|
|---|
|
|
|
|
|
|
P****R
发帖数: 22479 | 1 网络安全专家表示,中国的间谍机构已指示本国黑客不要参加全球黑客大赛,而要向安
全部或涉事公司报告其发现的任何漏洞。北京方面目前正试图收紧对科技和信息的控制。
中国国家安全部下达这一指示之际,中国正在采取一种日益孤立主义的科技路线。专家
表示,这一指示意在扩大中国掌握的情报储备。
“显然这与本地控制有关。”美国网络情报公司Recorded Future联合创始人、首席执
行官克里斯托弗•阿尔伯格(Christopher Ahlberg)说,“漏洞可能是软件中的问
题,但它们也是在软件身上安后门的机会。”
此举是中国为确保对科技和信息的控制所采取的最新尝试。此前,中国还出台了一些措
施,包括《中国制造2025》(一项调整中国产业政策的计划),以及去年出台的、要求
外国企业在本地存储数据和允许中国安全机构监控数据的网络安全法。
这一指示还使得一些重要的参与者缺席一种全球流行的发现漏洞的方式。借助这种方式
,软件供应商可在漏洞遭网络犯罪分子利用前修补它们。
腾讯科恩实验室(Keen Security Lab of Tencent)隶属于中国科技巨头腾讯(Tencent)
,曾成功入侵特斯拉(Tesla)的汽车,促使特斯拉修复漏洞。此外,据网络安全公司
FireEye称,谷歌(Google)、苹果(Apple)、微软(Microsoft)等美国跨国科技公司的一
些漏洞也是由中国黑客发现的。腾讯没有回应置评请求。
尽管中国政府相关网站上并未发布任何正式命令,但中国选手缺席了本月举行的一年一
度的Pwn2Own黑客大赛和上周在新加坡举行的“黑帽网络安全大会”(Black Hat)。
FireEye首席技术官布赖斯•博兰(Bryce Boland)说:“他们接到指示,要求他们
不再参加公开披露漏洞的赛事。”
“过去Pwn2Own大赛上基本上全是中国人,他们赢得了所有的竞赛,但这一次几乎没有
中国人参赛,”阿尔伯格补充称。现在中国黑客只能把发现的漏洞上报给软件供应商或
安全部,而安全部“可能会通知供应商,也可能不通知”。
从中国国家信息安全漏洞库(CNNVD)可以在一定程度上看出安全部的立场。国家信息安
全漏洞库收录了各种软件产品的已知漏洞。Recorded Future的分析表明,国家信息安
全漏洞库改动了至少267个漏洞的发布日期——该公司表示,这一滞后凸显出安全部“
很可能会考虑将(这些已查证的漏洞)用于攻击性网络行动”。
博兰表示,如果阻止黑客参加公开赛事的目的是让黑客直接向国家信息安全漏洞库上报
,这将造就出一个“重大威胁”,因为中国黑客将拥有利用大量漏洞的空间。
“这就像是把漏洞库放在美国中央情报局(CIA)一样。”阿尔伯格拿美国的情报机构打
比方说,“你这实际上是把母鸡放在狐狸堆里。这就是这里面存在的政策问题,但他们
已经这么做了,理由很充分:他们想要完全的控制。” | x****u
发帖数: 44466 | 2 zero day是暗网上公开标价卖的
制。
【在 P****R 的大作中提到】
: 网络安全专家表示,中国的间谍机构已指示本国黑客不要参加全球黑客大赛,而要向安
: 全部或涉事公司报告其发现的任何漏洞。北京方面目前正试图收紧对科技和信息的控制。
: 中国国家安全部下达这一指示之际,中国正在采取一种日益孤立主义的科技路线。专家
: 表示,这一指示意在扩大中国掌握的情报储备。
: “显然这与本地控制有关。”美国网络情报公司Recorded Future联合创始人、首席执
: 行官克里斯托弗•阿尔伯格(Christopher Ahlberg)说,“漏洞可能是软件中的问
: 题,但它们也是在软件身上安后门的机会。”
: 此举是中国为确保对科技和信息的控制所采取的最新尝试。此前,中国还出台了一些措
: 施,包括《中国制造2025》(一项调整中国产业政策的计划),以及去年出台的、要求
: 外国企业在本地存储数据和允许中国安全机构监控数据的网络安全法。
| T*******1
发帖数: 2 | 3 越来越觉得墙国是人类的灾难。本来以中国人的聪明才智很可以平稳发展的 | h**c
发帖数: 1979 | |
|
|
|
|
|
|
