## 中国黑客竞赛:助力国家网络雄心
杜斯汀·蔡尔兹仍然清晰地记得他所见过的最精彩的国际黑客大赛演示。那几乎是十年前的事了。参赛者需要找到一种方法来攻破一个经过防火墙和最新软件加固的Windows工作站,以提高其安全性。来自中国的一个团队的成员,将一个IP地址输入到Windows浏览器中,然后“放开了他们的手,一切就完成了”。该地址触发了一段计算机代码,将中国团队的访问权限从“访客”变为“主机”,赋予他们管理员权限以及安装任何代码、软件或恶意软件的能力。
那是2017年在Pwn2Own黑客大赛上发生的事情,该赛事吸引了来自世界各地的参赛者——主要是网络安全公司的分析师和研究人员——寻找利用流行软件和移动设备的新方法。蔡尔兹说,那时,来自中国的团队已经参赛多年,并且占据主导地位。他们来自大学、公司和其他地方。蔡尔兹是网络安全公司趋势科技的威胁意识主管。
蔡尔兹说,锦标赛的最高头衔被称为“Pwn大师”。自2009年以来一直与该赛事有关联,并且是运营该赛事的“零日计划”的一部分。“我们在2016年设立了这个头衔。在他们停止参赛之前,中国公司赢得了每一届比赛。”
这种国际赞誉也引起了国内 критических 关注。2017年,中国网络安全公司奇虎360的亿万富翁创始人周鸿祎公开批评中国参与海外黑客马拉松,认为中国专家发现的漏洞应保留在中国境内。周是中国共产党政府政治咨询委员会的成员,他的批评 не прошла незамеченной.
第二年,没有中国团队参加Pwn2Own。相反,中国开始了自己举办的黑客锦标赛,名为天府杯。据媒体报道,参赛者被鼓励入侵苹果操作系统、谷歌手机和微软网络。但有所不同的是,在Pwn2Own和其他黑客比赛中,调查结果会报告给制造软件或设备的公司,以便他们可以在黑客利用之前修复它们。根据2018年的一项规定,中国黑客比赛的参与者必须首先向政府报告。
美国网络安全公司SentinelOne的中国问题顾问达科他·凯里说:“实际上,这意味着漏洞被 передаются государству 用于行动。”网络安全专家表示,一个例子发生在2019年,当时谷歌 обнаружил 在首届天府杯上发现的一个漏洞与针对中国受迫害的维吾尔族社区的黑客活动惊人地相似。最近,归因于一家名为i-Soon的中国网络安全公司的文件被发布在代码共享网站GitHub上,据称 данные утечки 表明比赛、政府以及被授予访问这些漏洞权限的网络公司之间存在联系。聊天记录中包括i-Soon员工之间的一段对话,其中提到中国公安部(中国主要的警察机构)要求提供在天府杯上发现的零日漏洞。
大西洋理事会数字取证研究实验室的研究员温诺娜·德索姆布雷·伯恩森 изучила 日志,她表示,这些文件表明天府杯是该部门“可能的漏洞馈送系统”。今年3月,i-Soon的几名员工因在中国情报机构的指示下进行网络攻击而受到美国当局的起诉。中国驳斥了这些指控。I-Soon尚未回应这些指控,也没有回应置评请求。
当被问及漏洞披露时,中国外交部发言人表示,报告规定“旨在防止脆弱信息的泄露和未经授权的披露”。这位发言人在北京告诉彭博社记者,这些法规“明确支持向网络产品提供商直接提供安全漏洞信息,包括外国组织和个人”。无法联系到天府杯的代表发表评论。
计算机软件和移动设备中的缺陷相对常见,这促使定期修补软件和更新设备以修复它们。对于犯罪黑客和网络间谍来说,开发人员事先不知道的缺陷(称为零日漏洞)特别有价值,因为没有立即提供修复程序,从而使系统暴露在外。一些公司专门寻找零日漏洞并将其出售给政府情报机构。
Pwn2Own创建于2007年,旨在攻破苹果公司的Mac OS X操作系统。从那时起,获奖者因发现漏洞而获得现金奖励,然后与软件公司或设备制造商分享以进行修复。包括来自中国的参与者在内的所有参与者都遵守这些规则。但Sentinel One的凯里说,2018年他们首次缺席Pwn2Own时,北京表示在中国黑客比赛中发现的漏洞必须报告给政府。
三年后,生效的数据安全法要求中国研究人员发现的漏洞(无论是在比赛中还是在工作过程中发现的)直接提交给中国工业和信息化部。这些法律还禁止公司在有机会解决之前与任何人共享漏洞信息——报告期限为48小时。对于任何不遵守规定的人,都有严厉的经济处罚和潜在的法律诉讼。专家表示,中国要求研究人员向政府披露他们发现的计算机漏洞的政策使其与美国和其他西方国家区分开来。
蔡尔兹在提到美国国家安全局时说:“美国国家安全局 не заставляет 我们向他们披露任何此类信息。”已经与各国政府就中国网络和外交政策进行了十多年 консультаций 的格雷格·奥斯汀说,虽然美国国家安全局 не заставляет 披露漏洞,但美国政府领先的密码学和信号情报组织美国国家安全局确实在大量囤积漏洞。在2016年的一起事件中,一个名为“影子经纪人”的组织泄露了一批秘密软件漏洞——本质上是从美国国家安全局窃取的黑客工具。
他说:“我们谈论的是中央情报局和国家安全局等机构,它们发现了它们不想泄露的漏洞,以便它们可以攻击其他国家的系统。中国也是如此。”专家表示,自从数据法生效以来,中国的黑客突破已经进一步隐藏在一层面纱之下。“正面有一层面纱,所以我们看不到他们在做什么以及他们的目标是什么。只有当它进入野外并实际针对真实的个人展示时,我们才能看到结果,”蔡尔兹说。
苏黎世联邦理工学院安全研究中心的高级网络防御研究员欧金尼奥·贝尼卡萨密切关注这些比赛的在线报告,以寻找有关挑战的线索以及是否公开任何结果。他说,近年来,中国的黑客比赛也在不断发展。除了挑战参与者入侵特斯拉或安全软件之外,现在的赛事还包括中国电动汽车、手机和计算机。贝尼卡萨说,更加关注中国国内产品符合北京更广泛的政策目标,即“删除美国”,旨在实现先进技术的自给自足并减少对外国供应商的依赖。与此同时,美国和中国继续限制向彼此出口关键技术组件。
贝尼卡萨说:“这凸显了中国IT基础设施完全国产化,并用中国制造的核心组件(如半导体、软件和数据库)取代外国制造的核心组件的目标。”
分析大模型:gemma2
得分:-40
原因:
文章虽然报道了中国黑客竞赛的兴起,但也着重强调了中国政府对漏洞信息的控制,以及可能利用这些漏洞进行网络攻击的风险。同时提到了美国也存在类似的行为,但整体上对中国政府管控网络安全的行为持负面态度。
原文地址:Chinese Hacking Competitions Fuel the Country’s Broad Cyber Ambitions
新闻日期:2025-04-30
