駭客找軟體漏洞 中共:先交給安全部
英國《金融時報》近日報導指出,中共要求中國駭客缺席全球駭客大賽。一年一度的Pwn2Own駭客大賽上過去基本上全是中國人,他們囊括了所有競賽大獎,但今年幾乎沒有中國人參賽。
陸駭客集體缺席頂級駭客大賽
駭客是發現全球軟體漏洞的重要參與者,藉助他們發現的漏洞,全球軟體商可在漏洞遭網路犯罪分子利用前進行修補。據網路安全公司FireEye稱,谷歌(Google)、蘋果(Apple)、微軟(Microsoft)等美國跨國科技公司的一些漏洞,是由中國駭客發現的。
儘管中共政府未發布正式的、禁止本國駭客參賽的文件,但中國選手已確認缺席3月舉行的Pwn2Own駭客大賽、還有上週在新加坡舉行的「黑帽網路安全大會」(Black Hat)。Pwn2Own駭客大賽是世界頂級駭客大賽之一,一年只舉行一次。
FireEye首席技術官博蘭(Bryce Boland)證實:「中國駭客接到(中共)的指示,要求他們不再參加公開披露漏洞的賽事。」
此舉引發國外同行的關注,並擔憂這會造成「重大威脅」。美國網路情報公司Recorded
Future聯合創始人阿爾伯格(Christopher
Ahlberg)表示,現在中國駭客只能把發現的漏洞上報給軟體供應商或安全部,而中共安全部「可能會通知供應商,也可能不通知」。
報導援引網路安全專家的話說,中共的這一指示,意在擴大中共掌握的情報儲備,如同把母雞放到狐狸堆裡。阿爾伯格說,「漏洞可能是軟體中的問題,但它們也是在軟體身上安裝後門的機會。」
《金融時報》的報導指,從中共國家資訊安全漏洞庫(CNNVD)已能在一定程度上看出中共安全部的立場。國家資訊安全漏洞庫收錄了各種軟體產品的已知漏洞。
根據Recorded Future的分析,中共國家資訊安全漏洞庫改動了至少267個漏洞的發布日期。該公司表示,這個延緩發布日期的做法,突顯出中共安全部「很可能會考慮將(這些已查證的漏洞)用於攻擊性網路行動」。
博蘭也表示,如果阻止駭客參加公開賽事的目的是讓駭客直接向國家資訊安全漏洞庫上報,這將造就出一個「重大威脅」,因為中國駭客將擁有利用大量漏洞的空間。◇