新法律正在帮助中国政府储备零日漏洞
对我们这些用户来说,最直接的威胁可能是,即便您使用外国技术产品,可能也会被中国政府控制的漏洞利用所入侵,如果零日漏洞是在中国最先发现的话。这只能赌。
正如我们一直在强调的,这是21世纪最重要的战争;全世界最大的玩家只有那4个国家,其中包括中国。而现在,中国想要利用立法以从中获得优势。但是 ……
从2021年9月1日开始,中国政府将要求任何发现零日漏洞的中国公民必须将细节传递给中国政府,并且不得向中国以外的任何第三方出售或提供相关信息(除了漏洞产品的制造商)。
美联社(AP)在2021年7月13日发表的一份报告中提供了简要的细节。除了声明之外,没有提供消息来源,“中国网络空间管理局以及公安部和工信部发布的规则说,任何人不得 ‘收集、出售或发布网络产品安全漏洞的信息’”。不清楚该报告指的是私人研究被禁止,还是私人研究的结果被控制。后者是最有可能的。
美联社将这一行动描述为 “进一步加强共产党对信息的控制”。这不太可能是新规则的主要动机,因为政府已经对数据有了全面且严苛的控制:公司不得在中国境外储存中国客户的数据;在中国销售路由器和其他一些网络设备的外国公司必须向监管机构披露任何加密功能的运作方式。在这里看到具体解读《中国的新 “密码法”如何终结了加密》。
2017年颁布的中国国家情报法第7条已经要求中国国民支持、协助和配合国家情报工作。两个主要的情报机构,即国家安全部(MSS)和中国人民解放军战略支援部队(PLA),在中国几乎所有与国家有关的APT团体背后都有他们的背景。因此,中国国民必须支持中国的网络行动,这已经是隐含的事实。
新规则明确了这种支持 — — 而且更可能与中国以情报为主导的网络行动有关,而不是与加强对内部信息控制的愿望有关。如果这是真的,那么值得探讨的是,该规则可能对世界其他地区产生什么样的影响。
最明显的假设是,中国发现的 “零日漏洞” 将被输送到中国的APT团队,而不会被美国国家安全局或俄罗斯的国家行为者购买。
ThycoticCentrify 的首席安全科学家和首席信息安全官约瑟夫·卡森同意这一观点,他说:“我预计中国政府会将任何发现的安全漏洞武器化,以增强中国的网络安全能力。这项新规定将收紧安全研究人员之前拥有的任何灵活性,并将迫使他们与中国政府分享安全研究,限制进一步的披露”。
BreachQuest 的联合创始人兼首席技术官杰克·威廉姆斯(Jake Williams)基本上同意,但有一个附加条件:“政府几乎可以肯定会将这些漏洞输送给中国政府自己的威胁行为者。这可能不会导致攻击数量的增加,但很可能增加攻击的复杂性”。他补充说:“作为一个附带说明,中国政府的组织能够缓解所发现的漏洞的防御性优势可能远远超过任何进攻性收益。”
然而,事实是,中国的APT可能会获得比他们已经拥有的更多的零日漏洞储备。
还会有其他不太引人注目的涓滴效应。卡森注意到了对在中国进行开发的西方组织的不利影响,因为中国政府可能会抢在他们之前就知道他们产品中的安全漏洞。虽然该规则规定,漏洞可能会被披露给外国产品的制造商,但不确定这是否会发生。
如果中国的研究人员确实不愿意向西方制造商披露他们的发现,这将影响被发现的漏洞的数量(这些漏洞被中国的APT知道,但制造商仍然不知道)。这也有可能是一个很大的数字。仅在 2021年7月13日 Adobe 的 “Patch Tuesday” 公告中,来自UCAS的徐鹏(音)和来自奇安信技术研究所的王彦豪(音)就是被 Adobe 记入其工作的研究人员之一。
新的中国规则也可能对漏洞赏金计划和 Pwn2Own 黑客竞赛产生影响 — — 这两个项目通常都有来自中国的人参加。目前还不清楚是否明确禁止参与漏洞赏金计划,因为这相当于 “出售” 研究,但它可能会被豁免,因为理论上讲,这些发现是提供给产品制造商的 — — 这是允许的。然而,当研究人员可以将零日漏洞卖给另一方,而后者提供的报酬超过了赏金的数额时,赏金计划就已经被绕过了 — — 这也是被明确禁止的。
同样的基本论点也适用于 Pwn2Own 比赛。虽然中国参赛者数量的减少不会影响赏金计划和黑客竞赛的继续进行,但它可能会影响发现和披露的漏洞数量。
但是,这也可能会对中国产生反弹。威廉姆斯认为,“最大的可能问题之一是人才流失。如果中国的研究人员可以从他们在其他地方的工作中获得更加丰厚的利润,但在中国却无法获得,他们为什么要留下来?这可能会在短期内帮助中国,但从长期来看却会损害他们”。⚪️