中國政府授權軟體暗藏開後門程式存取你的個資
圖:中國政府網站充滿惡意軟體
(赤色中國網編輯部綜合報導)根據「中國法律」部落客Steve Dickinson文章內容指出,在過去的十年中,中國政府及其國有銀行一直在努力使財務報告和程序“數字化”。如今,在中國運營的企業幾乎不需要去中國政府機構辦公室或銀行。交易和報告均在線完成。
對於正常的日常操作,這意味著以下所有操作都是通過Internet完成的:
1.日常銀行業務
2.每月稅收報告
3.每月稅金和社會保險金
4.增值稅發票開具
5.定期向政府機構報告
6.對於進口商/出口商,向海關報告
如果您嘗試通過老式的個人訪問中國各政府部門的方式來完成此類工作,那麼您將被拒之門外。
所有這些似乎都是現代而高效的。但是,互聯網的這種廣泛使用隱藏了隱患。在所有這些交易中,中國政府機構和銀行要求業務使用該機構或銀行提供的軟件。不允許使用獨立軟件。該軟件通常是一個軟件包,其中包括連接軟件和防病毒保護。以我的經驗,這些軟件包編寫得很差,有錯誤,緩慢且難以使用。當安裝在許多企業的中央計算機上時,它們會將操作減慢到無法使用的程度。
但是真正的問題更深了。正如我在之前的文章中所討論的那樣,中國政府的目標是使中國的信息網絡對外界不開放,但對中國政府完全開放。請參閱中國的新網絡安全計劃:無處可藏和中國的新網絡安全系統:無處可藏。就像我在這兩個帖子中所說的那樣,沒有隱藏的地方。上網後,中國政府將訪問這些信息。更明確地說,中國政府已成為中國最活躍的信息駭客。因此,當企業在其係統上安裝所需的軟件時,該軟件就是由駭客提供的。風險是顯而易見的。針對這兩篇文章,我們的許多讀者“建議”我們對這種駭客行為並不“消極”,因為“我們中有些人仍然需要在中國開展業務”,但是沒有人質疑我們關於風險的結論。
總部位於美國的網絡安全顧問Trustwave最近在有關中國銀行要求繳納稅款的軟件中包含惡意軟件的報告中揭露了這種風險的現實。參見字幕,Trustwave
SpiderLabs 看到了金稅局和 GoldenSpy 惡意軟件的出現,副標題為Trustwave SpiderLabs,發現了一個新的惡意軟件家族,名為GoldenSpy,嵌入了中國銀行要求的納稅軟件中公司安裝在中國進行業務運營。基本故事是中國的典型。該銀行要求安裝其授權軟件,該軟件是由一家與中國國家稅務部門簽訂合同的私營“大數據”中國公司創建的。換句話說,要求使用此間諜軟件的授權直接來自中國的北京中央政府。
該軟件包含一個後門,該後門需要執行兩個操作。首先,所有提交給銀行的數據以及主機上的所有其他數據都將傳輸到與中國國家稅務部門有聯繫的中國私人公司擁有的服務器。該服務器位於AliBaba雲中。其次,該軟件允許後門的操作員完全訪問整個主機系統。Trustwave提供有關處理此類感染的最佳實踐的標準建議。但是,他們的刪除軟件建議根本不切實際,因為需要公司使用該間諜軟件在中國開展業務。他們的替代方法是在專用的便攜式計算機上安裝軟件,該便攜式計算機與公司的主要計算機系統完全隔離。這種方法可以防止感染主公司網絡系統。但是,這不會阻止傳輸到本地稅務部門的私人數據傳輸到惡意軟件服務器以用於未公開的目的。還不清楚中國政府將如何對待將其公開數據隔離到唯一的,未聯網的計算機的外國公司。
因此,現在我們知道了為什麼所有這些中國政府授權的軟件如此糟糕。該軟件充滿了惡意軟件,後門程序和監視協議,以致於正常運行速度減慢到使許多系統無法使用的程度。我們這些在中國工作的人一直都假設這一點,現在Trustware報告提供了一個具體的例子。
更大的問題是,這種強制安裝後門惡意軟件在中國一直是一個長期問題。不僅是來自一家銀行的一套軟件。如本案例所示,中央政府與政府控制的銀行,地方政府,私有軟件/大數據公司以及中國的雲服務提供商合作,共同實施了一個系統,該系統可以完全訪問位於中國網絡上的所有可用信息。
正如Trustware建議的那樣,有可能針對單個惡意軟件實施保護。但實際上,不可能對中國政府採取持續而普遍的措施來保護私有企業數據採取保護措施。訪問點太多。例如,政府強制性的公司網絡檢查允許在檢查過程中安裝類似的後門惡意軟件。
問題不只是基於中國的外國投資者制度的妥協。一旦中國系統受到威脅,駭客(中國政府)幾乎總是可以訪問與被入侵系統鏈接的整個國際網絡。感染從世界各地蔓延到中國。信息化,大數據和全頻譜優勢是中國政府的當務之急。如果您在中國境內活動,則無處藏身。這對在中國運營的公司具有重要意義,必須仔細評估這一現實。
留言