在《中国政府正通过后门进入你的网络,而你却无处藏身》一文中,我解释了中国的银行是如何要求其账户持有人安装恶意软件,从而使中国政府能够查看所有账户持有人的数据--财务数据或其他数据。每当我们谈到中国缺乏数据保护时,我们都会收到一些常见的评论:
- 有人问,既然 "每个国家都在做同样的事情",我们为什么还要写中国缺乏数据保护的问题。首先,这是一个关于中国的博客。其次,不是每个国家都做同样的事情。第三,你在中国的数据归中国政府所有,而不是 Facebook 或谷歌,而且据我们上次观察,Facebook 和谷歌几乎都没有无限的权力来监禁你。
- 有些人问,既然大家都无能为力,为什么还要写中国缺乏数据保护的问题,我们(包括您的律师事务所)最好还是闭上嘴巴。是的,我们最好闭上嘴巴,装作这不是个问题,并继续鼓励公司纯粹为了钱进入中国。但我们不能这样做。
- 你们是国际律师,不是数据安全专家,你们不知道有哪些简单的变通办法可以让你们拥有中国银行账户,并且不向中国政府提供任何数据。我将在这篇文章中讨论这些评论
最有趣的评论集中在一个观点上,即在中国,西式网络安全措施可以成功用于抵御政府主导的黑客攻击。迪伦-埃文(Dylan Evan)的 "简单盐"(Simple Salt)博客中出现了一个详细的回应:"中国间谍活动:正在进行的传奇。 中国间谍活动:持续的传奇。
埃文先生对自己和他的博客作了如下描述:
良好的安全对大多数人来说都很容易。 我想向你解释一下如何让你轻松掌握。 我没有因本网站的任何内容获得任何报酬,也与本网站提及的任何公司没有直接的经济利益关系。
我在企业安全和合规方面拥有深厚的技术背景,主要服务于美国的医疗和金融公司。 我目前在一家金融业的大公司工作。
埃文先生的既定目标是向人们展示网络安全很简单。但这在中国并不容易,因为像埃文斯先生这样有能力的技术人员是不允许在中国施展他们的魔法的,而且除了他在我们的帖子上发表的一篇文章外,埃文斯先生的博客上没有任何内容表明他在上周之前与中国网络安全有任何关系。明确地说,我们不是在质疑埃文斯先生的网络安全知识,甚至也不是在质疑他对中国网络安全的了解。我们只是想指出,为什么他似乎没有意识到中国的网络安全不是你父亲在塔尔萨或杰克逊维尔的网络安全。
赤裸裸地说,在中国,政府本身就是黑客,它不允许任何外国或国内技术人员提供服务,以挫败黑客的最终目标。
Simple Salt 在文章的开头解释了如何在一台独立的笔记本电脑上进行银行业务操作,从而将被入侵的网站与受到安全保护的主网站隔离开来。在中国,使用专用笔记本电脑进行银行业务是标准做法。我在中国帮助管理一家公司时也是这样做的。需要单独笔记本电脑的原因揭示了问题所在。中国的银行软件只能在中文版的 Windows 操作系统上运行。
此外,它只能在过时、未打补丁、不支持的 Windows 版本(通常是过时的 Windows 7)上运行。原因是该软件中隐藏的恶意软件依赖于利用未打补丁的 Windows 操作系统中普遍存在的各种缺陷。因此,使用双语言、已打补丁、受支持版本 Windows 10 的用户根本无法使用银行提供的软件。因此,只能使用单独的笔记本电脑。
在中国普通企业的日常生活中,使用单独的笔记本电脑变得完全不切实际。要知道,在我所描述的新系统下,企业在中国的整个财务和监管生活都是通过互联网完成的。因此,为了提供全面保护,我们需要多台独立的笔记本电脑:每家银行一台、税务部门一台、增值税收据一台、地方政府一台、国家政府一台、货运代理一台、海关一台、(政府控制的)会计一台、簿记员一台、员工福利服务一台。这样的清单数不胜数。因此,我们面临的压力是将所有这些软件系统整合到一台笔记本电脑上。这台笔记本电脑在整个工作日都要使用。它并不是与接收方(比方说一家银行)连接后立即关闭。它几乎整天都与互联网上的某个人保持链接。
但等等,情况会变得更糟。现在,企业的所有重要数据都存放在一台或多台专用笔记本电脑上,与公司的主系统隔绝开来。但为了开展业务,公司需要将笔记本电脑中的数据传输到主系统。试想一下,如果贵公司的所有银行信息都在一个办公室的一台笔记本电脑上,而不是主系统的一部分。因此,笔记本电脑中的数据必须定期传输到主系统中。
不仅笔记本电脑中的数据必须在某一时刻进入主系统,公司才能顺利运作,而且主系统中的数据也必须进入笔记本电脑,以便使用笔记本电脑中的各种系统。同样,试想一下你每天如何将某些财务数据从主系统顺利转移到笔记本电脑上。
在实际操作中,不可能将两个系统分开,而在这些必要的数据传输过程中,恶意软件的感染之门就会敞开。最原始的方式是使用优盘进行数据传输时,恶意软件就会被传输。然而,许多企业只是通过不同系统之间的某种形式的以太网或无线链接进行数据传输。在某些情况下,公司会放弃,将所有重要的财务操作转移到专用笔记本电脑,甚至是中文 Windows 台式机上。
这就是在中国实际发生的情况,无法避免。一些在华外资企业会根据像戴维斯先生这样的外国专家的建议安装系统。他们会使用已打补丁、已更新的操作系统、最先进的防病毒保护措施、最好的加密技术和先进的 VPN。这些工作都是徒劳的,因为一旦需要网络连接,中国电信或其他中国政府机构就会安装网络系统。他们会说,你可以为个人目的使用这些系统,但你不能在中国使用这些系统进行任何利用互联网的操作,因为中国的规定要求如下:
1.中国批准的病毒软件。
2.中国批准密码学。
3.中国批准的互联网服务提供商。
4.中国认可的云提供商。
5.中国批准的连接软件。
6.我们将向您提供经中国批准的中文版 Windows。
7.仅由中国批准(和控制)的网络顾问提供支持服务。
更重要的是,中国地方政府有权在任何时候检查您的网络系统,恕不另行通知,而且这种检查是在没有公司员工参与的情况下进行的。在检查过程中,您的数据将通过优盘被删除。如果政府检查人员想这样做,他们就可以通过使用同一个优盘来安装恶意软件。在中国,大多数大型网络连接都是通过云系统完成的。中国政府部门同样有权检查云系统。根据规定,云提供商的客户甚至不会知道其系统已被检查。
在中国,网络系统完全通过中国政府和/或中国政府机构和/或政府批准和控制的 IT 顾问提供给企业。中国政府是中国的主要黑客,您的网络安全由黑客自己负责。这不仅仅是简单的网络连接。中国政府提供固定电话系统和手机系统。中国政府提供互联网连接。中国政府提供电子邮件服务器。许多中国政府机构不使用电子邮件,而是要求所有联系都通过微信进行,而微信是一个完全不安全的平台,一直受到中国政府的监控。在中国开展业务的外国公司如果采用《简单盐》一文中描述的极端方法,也许可以避免数据受到攻击。但是,当攻击来自四面八方,由中国政府自己组织,并以监禁威胁为后盾时,任何防御最终都会失败。
因此,正如我所说:我们无处藏身。
因此,"简单盐 "的文章和我们收到的其他一些评论中提供的分析是幼稚的,绝大多数在华外商投资企业甚至连尝试的能力都没有。任务过于艰巨,他们知道最终会失败。由于在中国,这些公司无处寻求实地帮助,因此这项任务变得更加毫无意义。美国的网络安全顾问不允许在中国开展实地工作,因此实际上无法获得帮助。
为防止中国政府入侵而采取的安全措施被视为可疑甚至非法行为。这一点很重要。在 Twitter 上,我们的帖子遭到了中国机器人和中国走狗的评论,说什么 "只有那些有所隐瞒的人才会关心这种事情"。但事实是,中国政府不会允许任何顾问或公司击败其网络黑客项目。该计划是中央政府重要政策的一部分。
总部设在美国的网络安全顾问通过推销一种 "简单 "的方法来躲避中国政府的网络黑客攻击,这对他们的服务是一种双重伤害。首先,在中国,他们的措施根本行不通。其次,使用这些措施的公司有可能被认定为 "有问题",导致其网络系统受到更严格的审查,在中国的业务运营可能受到更严格的审查和干扰,甚至可能被监禁。例如,请参阅以下文章,这些文章都是在过去几周内发表的,都详细介绍了中国是如何对试图规避中国系统的外国人不怀好意的:
- 美国警告其在华公民面临 "任意 "逮捕的风险
- 澳大利亚外交部旅行建议警告:澳大利亚人在中国面临被任意逮捕的风险
- 中国针对香港的国家安全法涵盖地球上的每一个人
- 中国认为可以逮捕地球上任何批评共产主义的人
- 长岛男子如何因间谍罪被关进中国监狱
- 迈克尔-科夫里格和迈克尔-斯帕弗中国指控加拿大人从事间谍活动
我敢说,任何人读了这些文章后,都会建议中国的公司建立网络系统,以规避中国政府的指令。
因此,正如我所指出的,你无处可藏。只有当中国政府对你不感兴趣时,你才是 "安全的"。那些自以为能在中国实地打败中国系统的技术人员,简直是活在梦幻世界里。但他们没有风险。在中国开展业务的外国公司才会面临风险。我们在本博客上努力识别的正是这些风险。这些风险是真实存在的,无法用技术魔法化解。
你在外面看到了什么?
