外媒及专家热议《网络产品安全漏洞管理规定》
2021-07-15
来源:网空闲话
综合外媒报道,中国规定,所有零日漏洞必须只向中国政府披露。从2021年9月1日起,中国政府将要求任何发现零日漏洞的中国公民必须向中国政府主管网部门报告细节,不得向中国境外的任何第三方出售或提供相关信息(易受攻击产品的制造商除外)。下面梳理《安全周刊》、美联社、印度教徒报等媒体对新规的报道,以及相关安全专家也对此规定的评论。
媒体反应
《安全周刊》称,中国漏洞披露规则将这一行动描述为“进一步加强了对信息的控制”。这不太可能是新规则出台的主要动机,因为政府对数据的控制已经很糟糕了。企业可能不会在中国境外存储中国客户的数据。在中国销售路由器和其他一些网络设备的外国公司必须向监管机构披露加密功能的工作原理。
2017年颁布的《国家情报法》第7条已经要求中国公民支持、协助和配合国家情报工作。因此,这已经暗示了中国公民必须支持中国的网络行动。新规定明确了这种支持,而且更有可能与中国以情报为主导的网络行动有关,而不是为了加强对内部信息的控制。如果这是真的,那么值得探索的是,这条规则可能对世界其他地区产生什么影响。最明显的假设是,中国发现的零日漏洞将流入中国的APT组织,而不会被美国国家安全局或俄罗斯国家行为体提供购买。
美联社(AP)于2021年当地时间7月13日发布了一份报告,提供了简要细节。除了声明之外,没有其他消息来源。“根据国家互联网信息办公室、公安部和工信部发布的规定,任何人不得‘收集、出售或发布有关网络产品安全漏洞的信息’。”关于私人研究是否被禁止,或者私人研究的结果是否受到控制,这份报告并不清楚。后者是最有可能的。
印度教徒报报道称,新规定将禁止私营部门专家发现“零日”(zero day),即之前未知的安全漏洞,并将信息出售给警方、间谍机构或公司。此类漏洞一直是重大黑客攻击的一个特征,本月的一次黑客攻击被归咎于一个与俄罗斯有关联的组织,该组织让至少17个国家的数千家公司感染了病毒。
北京对控制有关人民和经济的信息越来越敏感。企业被禁止在中国境外存储有关中国客户的数据。包括最近在美国上市的叫车服务公司滴滴全球(Didi Global Inc.)在内的一些公司已被公开警告要加强数据安全。
根据新规定,任何在中国发现漏洞的人都必须告知政府,政府将决定采取何种修复措施。除产品制造商外,任何信息都不能提供给“海外机构或个人”。
根据国家互联网信息办公室、公安部、工信部发布的规定,任何人不得“收集、出售、发布有关网络产品安全漏洞的信息”。新规将于9月1日生效。
中国执政党的军事派别人民解放军在网络战技术方面与美国和俄罗斯一样处于领先地位。解放军军官被美国检察官指控入侵美国公司窃取技术和商业机密。
发现“零日”弱点的顾问表示,他们的工作是合法的,因为他们为警察或情报机构服务。一些人被指控帮助被控侵犯人权的政府或监视活动人士的组织。
没有迹象表明这类私营部门的研究人员在中国工作,但禁止该领域的决定表明,北京方面将其视为一个潜在威胁。
在过去20年里,中国稳步加强了对信息和计算机安全的控制。
被视为敏感的银行和其他实体被要求尽可能只使用中国制造的安全产品。在中国销售路由器和其他一些网络产品的外国供应商被要求向监管机构披露加密功能的工作原理。
安全专家观点
ThycoticCentrify首席安全科学家兼首席信息安全官Joseph Carson
“我预计中国政府将发现的任何安全漏洞武器化,以增强中国的网络安全能力,”他告诉《安全周刊》。“这项新规定将收紧安全研究人员此前拥有的任何灵活性,迫使他们与中国政府分享安全研究,并限制进一步披露。”
BreachQuest联合创始人兼首席技术官杰克?威廉姆斯(Jake Williams)
“政府几乎肯定会将这些漏洞传递给政府背景的威胁参与者。这可能不会导致攻击数量的增加,但很可能会增加复杂性。作为一个旁注,”他补充说,“中国政府机构能够减轻被发现的漏洞的防御优势,可能远远超过任何进攻性收获。”
知名密码学家、网络安全专家布鲁斯。施耐尔
对新规则给予了积极评价,称中国正在控制零日攻击,将确保所有新发现的零日漏洞都被披露给政府。根据新规定,任何在中国发现漏洞的人都必须告知政府,政府将决定采取何种修复措施。除产品制造商外,任何信息都不能提供给“海外机构或个人”。国家互联网信息办公室、公安部、工业部发布的规定规定,任何人不得“收集、出售、发布有关网络产品安全漏洞的信息”。这只是阻止了网络武器交易。这并不妨碍研究人员告知产品的公司,即使产品在中国境外。
对漏洞研究的影响
还会有其他不那么引人注目的涓滴效应。卡森指出,这对在中国进行业务发展的西方组织产生了不利影响,因为中国政府将在他们之前了解自己产品的潜在安全漏洞。虽然规定指出,漏洞可能会向外国产品制造商披露,但并不确定这种情况会发生。
如果中国研究人员确实不愿意向西方制造商披露他们的发现,这将影响发现的缺陷的数量(APT组织知道这些缺陷,但制造商仍然不知道)。这可能是一个很大的数字。在Adobe于本周(2021年7月13日)发布的补丁公告中,中国科学院大学(UCAS)的徐鹏和奇安信科技研究院的王艳浩等研究人员被Adobe公司称赞为他们的工作。
中国的新规定也可能对漏洞赏金程序和Pwn2Own黑客竞赛产生影响,这两项比赛通常都有来自中国的选手。目前尚不清楚是否明确禁止参与漏洞奖励计划,因为这相当于“出售”研究成果,但它可能被豁免,因为这些发现最终在理论上被提供给了产品制造商——这是允许的。然而,当研究人员可以把零日卖给另一个提供比零日更多的人时,赏金程序已经被跳过了——这是明确禁止的。
同样的基本论点也适用于Pwn2Own的竞争。虽然中国参与者数量的任何减少不会影响赏金计划和黑客竞赛的继续,但可能会影响发现和披露的漏洞数量。
但这可能会反弹到中国。威廉姆斯说:“最可能出现的问题之一就是人才流失。如果中国研究人员可以从其他地方的工作中获得丰厚的利润,但在中国却不能,他们为什么要留下来?这可能在短期内对中国有利,但长期而言对中国不利。”