中國政府在制度上助長網絡詐騙行為 / The Chinese government is “systematically” fostering cyber crime

作者:Renata Wong


按PwC的Global State of Information Security® Survey 2016 (“GSISS”)調查 [1] 顯示,隨著全球趨勢,中國及香港的網絡安全環境同樣變得越來越不穩定。2015年,位於中國及香港的中國和外國公司檢測到的信息安全事件的平均數量從2014年的241宗增至1245宗,也就是說增加了五倍有多。信息安全事件包括病毒攻擊、數据竊取及其他網絡破壞行為。同樣在2015年,全球的平均數量是6853個信息安全事件,即超過中國及香港總和的五倍。

對比這兩個數字,第一個感覺好像是中國的數据安全情況還是不錯的,但這只是一個表面的感覺,如果此時中國高興便為時過早了。GSISS也有從另外的一個角度來比較數据。據稱,就2015年來說,當全球因信息安全遭到攻擊而造成的金融損失的平均金額為255萬美元時,中國及香港的金融損失的平均金額卻是263万美元。此外,當2015年全球損失金額有所降低時,駐中國及香港的公司因信息安全而致的損失卻有上升的趨勢。
這個趨勢一點也不意外。

cybercrime

中國大陸社會貧窮了兩個世紀有多,近期開始脫離艱困,開始累積財富,對犯罪世界來說,相當觸目。看在金融黑客的眼里,中國國民暴增的富裕的確是個不可錯失的良機。尤其是中國政府送給他們的大禮,就是對國內網絡安全的鉗制。根據澎博(是Bloomberg,不是中國國營的盜版The Paper/澎湃!)的一個報道 [2],中國控制網絡的法規從根本上禁止了在國內運營的企業應用高端網絡技術。例如,中國政府禁止進口國內或在國內銷售帶可信平台模塊(Trusted Platform Module )的微芯片。該芯片可用于加密(encryption),屬國際標准,但在中國卻禁止使用。于是,位于中國的企業只可使用舊式不可靠的網絡安全技術來保護數据。

在中國大陸,懂一點電腦知識的都應該有這樣的經驗﹕如要坐火車到一個地方,通常都會上中國鐵路網站的售票處辦理訂票,並在網上支付票價﹔但由於中國不允許網上活動加密,因此中國鐵路售票網頁使用的網絡協議為http,而不是https。http協議后面不帶「s」(「s」指的是「secure」)表示是該網頁沒有加密。換言之,當你在該網頁上輸入你的個資料,如姓名﹑銀行卡號等,任何黑客都能輕而易舉地竊取閣下的信息。因此,如果一個網絡地址前面沒有https,西方人基本上不會在該網頁上進行支付活動。不僅如此,比如在歐洲,上一個不以「s」結尾為網絡協議的網址,瀏覽器會提醒訪問者該網頁是不安全的﹔但在中國,因為在現行網絡法規下「不可」用https,所以很多網頁都是不安全的,也便不會有這方面的警告信息。這個情況比較複雜, 在涉及國家金融財務方面, 比如中國銀行, 他們用了https, 但是所採用的安全散列演算法為SHA-1。這個算法早在2010年已經被視為不安全。目前通用的算法是SHA-2或SHA-3, 不再使用SHA-1了。另外一個情況就是百度搜索。百度也使用https協議, 但是據紐約時報的報導 [3], 國內15個網絡服務網站, 包括百渡, QQ, 淘寶等, 都內置有一個叫JSONP的安全漏洞。因為有了這個漏洞, 即使使用安全協議, 黑客還是可以竊取這些網站用戶的資料。

為什麼中國當局禁止國內企業和個人使用高端網絡安全技術呢?毫無疑問是為了能夠控制網絡活動。當然,對網絡的控制,所有國家都有做。但與其他國卻不同的是,中國只允許使用低端技術。這是為什麼呢?我估計原因不外乎兩個﹕

  1. 國內工程師的能力有所未及,恐怕不能操作/應對最現代的加密技術?
  2. 或者更簡單地是因為不願意做出努力,嫌麻煩,因此為了自己方便而犧牲了國民的網絡安全?

或者兩者都是?

但無論如何,這顯然是中國政府基於政治原因而在制度上助長網絡詐騙行為﹗


_______________
[1] Companies in China see five-fold rise in average detected information security incidents in 2015, PwC, 2015-12-10 http://www.pwchk.com/home/eng/pr_101215.html

[2] Hackers Are Having a Field Day on China’s Wild Web, Bloomberg, 2016-09-27 http://www.bloomberg.com/news/articles/2016-09-27/hackers-are-having-a-field-day-on-china-s-wild-web

[3] http://www.nytimes.com/2015/06/13/technology/chinese-hackers-circumvent-popular-web-privacy-tools.html

 

2016.10.10.

2 thoughts on “中國政府在制度上助長網絡詐騙行為 / The Chinese government is “systematically” fostering cyber crime

  • 2016-10-15 at 3:21 下午
    Permalink

    你这个是完全扯淡了,12306购票和支付都是https加密的,中国的银行都是用HTTPS加密的,阿里和腾讯有庞大的安全团队你都无视了?
    没有实际调查就没有发言权!虽然是贵博客的忠实读者,但对最近很多想当然的文章表示非常失望!

    Reply

發表迴響

你的電子郵件位址並不會被公開。