中共擅改行业规则 要黑客上交漏洞给安全部
【大澳门威尼斯人赌场官网2018年03月30日讯】(大澳门威尼斯人赌场官网记者林燕综合报导)英国《金融时报》近日报导说,中共要求本国黑客缺席全球黑客大赛。一年一度的Pwn2Own黑客大赛上过去基本上全是中国人,他们囊括了所有竞赛大奖,但今年几乎没有中国人参赛。
原因是中共间谍机构要求中国黑客向安全部或涉事公司报告其发现的漏洞。报导援引网络安全专家的话说,中共的这一指示意在扩大中共掌握的情报储备,如同把母鸡放到狐狸堆里。
“显然这与当地控制有关。”美国网络情报公司Recorded Future联合创始人、首席执行官阿尔伯格(Christopher Ahlberg)说,“漏洞可能是软件中的问题,但它们也是在软件身上安装后门的机会。”
报导指,中共方面目前正试图收紧对科技和信息的控制,而中共国家安全部下达的指示更意味着中共正在采取一种日益孤立主义的科技路线。
中国黑客突然集体缺席顶级黑客大赛
黑客是发现全球软件漏洞的重要参与者,借助他们发现的漏洞,全球软件供应商可在漏洞遭网络犯罪分子利用前进行修补。
据网络安全公司FireEye称,谷歌(Google)、苹果(Apple)、微软(Microsoft)等美国跨国科技公司的一些漏洞是由中国黑客发现的。
尽管中共政府未发布正式的禁止本国黑客参赛的文件,但中国选手已确认缺席3月举行的Pwn2Own黑客大赛、还有上周在新加坡举行的“黑帽网络安全大会”(Black Hat)。
Pwn2Own黑客大赛是世界顶级黑客大赛之一,一年举行一次。
要求黑客上报漏洞 如同把鸡送给狐狸
FireEye首席技术官博兰(Bryce Boland)证实:“中国黑客接到(中共)的指示,要求他们不再参加公开披露漏洞的赛事。”
此举引发国外同行的关注,并担忧这会造成“重大威胁”。阿尔伯格表示,现在中国黑客只能把发现的漏洞上报给软件供应商或安全部,而中共安全部“可能会通知供应商,也可能不通知”。
《金融时报》的报导指,从中共国家信息安全漏洞库(CNNVD)已能在一定程度上看出中共安全部的立场。国家信息安全漏洞库收录了各种软件产品的已知漏洞。
根据Recorded Future的分析,中共国家信息安全漏洞库改动了至少267个漏洞的发布日期。该公司表示,这一滞后凸显出中共安全部“很可能会考虑将(这些已查证的漏洞)用于攻击性网络行动”。
博兰也表示,如果阻止黑客参加公开赛事的目的是让黑客直接向国家信息安全漏洞库上报,这将造就出一个“重大威胁”,因为中国黑客将拥有利用大量漏洞的空间。
“这就像是把漏洞库放在美国中央情报局(CIA)一样。”阿尔伯格拿美国的情报机构来比喻。“实际上是把母鸡放在狐狸堆里。这就是这里面存在的政策问题,但它们已经这么做了,理由很充分:它们想要完全地控制。”
美起诉三名黑客 疑与中共情报机构有关
外界的担忧并非空穴来风,中共利用黑客入侵美国公司早已是公开的秘密。
早在2017年11月,美国对三名中国公民提起诉讼,罪名是利用黑客手段入侵穆迪、西门子和全球定位系统(GPS)制造商天宝(Trimble)。
遭美司法部起诉的三人吴英卓(音译)、董浩(音译)和夏磊(音译),均供职于中国网络安全企业广州博御信息技术有限公司(Boyusec)。
美方指控他们涉嫌用带有附件和恶意软件链接的鱼叉式网络钓鱼邮件入侵美公司的网络。当这些公司的员工点击邮件中的链接时,黑客就能访问该公司的电脑、搜寻
Recorded Future在2017年的报告中指出,博御是中共政府的承包商,与被称为APT3的黑客组织有关联。美司法部的报告更是表示:“博御有开发恶意技术和与中共情报部门合作的记录。”#
责任编辑:林妍