За спонсорираните от държавата хакерски операции непоправените уязвимости са ценна находка. Разузнавателните агенции и военните се възползват от хакнатите грешки, когато те бъдат разкрити - използват ги, за да провеждат кампаниите си за шпионаж или кибервойна, или харчат милиони, за да открият нови или да ги купят тайно от хакерския сив пазар.
Но през последните две години Китай добави още един подход за получаване на информация за тези уязвимости: закон, който просто изисква от всяко предприятие за мрежови технологии, работещо в страната, да я предаде. Когато технологичните компании научат за уязвимост в своите продукти, те вече са длъжни да я съобщят на китайска правителствена агенция, която в някои случаи споделя тази информация с китайските хакери, спонсорирани от държавата, според ново разследване. Някои данни сочат, че чуждестранните фирми със седалище в Китай спазват закона, като косвено дават на китайските власти съвети за потенциални нови начини за хакване на собствените им клиенти.
Базираният във Вашингтон Атлантическия съвет публикува доклад, в който се разследват последиците от китайски закон, приет през 2021 г., чиято цел е да реформира начина, по който компаниите и изследователите по сигурността, работещи в Китай, се справят с откриването на уязвимости в сигурността на технологични продукти. Законът изисква наред с други неща технологичните компании, които открият или научат за хакнат недостатък в своите продукти, да споделят информация за него в рамките на два дни с китайска агенция, известна като Министерство на промишлеността и информационните технологии. След това агенцията добавя дефекта към база данни, чието име се превежда от мандарин като Платформа за обмен на информация за заплахите и уязвимостите в киберсигурността, но често се нарича с по-простото английско име - Национална база данни за уязвимостите.
Авторите на доклада преглеждат собствените описания на тази програма от страна на китайското правителство, за да очертаят сложния път, по който преминава информацията за уязвимостта: данните се споделят с няколко други правителствени органа, включително с китайския Национален технически екип/координационен център за реагиране при извънредни ситуации с компютърни мрежи (CNCERT/CC) - агенция, която се занимава със защитата на китайските мрежи. Но изследователите откриват, че CNCERT/CC предоставя докладите си на технологични "партньори", сред които са точно такива китайски организации, които се занимават не с отстраняване на уязвимости в сигурността, а с тяхното използване. Един такъв партньор е пекинското бюро на китайското Министерство на държавната сигурност - агенцията, отговорна за много от най-агресивните хакерски операции, спонсорирани от държавата през последните години - от шпионски кампании до разрушителни кибератаки. Докладите за уязвимостите се споделят и с Шанхайския университет "Дзяотун" и фирмата за сигурност Beijing Topsec, които в миналото са сътрудничили на хакерски кампании, провеждани от Китайската народноосвободителна армия.
Като се има предвид, че отстраняването на уязвимостите в технологичните продукти почти винаги отнема много повече време от двудневния срок за оповестяване, предвиден в китайския закон, изследователите от Атлантическия съвет твърдят, че законът по същество поставя в невъзможност всяка фирма с дейност в Китай: или да напусне Китай, или да предостави чувствителни описания на уязвимостите в продуктите на компанията на правителство, което може да използва тази информация за хакерски атаки.
Снимка: Unsplash
Виж още: Сайтовете с еротично съдържание вече ще изискват доказателство за пълнолетие