中國發現網絡安全漏洞有多快？　美媒：領先美國20天

美媒稱，今年3月，阿帕奇軟件基金會宣布它發現了其軟件中的一個重大瑕疵。現在，這個瑕疵已眾所周知，堪稱伊奎法克斯公司未修補的致命要害：黑客可借此盜走1.45億美國人的敏感信息。而防范黑客襲擊的中國公司則領先了一步。就在阿帕奇宣布這個消息一天之內，中國國家安全信息漏洞庫(CNNVD)就發表了這個軟件漏洞的詳細內容；而三天后它才出現在美國的官方數據庫中。那時，研究人員已記錄到全球利用這個錯誤代碼的黑客襲擊潮。

據美國彭博新聞社網站10月19日報道，根據網絡安全公司--“記錄未來”公司10月19日發表的研究報告，中國的優勢通常非常大。報告顯示：根據兩年來中國與美國數據庫新增17940個漏洞的分析，雙方公布新發現漏洞信息的時間平均相距20天。

“記錄未來”公司首席執行官克里斯托弗·阿爾伯格說：“時間差距有點兒殘酷。黑客利用漏洞的速度極其迅速，這是因為黑客知道進入電腦系統的最佳途徑就是找到未修補的漏洞。”

“記錄未來”公司的研究結果只是最新證據，說明美國軟件漏洞的公開報告系統處于艱難掙扎狀態。美國商務部國家標準與技術研究所開展的項目--美國國家漏洞數據庫(NVD)建立并隨時更新“常見漏洞和風險暴露”(CVEs)編目，由非營利公司邁特公司維護。1999年邁特公司創建此編目時向專家提供了用各種化名代替的常見漏洞威脅的名稱。國家漏洞數據庫從2005年起還增加了機構可用于解決漏洞的內容和資源。保持網絡安全更新應以此為參照標準。

但是，數據庫依賴自愿式漏洞提交，主要來源是漏洞軟件制造商。中國人使用更廣泛的來源和方法，包括技術測試。

速度，或者說缺乏速度，只是工業控制系統、醫療衛生器材和聯網家電迫切需要更新以解決新型威脅和漏洞所面臨的問題之一。“記錄未來”公司的分析報告發現：中國數據庫中的1746個“常見漏洞和風險暴露”根本未出現在美國的數據庫中。而美國國家漏洞數據庫在商業服務方面也落后了。

據風險安全咨詢公司評估，完全依賴“常見漏洞和風險暴露”系統的機構將漏掉近一半已披露的漏洞。根據風險安全咨詢公司的跟蹤記錄，2017年上半年報告的安全漏洞比去年同期增加了29%。軟件公司參數技術公司(PTC)首席安全官喬舒亞·科爾曼說，隨著聯網家電以及所謂物聯網的發展，總體安全漏洞增長在加速。

不過，科爾曼說政府系統仍傾向于商業軟件漏洞，工業控制系統和醫療衛生器材得不到充分保護。軟件漏洞影響及其嚴重程度的打分系統也未跟上技術發展。導致應用癱瘓的缺陷相對得分較低，而這種事情可能給自動駕駛汽車或智能醫療器材造成毀滅性問題。科爾曼說：“令我驚恐的是，導致最嚴重失誤后果的漏洞也是最不受重視的。如果是醫用泵，那會致命。如果是渦輪機，那會發生爆炸。”

今年3月，眾議院能源和商務委員會致信邁特公司和美國國土安全部(負責監管邁特公司的“常見漏洞和風險暴露”項目合同)，要求提供邁特公司采取了哪些措施保護和提高美國的網絡安全行為。

科爾曼說信息技術界或許必須在人力或資金方面多作貢獻。“記錄未來”公司首席數據學家比爾·拉德提出了一條明確的捷徑：派實習生去復制中國數據庫的東西。他說：“我想任務很明確，要盡可能全面。中國的系統至少保證了有改進余地。”(編譯/鄭國儀)

相關閱讀：德國專家提醒防范黑客入侵行車電腦

據新華社報道，德國安聯保險集團董事會成員約阿希姆·米勒１８日提醒，如果不做好防范工作，越來越多的汽車行車電腦將成為黑客攻擊的目標。

據德新社報道，米勒表示，“現在的汽車就是會移動的電腦”，當行車電腦連接上互聯網后，黑客只需找到沒有防護措施的數據接入口，就可以侵入汽車控制系統。尤其較老一些的車型，行車電腦的防范措施往往不充分。

米勒說，一旦行車電腦遭到攻擊，將有可能帶來致命危險，例如黑客侵入后隨意進行剎車操作等。

米勒還認為，以往黑客攻擊行車電腦只是零星個案，但今后幾年內，這種攻擊聯網汽車的行為將不斷增加。

德國寶馬汽車公司“未來移動”項目負責人邁克·博雷什也認同米勒的提醒。博雷什說，行車電腦中裝入沒有防護措施的數據接口，原本是方便汽車修理廠讀取尾氣排放數值，現在這個接口已經有可能成為影響行車電腦安全的漏洞。

德國安聯保險集團成立于１８９０年，總部位于慕尼黑，是全球最大保險和資產管理集團之一。該集團建議所有汽車生產商提高對行車電腦安全的重視。

德國汽車工業聯合會對此表示，德國汽車行業將認真對待潛在威脅，充分保障駕駛員和乘客安全