【新唐人北京时间2021年09月10日讯】今年3月微软“零日漏洞”遭到黑客攻击,英美欧盟联手指控,中共国安部门联手骇客入侵各国政府以及企业。9月开始,中共施行的《数据安全法规》,强制在华外国公司在发现自身网络安全漏洞时立刻向北京汇报。外界担心,这项规定让中共黑客化暗为明,名正言顺的掌握“零日漏洞”信息并以此发动网络袭击。
今年9月1日生效的《数据安全法》,不仅要求中国所有公司将其处理的数据改存放到官方搭建的“国资云”平台,还强制在华外国公司在发现自身网络安全漏洞时立刻向北京汇报。
同时,中共工业和信息化部、国家互联网信息办公室、公安部出台了相应的《网络产品安全漏洞管理规定》,要求“网络产品提供者”必须在两天内向工信部网络安全威胁和漏洞信息共享平台报送相关漏洞信息,并不得将未公开的网络产品安全漏洞信息,向网络产品提供者之外的境外组织或者个人提供。
“零日漏洞”再次被关注。
原中国大陆互联网企业技术总监王东林:“因为有些漏洞被发现了之后,它是可以被用来牟利的,在国内它叫做这个黑产,黑色产业。那么随着这种产业不断的发展,就是人们能够利用它来牟利的话,那么就是越来越多的漏洞被发现了之后,相当于就不会被公开。这种已经存在的漏洞,但是没有被公布出来的,那就被称作零日漏洞。”
网路自由观察人士古河:“对于这类的漏洞最感兴趣的是各个国家分布的那些黑客,那些黑客只要找到零日漏洞不会立刻公布,他会把它作为一种秘密信息记录下来,什么时候需要的时候他可以利用它,利用它来牟利。中共要它干什么?就是窃取秘密。”
中共强征网络“零日漏洞”信息,让外界担忧。
古河:“像这种零日漏洞在其它国家里,它并不是由国家来管理的,它是由各个企业来管理,国家怎么来干涉企业的自由呢?它只不过利用法律的程序,把这种邪恶给固定下来了,成为名正言顺的去收集不仅仅是公民,现在是针对所有网站企业他们的隐私秘密。”
原中国大陆互联网企业技术总监王东林表示,如果中国黑客轻易获取发动“零日袭击”的网络资源,可能对外国目标发动攻击。对个人在说,可能被窃取个人信息作为大数据分析的来源。
王东林:“如果说有些这种零日的漏洞被中共政府所掌握,那网络上的这种大量的这种云主机,那确实是非常最有可能是第一波被攻击的对象。智能手机大量普及的情况下,一旦出现这种被发现零日漏洞的话,那对每个人也都可能会造成非常大的这种影响。”
由于修补技术漏洞的所需时间较长,分析认为,中共所谓的“二日汇报”机制,可能给北京足够的时间,让黑客制造出可用于袭击外国目标的零日进攻武器。
台北大学犯罪学研究所助理教授沈伯洋:“中共公安部他们也有自己的黑客,那如果说他今天知道哪里有漏洞,他可以去利用这个漏洞,这是非常有可能的。但是因为一般的政府,他不会要求企业去汇报漏洞,除非今天企业提供的服务的对象就是政府。那如果他今天服务的对像不是政府,他又要你提供漏洞,那他当然可能藉由这个漏洞去攻击。”
中共最新的《数据安全法》和《个人信息保护法》,未来网络服务器该设在哪里,恐怕也不是企业自己能决定的事了。新法规更让中共提前掌握外国消费者和军政部门使用的软件的“零日漏洞”信息。
沈伯洋:“其实只要是他们对在那边有设分公司的公司要资料,基本上比较没有什么不给的空间。所以说从我的观点来讲,我会觉得说就即使他没有这样的法案也没有这样的要求,他们平常就有可能在做这样的事情,那只是说他们现在是公开的来做。”
台北大学犯罪学研究所助理教授沈伯洋认为,网络攻击事件不断传出,就算安全做得再好,还是会遇到问题,民众必须养成良好习惯以求自保。
采访/骆亚 编辑/黄亿美 后制/周天