新紀元周刊|和您攜手,共同走進新的紀元

中國基礎設施容易被「駭」

?"
美國智庫戰略與國際研究中心的網路安全專家路易斯表示,中國慣用盜版軟體也是造成中國基礎建設易遭攻擊的原因之一。圖為上海一處出售盜版光碟的小攤。(AFP)

曾被歐美國家指責入侵他國重要網站的中共,其實自身的基礎設施也是漏洞百出。美國NSS Labs研究員貝里斯福德(Dillon Beresford)好心寫信提醒,卻碰了一鼻子灰!

編譯 ◎ 陳邁克

《華盛頓時報》3月17日發表華特曼(Shaun Waterman)的文章〈中國易受網路攻擊〉(China open to cyber-attack)。作者表示,中國的基礎設施比西方國家更容易遭受網路攻擊,因其使用的電腦軟體與安全防護不夠透明或開放,再加上中國人好用盜版軟體,更讓駭客有機可乘。

中國基礎設施易受傷害

文章說,網路安全專家表示,與其他國家相比,中國的水庫、石油和天然氣管線、工廠和其他電腦控制的基礎設施,比較容易遭受網路攻擊。

這種攻擊威力可從去年伊朗核設施遭受Stuxnet電腦蠕蟲攻擊一窺究竟,當時這種蠕蟲控制幾百臺濃縮鈾的離心機,並造成它們癱瘓。

專家指出,攻擊中國的系統比非法侵入西方系統更容易,而這肇因於中國剛起步的軟體產業,及其不夠公開透明的電腦防護機構。

很巧,一般都將中共視為網路世界的侵略者。美國和其他西方國家已經指認中共是攻擊其設施和電腦系統的幕後黑手。

電腦軟體與安全防護缺乏透明

中國的工廠、水庫、電力設施和其他工業活動都依賴特殊的軟體以維持電腦的運作、維修和故障排除。這種軟體稱為「監控及資料收集」(Supervisory Control and Data Acquisition,SCADA)系統,而駭客可以利用如Stuxnet蠕蟲之類的惡意軟體劫持SCADA的控制權。

SCADA是由中國北京的亞控科技(WellinTech Inc.)所開發的。該公司在其網站上宣稱:Kingview SCADA是中國目前最廣泛使用的軟體,且其顧客群甚至深入太空及國防領域。

去年,美國網路安全公司NSS Labs研究員貝里斯福德(Dillon Beresford)針對亞控科技(WellinTech Inc.)開發的Kingview SCADA軟體進行分析後,發現該軟體存在嚴重的安全漏洞,於是立即通知自己的公司和中國的電腦緊急反應小組(Computer Emergency Response Team,CN-CERT)。但是經過3個半月後,CN-CERT沒有任何回應,也未處理安全漏洞的問題。

後來,貝里斯福德將驗證概念的數據公布在網上,這使Kingview SCADA軟體的安全弱點被公開,如此該軟體被攻擊的風險大增,因為任何程式人員可以利用他寫的代碼開發惡意軟體來攻擊Kingview。

過了幾天,CN-CERT表示此安全漏洞已經修補。該小組在寫給美國電腦緊急反應小組(U.S.-CERT)的一份電子郵件中聲稱,貝里斯福德的通知郵件被每天要處理數千份郵件的值班人員給漏掉了。

貝里斯福德說,他還發現其他中國開發的軟體存在安全漏洞。他認為CN-CERT和其他中共官方電腦安全機構在處理本土軟體弱點問題時,往往不夠透明或開放。他說,為了有效進行修補,必須將問題公開,這樣才能讓用戶知道他們需要下載修補軟體。

盜版軟體猖獗

美國智庫戰略與國際研究中心(Center for Strategic and International Studies)的網路安全專家路易斯(James Lewis)表示,中國慣用盜版軟體也是造成中國基礎建設易遭攻擊的原因之一。

多項調查顯示,中國大多數電腦都使用盜版軟體,中國軟體業的發展因而受限,因為沒有人會賣這種很快且很容易盜版的產品,原因是不可能會賺錢。

他說:「如果你使用盜版軟體,你就不知道它的來源是否可靠。」而且,盜版軟體無法修補漏洞或即時更新,可能存在弱點或讓有心人士植入「後門」,因而讓駭客得以輕易地入侵電腦。

中等技術可入侵Kingview SsCADA

卡巴斯基實驗室(Kaspersky Lab)發布安全訊息的網站threatpost.com指出,貝里斯福德所發現的Kingview SCADA安全漏洞稱為「堆積溢位」(heap overflow),可能使遠端的駭客得以控制使用這種軟體的系統。

他表示,「堆積溢位」通常比「堆疊溢位」(Stack Overflow)需要更多專業知識才能發現和利用。然而,他發現的這個安全漏洞只需要中等的技術就能侵入。

貝里斯福德指出,很多中國人使用亞控科技的Kingview軟體,他希望與該公司及CN-CERT共同討論如何修補這些漏洞,但他的計劃顯然落空了。他希望他把安全漏洞的訊息公開後,可以促使CN-CERT和亞控科技採取行動。

他認為,中國依賴自己國內的軟體業者並不是問題,問題在於其缺乏透明的溝通管道,這使公開探討軟體缺失成為十分困難的事。◇

您也許會喜歡