• 發布單位:TWCERT/CC
• 更新日期:2020-05-28
• 點閱次數:750

1.中國政府要求中國駭客將漏洞直接向國家資訊安全漏洞庫上報，不要參加公開披露漏洞的賽事，此舉將造就出一個「重大威脅」，因為中國駭客將擁有利用大量漏洞的空間。

英國金融時報近日報導指出，中國政府要求中國駭客缺席全球駭客大賽。一年一度的Pwn2Own駭客大賽上過去基本上全是中國駭客的天下，他們囊括了所有競賽大獎，但今年幾乎沒有中國駭客參賽。
儘管中國政府未發布正式的禁止中國駭客參賽的文件，但中國選手已確認缺席3月舉行的Pwn2Own駭客大賽，還有在新加坡舉行的「黑帽網路安全大會」（Black Hat）。
FireEye首席技術官博蘭（Bryce Boland）證實：「中國駭客接到指示，要求他們不再參加公開披露漏洞的賽事。」
美國網路情報公司Recorded Future聯合創始人阿爾伯格（Christopher Ahlberg）表示，現在中國駭客只能把發現的漏洞上報給軟體供應商或安全部，而中國安全部「可能會通知供應商，也可能不通知」。
報導援引網路安全專家的話說，中國政府的這一指示，意在擴大中國政府掌握的情報儲備，如同把母雞放到狐狸堆裡。阿爾伯格說，「漏洞可能是軟體中的問題，但它們也是在軟體身上安裝後門的機會。」
金融時報的報導指出，從中國國家資訊安全漏洞庫（CNNVD）已能在一定程度上看出中國安全部的立場。中國國家資訊安全漏洞庫收錄了各種軟體產品的已知漏洞。
根據Recorded Future的分析，中國國家資訊安全漏洞庫改動了至少267個漏洞的發布日期。該公司表示，這個延緩發布日期的做法，突顯出中國安全部「很可能會考慮將這些漏洞用於攻擊性網路行動」。

參考連結：

https://www.epochtimes.com.tw/n244982/%25E9%25A7%25AD%25E5%25AE%25A2%25E6%2589%25BE%25E8%25BB%259F%25E9%25AB%2594%25E6%25BC%258F%25E6%25B4%259E-%25E4%25B8%25AD%25E5%2585%25B1-%25E5%2585%2588%25E4%25BA%25A4%25E7%25B5%25A6%25E5%25AE%2589%25E5%2585%25A8%25E9%2583%25A8.html
http://big5.ftchinese.com/story/001076933