中國要求科技公司揭示其產品中的可入侵漏洞
一些外國公司可能會遵守,可能為中國的間諜提供了入侵其客戶的線索。
來源: wired
對於國家支持的黑客行動來說,未修補的漏洞是有價值的彈藥。情報機構和軍隊會在漏洞被揭示時利用它們,從事間諜活動或網絡戰爭,或者花費數百萬美元挖掘新的漏洞,或者從黑客灰市秘密購買漏洞。
但在過去兩年中,中國增加了另一種獲取有關這些漏洞信息的方法:一項法律要求在該國經營的任何網絡技術企業交出這些信息。根據一項新的調查報告,當科技公司發現其產品中的可入侵漏洞時,現在他們必須告訴中國政府機構,該機構在某些情況下會與中國的國家支持黑客分享這些信息。一些證據表明,中國境內運營的外國公司正在遵守這項法律,間接地向中國當局提供了有關可能入侵其客戶的新方法的線索。
今天,大西洋理事會發布了一份報告,報告調查了中國在2021年通過的一項法律的後果,該法旨在改革在中國經營的公司和安全研究人員處理技術產品中的安全漏洞的發現。該法律要求,科技公司在發現或了解其產品中的可入侵漏洞時,必須在兩天內向中國工業和信息化部提供相關信息。然後,該部門將這些漏洞添加到一個名為“網絡安全威脅和漏洞信息共享平台”的數據庫中,該數據庫的英文名稱簡稱為“國家漏洞庫”。
報告的作者們通過研究中國政府對該計劃的描述,繪製了漏洞信息的複雜路徑:數據與其他幾個政府機構共享,包括中國的國家計算機網絡應急響應技術協調中心(CNCERT/CC),這是一個致力於保護中國網絡的機構。但研究人員發現,CNCERT/CC將其報告提供給包括那些致力於利用安全漏洞而不是修補安全漏洞的中國組織在內的技術“合作伙伴”。其中一個合作伙伴是中國國家安全部的北京分局,該機構負責近年來該國最具侵略性的國家支持黑客行動,從間諜活動到破壞性的網絡攻擊。漏洞報告還與上海交通大學和安全公司北京天融信共享,這兩家公司都曾經在中國人民解放軍進行的黑客行動中提供合作。
大西洋理事會全球中國中心的研究員達科塔·凱里說:“一旦這些法規被宣布,就明顯會成為一個問題。”“現在,我們已經能夠顯示,運營這種強制性報告結構的人員與報告漏洞的人員之間存在重疊,他們可以獲得報告的漏洞信息,並進行攻擊性的黑客行動。”
考慮到修補技術產品中的漏洞通常需要比中國法律規定的兩天的披露期限更長的時間,大西洋理事會的研究人員認為,該法律實際上將中國境內運營的任何公司置於一個無法解決的困境中:要麼離開中國,要麼將公司產品中的敏感漏洞描述提供給可能利用這些信息進行攻擊的政府。
事實上,研究人員發現,一些公司似乎正在選擇第二個選項。他們指出,2022年7月,中國語言社交媒體服務微信上的一份文件發布在中國工業和信息化部內的一個研究機構帳戶上。發布的文件列出了“通過審核”的漏洞信息共享計劃成員,這可能表明列出的公司遵守了該法律。該名單偏重於工業控制系統(或ICS)技術公司,其中包括六家非中國公司:Beckhoff、D-Link、KUKA、Omron、Phoenix Contact和Schneider Electric。
WIRED向這六家公司詢問他們是否確實遵守該法律,並向中國政府提供有關其產品中未修補的漏洞的信息。其中只有D-Link和Phoenix Contact兩家公司斷然否認向中國當局提供有關未修補漏洞的信息,儘管其他大多數公司表示,他們只向中國政府提供相對無害的漏洞信息,並且與向其他國家政府或自己的客戶提供這些信息的同時進行。
大西洋理事會報告的作者們承認,工業和信息化部名單上的公司不太可能提供詳細的漏洞信息,這些信息可能會立即被中國國家黑客使用。編寫可靠的“利用”(一種利用安全漏洞的黑客軟件工具)有時是一個漫長而艱難的過程,中國法律要求的漏洞信息並不一定足夠詳細,可以立即構建這樣的利用工具。
但是,法律的文本確實要求公司提供受影響產品的名稱、型號和版本,以及漏洞的“技術特徵、威脅、影響範圍等等”。當大西洋理事會報告的作者們獲得了報告可被入侵漏洞的線上入口時,他們發現它包括了一個必填的輸入欄位,用於提供代碼中“觸發”漏洞的詳細位置,或者提供漏洞發現過程的“詳細證明的視頻”,以及一個非必填的輸入欄位,用於上傳一個概念證明的攻擊以展示漏洞。所有這些都是關於未修補漏洞的更多信息,比其他政府通常要求的或者公司通常與其客戶分享的信息要多得多。
即使沒有這些細節或者概念證明的攻擊,只要提供具有所需特定性水平的漏洞描述,就能為中國的攻擊型駭客提供一個“線索”,因為他們在尋找新的可利用的漏洞時。網絡安全公司Sophos的公共部門首席技術官克里斯汀·德爾羅索(Kristin Del Rosso)是大西洋理事會報告的合著者,她認為這項法律可能會給這些國家贊助的駭客提供一個明顯的頭腦開始,以對抗公司修補和保護系統的努力。“這就像一張地圖,上面寫著‘這裡開始挖’,”德爾羅索說。“我們必須為這些漏洞的潛在武器化做好準備。”
如果中國的法律確實有助於該國的國家贊助駭客獲得更多可入侵的漏洞,這可能會對地緣政治產生嚴重影響。美國與中國之間的緊張局勢,無論是因為中國的網絡間諜活動還是顯然為破壞性網絡攻擊做準備,近幾個月達到了頂峰。例如,去年7月,美國網絡安全和信息安全局(CISA)和微軟披露,中國駭客以某種方式獲得了一個密碼密鑰,使中國間諜能夠訪問25個組織的電子郵件帳戶,包括國務院和商務部。微軟、CISA和國家安全局也都警告說,中國發起的一場黑客攻擊活動在美國各州和關島的電網中植入了惡意軟件,可能是為了獲得切斷美國軍事基地電力的能力。
即使在這些風險上升的情況下,大西洋理事會的卡里說,他與工業和信息化部名單上的一家西方科技公司進行了第一手交談,該公司直接告訴他,它正在遵守中國的漏洞公開法。根據卡里的說法,該公司的中國分公司的主管告訴他,遵守這項法律意味著該公司被迫向工業和信息化部提交其產品中未修補漏洞的信息。當卡里與該公司在中國以外的另一位高管交談時,這位高管對這一披露並不知情。
卡里表示,對於在中國經營的外國公司來說,對與中國政府互動方式的告知可能比在中國以外的高管意識到的要多。他說:“如果高管沒有意識到這一點,他們就不會去詢問自己是否遵守了中國剛實施的法律。”“只有在他們不遵守法律時,他們才會聽到這一點。”
在工業和信息化部列出的六家非中國公司的合規工業控制系統技術公司中,總部位於台灣的D-Link對此作出了最直接的否認,其北美地區的首席信息安全官威廉·布朗(William Brown)在一份聲明中表示,該公司“從未向中國政府提供未公開的產品安全信息”。
德國工業控制系統技術公司Phoenix Contact也否認向中國提供漏洞信息,在一份聲明中寫道:“我們確保潛在的新漏洞得到最高機密處理,絕不會落入潛在的網絡攻擊者和相關社區的手中,無論他們位於何處。”
名單上的其他公司表示,他們確實向中國政府報告漏洞信息,但僅提供給其他政府和客戶的相同信息。瑞典工業自動化公司KUKA回應說,它“在所有經營的國家履行法律上的地方義務”,但寫道,它向客戶提供相同的信息,在公共網站上發布關於其產品已知漏洞的信息,並將遵守歐盟即將出台的類似法律,要求披露漏洞信息。日本科技公司歐姆龍(Omron)同樣寫道,它向中國政府、美國的CISA和日本的計算機緊急響應小組提供漏洞信息,並在其網站上發布已知漏洞的信息。
德國工業自動化公司Beckhoff更詳細地闡述了一種類似的方法。該公司的產品安全負責人Torsten Förder寫道:“幾個國家的法律要求在其市場上銷售產品的任何供應商在發佈之前必須向其授權機構報告安全漏洞。”“在進一步的研究和緩解策略開發時,將披露有關漏洞的一般信息。這使我們能夠迅速通知所有監管機構,同時避免發布有關如何利用正在調查的漏洞的全面信息。”
法國電力公用事業技術公司施耐德電氣提供了最模糊的回應。該公司的產品漏洞管理負責人Harish Shankar僅寫道:“網絡安全是施耐德電氣全球業務戰略和數字轉型之一”,並將WIRED指向其信任憲章以及其網站上的網絡安全支持門戶,該門戶發布安全通知和緩解和修復建議。
鑑於這些謹慎措辭且有時含糊其辭的回應,很難確定企業在遵守中國的漏洞披露法律方面到底達到了何種程度,特別是考慮到政府的網絡門戶對上傳漏洞信息的相對詳細的描述要求。網絡安全研究和開發公司Margin Research的中國研究員Ian Roos在發表大西洋理事會報告之前對其進行了審查,他表示企業可能正在進行一種“惡意合規”的行為,只與中國當局分享部分或具有誤導性的信息。他指出,即使他們分享了可靠的漏洞數據,這些數據可能仍然不夠具體,無法立即對中國的國家級黑客有所幫助。“從‘這裡有個漏洞’到實際利用和利用它,甚至知道它是否可以以有用的方式利用,這是非常困難的,”Roos說。
Roos補充說,這部法律仍然令人擔憂,因為中國政府有能力對不共享足夠信息的企業實施嚴厲的懲罰,從巨額罰款到吊銷在該國經營所需的業務許可證。“我不認為這是末日,但情況非常糟糕,”他說。“我認為這絕對會產生一種扭曲的激勵機制,現在私營組織需要基本上使自己和客戶暴露給對手。”
事實上,外國公司在中國的員工可能比在中國以外的高管意識到更多地遵守漏洞披露法律,國防大學信息與網絡學院的教授、前美國情報官員J. D. Work表示。(Work也在大西洋理事會擔任職位,但並未參與Cary和Del Rosso的研究。)Work補充說,這種脫節不僅僅是由於疏忽或故意無視。中國的員工可能會廣泛解釋中國去年通過的另一項旨在打擊間諜活動的法律禁止外國公司在中國的員工向自己公司的其他人透露他們如何與政府互動,他說。“企業可能不完全了解其本地辦事處行為的變化,”Work說,“因為這些本地辦事處可能不被允許向他們談論此事,否則將面臨間諜指控的打擊。”
Sophos的Del Rosso指出,即使在中國運營的企業今天找到了避免披露其產品中實際可入侵漏洞的餘地,這仍然不能保證中國不會在未來加強對披露法律的執行,以關閉任何漏洞。
“即使人們不遵守,或者他們只在一定程度上遵守,情況只會惡化,”Del Rosso說。“他們不會開始要求更少的信息,或者對在那裡工作的人要求更少。他們永遠不會變得較輕鬆。他們會加強打擊。”
※版權所有,歡迎媒體聯絡我們轉載;登錄本網按讚、留言、分享,皆可獲得 OCTOVERSE 點數(8-Coin),累積後可兌換獎品,相關辦法以官網公布為準※
