴攻擊型網路策略，而不是將網路漏洞資訊與使用者分享。

以色列Check Point網路安全公司的研究主管巴爾馬斯說：“當然，幾乎每一個政府都在內部利用這類操作——例如，雇傭不斷尋找漏洞的研究人員。但中國現在強迫其他所有人‘為他們打工’的事實使他們具備了比其他人更顯著的優勢，並且可以將力量平衡轉移到他們一邊。”

 

前情報官員埃菲迪米亞德斯強調，網路產品不僅僅為商業部門使用。“這讓全球所有人都變得容易受到攻擊。所以這就變成了一場競賽。這部法律讓中國政府、讓中國共產黨在這場競賽的跑道上擁有第一優勢。”

以色列網路安全專家巴爾馬斯說：“我們只能猜測其他大國將如何應對這一行為，以及這是否會讓我們的互聯網更加安全還是更不安全。“