美国会报告:中共将“物联网漏洞”武器化
【大澳门威尼斯人赌场官网2018年10月30日讯】(大澳门威尼斯人赌场官网记者张婷报导)与人类生活息息相关的物联网(IoT),正在成为全球网络基础设施的下一个前沿,也是中共“中国制造2025”计划的重点项目。美国国会下属的USCC近日发表报告说,中共投巨资进行物联网安全研究,旨在利用其安全漏洞进行情报搜集和网络攻击行动,以及加强国内监控力。
美中经济和安全审查委员会(USCC)发布一份长达200多页的调查报告,从多方面分析了中共在物联网领域大力投资的目的。调查不仅披露中国物联网安全漏洞研究中中共公安部的角色,同时还披露中共已经将“对物联网漏洞的利用”武器化,进行攻击性行动和间谍行动,而中共国安部正是这一伎俩的背后操手。
报告警告说,物联网中固有的各种安全挑战以及不良行为者增加对物联网安全漏洞的利用,可能会对物联网设备和网络终端用户及运营商带来极为负面的、各种不同的后果。
报告举例说,除了工业控制系统之外,未授权入侵医疗装置可杀死病人;利用智能汽车的弱点可杀死司机和行人等,这些都是数据和装置滥用可能带来悲惨后果的例子。未来,未授权访问物联网设备所带来的潜在破坏性似乎无限。
由于其在所有经济领域的潜在使用价值,分析师预计物联网将在未来几年呈指数级增长。最终会涉及到全球数十亿的连结设备。
但是,有关物联网运营和安全的紧迫问题尚未得到解答,包括物联网的安全性以及其漏洞所带来的风险是什么。
中共发展物联网的战略
物联网对全球经济的潜在影响促使中共在2009年将其定为优先发展领域。中共随后采取措施,通过强有力的规划举措和广泛的财政支持,促进国内物联网研发和基础设施发展。
USCC的报告指出,中共推动物联网开发的政策包括为物联网研发提供大量财政支持,限制外国投资,选择性执行中共法律以阻止外国物联网公司在中国的运营,以及利用技术转让等。
报告还说,中共正在举全国之力企图在物联网安全研究上取得巨大成就。其战略是,中共高层指示创建一个由政府投资和进行机构建设,推动私营部门研发、军民融合的生态系统,来进行物联网安全研究。这种战略和在其它几个关键信息领域的战略一样,中共认为,自上而下的财政支出是能弥补回来的,因为这样的投资从长远来看会使其得到战略、军事和情报机遇。
报告说,这些政策给美国公司与其它外国公司在物联网领域的竞争带来严峻的挑战。美国公司必须意识到中共政府把他们看成是战略对手。中共可能会采取保护主义和不公平贸易行为来支持其自己的物联网公司而不是外国竞争对手,从而为外国公司创造一个严峻且敌对的市场环境。
利用物联网漏洞企图实现未经授权访问
报告指出,中共在积极研究物联网的漏洞,既出于安全目的,也是为了收集情报,对实施网络攻击,进行网络侦察,并增强其国内监控能力。
报告说,几乎可以肯定的是,中共的物联网安全研究正在被用来加强中国国内大规模监视能力,由中共公安部下属的一些研究机构完成。来自公安部第一研究所的研究人员强调,利用物联网边缘计算来管理公安设备收集的大量数据。公安部第三研究所还设有一个物联网技术研发中心和一个渗透测试中心。
报告说,证据显示,公安部的研究机构积极参与了物联网安全研究,这很可能会加剧对物联网设备未经授权的访问,还可能使得公安部能够积极利用物联网安全漏洞执行任务。
虽然国家计划的官方声明表明中共非常重视提高中国物联网生态系统的安全性,但中共对物联网安全研究的支持加强了研究的双重用途:不仅可以保护中国设备免受未经授权访问,还可以使中共政府能够组织对全球物联网设备进行未授权访问。
研究表明,中共正在利用物联网安全研究来实现未经授权的访问。报告说,西方国家安全研究人员的研究显示,中共国安部已经率先将“对物联网漏洞的利用”武器化,执行攻击性和间谍行动。
报告还列举了一个中共利用物联网漏洞进行攻击的例子。近年来攻击物联网装置最复杂的恶意软体之一“Reaper”,就是利用各种物联网设备中的漏洞进行非法链接。以色列网络安全专业人员在对“Reaper”僵尸网络的分析中提供的证据强烈表明,“Reaper”僵尸是由一个位于中国的APT组织所控制,并且控制“Reaper”的组织和已被确认的中共黑客组织“APT18”是同一个组织。
西方国家的一些分析指,“APT18”背后的操手也与2015年美国医疗保险公司遭骇客攻击有关联,最有可能是中共国安部的一个单位。美国安全专家也指出,“APT18”和中共有关联。
这种攻击对美国物联网的敏感数据构成直接威胁。
中共为何争相设定国际技术标准
报告披露,中共政府正积极在物联网领域的国际标准制定委员会中寻求更大影响力,企图主导有关领域的国际发展走向。这将会影响到美国和欧洲未来在有关机构的话语权,并将以牺牲美国和其它外国同行的利益为前提,使中企受益。
参与建立国际技术标准会带来很多好处。报告说,一旦哪个国家建立全球标准并被接受,就会对制定其它标准的国家或公司施加压力去符合现有的国际标准。从安全角度来看,被采纳成为国际标准的优势还会更大,因为作为标准技术的创始人,对技术的内外操作都有着深入了解。中共在物联网领域野心勃勃,加大力度试图影响和制定国际物联网标准,这是中共以国家指导计划来实现在物联网领域主导作用的关键部分。
报告指出,中共目前正在利用比美国更加全面的战略来影响物联网的相关标准,而美国实体往往在重要的国际标准化流程中缺席。结果,对于一些国际标准的制定,美国的输入有所减少。相反,中共正在加大其对国际标准化的参与。在高层上,中共增加了在国际标准机构的参与。在低层上,中共正在利用国家经济,国家对新技术的投资,以及国家补贴的外交政策倡议,如“一带一路倡议”,来推动其它国家采用其技术,以及其标准。
USCC建议说,为了解决中共积极追求国际技术标准,确保美国在物联网和其它相关行业的领导地位和优势,美国政府应该对中共的国际标准工作进行额外报告和研究;通过增加资金和激励措施,鼓励更多的美国公司参与到国际标准制定委员会。
中共的物联网研究对美国的威胁
报告指出,中共对物联网主导地位的追求对美国经济和国家安全利益构成重大挑战。中共在国际标准制定委员会的积极参与给了北京更大机会来主导标准的制定方向。
报告认为,中共对美国消费者的授权访问和未授权访问都会给美国人的隐私权构成严重威胁。
报告说,随着中国物联网公司利用其在生产和成本方面的优势来取得美国的市场份额,其授权访问美国消费者的物联网数据只会增加。中共政府和监视机构使自己有权从中国公司获得物联网数据,超出了公认的国际规范。以下四种主要方式使中共有机会获得美国物联网数据:
- 在用户层面上,中国公司只需通过让美国消费者使用他们的物联网产品就可获得美国数据。因为美国用户在使用这些产品时往往必须选择同意“使用条款”,这实际在授权中国公司搜集和传输数据。
- 通过设备制造和设计过程进行设备级访问,为中国公司提供了收集大规模更多信息的机会。
- 在公司层面,中国公司可以购买美国物联网公司及他们所积累的数据,或通过第三方供应商等途径购买美国数据。
- 中共政府的数据拨用权可以使美国的物联网数据暴露给中共政府搜集机构。
报告还说,物联网产品的广泛采用和中共对物联网漏洞利用的研究相结合,增加了美国物联网设备及其连接的网络未经授权访问威胁。这种未经授权的访问可能对美国国家安全和经济影响造成重大影响,从敏感的消费者数据的窃取,到瞄准美国官员的情报搜集。任何这些后果都可能为中国公司或中共政府带来显着竞争优势。从短期来看,中共政府和企业能够访问美国数据将为中共情报行动带来巨大机遇。从长远来看,获取美国数据将为中共人工智能发展提供一个重要优势,最终使得中共在另一个有望塑造未来的经济领域中获得经济优势。
为了应对中共对物联网漏洞的潜在利用并保护美国设备免受中共国家和非国家威胁,美国政府应该增加对物联网安全研究的资助和支持;记录那些实施物联网安全研究,并受中共军队和安全部门支持的中国实体;彻底改变对中企投资美国物联网业的监管流程。
美国可以通过合理的政策来打击或削弱中共在许多领域的挑战。但报告也指出,美国保护自己和其公民的利益并非易事。一个原因是,一党专制的中共政权会向所有中国物联网公司索取这些公司所收集的数据,包括来自美国消费者的数据。虽然理论上美国政府可以阻止美国公司向中国实体交出他们所掌握的数据,但却难以阻止中共政府从中国公司手里获得数据信息。
这一现实要求美国对这些挑战有一个清晰的认识,需要华盛顿、美国私营部门的创新能力以及与美国在国外盟友更大的协调。
报告指出,中共对物联网安全漏洞的利用仍在加速。在今年7月美国总统川普与俄罗斯总统普京在芬兰赫尔辛基会面前夕,来自中国的针对芬兰物联网设备的攻击急遽增加。报告显示,这一攻击旨在对能够收集声音或视频情报的设备获取访问和控制权。
报告说,虽然目前中国庞大的市场规模,生产能力和政府支持提供了一些显着的优势,但中共在许多物联网技术方面仍落后于国际领先水平。因此,美国公司和美国政府仍有时间保持技术优势,并影响未来的物联网发展,及其标准的制定和推出。#
责任编辑:林妍