.
Os investigadores descobriram, de facto, que algumas empresas parecem estar a optar pela segunda opção. Eles apontam para um documento de julho de 2022 postado na conta de uma organização de pesquisa do Ministério da Indústria e Tecnologias da Informação no serviço de mídia social em língua chinesa WeChat. O documento publicado lista os membros do programa de compartilhamento de informações sobre vulnerabilidades que “passaram no exame”, possivelmente indicando que as empresas listadas cumpriram a lei. A lista, que se concentra em empresas de tecnologia de sistemas de controle industrial (ou ICS), inclui seis empresas não chinesas: Beckhoff, D-Link, KUKA, Omron, Phoenix Contact e Schneider Electric.
A Strong The One perguntou a todas as seis empresas se elas estão de fato cumprindo a lei e compartilhando informações sobre vulnerabilidades não corrigidas em seus produtos com o governo chinês. Apenas dois, D-Link e Phoenix Contact, negaram categoricamente ter fornecido informações sobre vulnerabilidades não corrigidas às autoridades chinesas, embora a maioria dos outros afirmasse que apenas ofereceram informações de vulnerabilidade relativamente inócuas ao governo chinês e o fizeram ao mesmo tempo que forneceram essas informações. aos governos de outros países ou aos seus próprios clientes.
Os autores do relatório do Atlantic Council admitem que as empresas constantes da lista do Ministério da Indústria e Tecnologia da Informação provavelmente não estão entregando informações detalhadas sobre vulnerabilidades que possam ser imediatamente usadas por hackers estatais chineses. Codificar uma “exploit” confiável, uma ferramenta de software de hacking que tira proveito de uma vulnerabilidade de segurança, às vezes é um processo longo e difícil, e as informações sobre a vulnerabilidade exigidas pela lei chinesa não são necessariamente detalhadas o suficiente para construir imediatamente tal exploração.
Mas o texto da lei exige – de forma um tanto vaga – que as empresas forneçam o nome, o número do modelo e a versão do produto afetado, bem como as “características técnicas, ameaça, escopo do impacto e assim por diante” da vulnerabilidade. Quando os autores do relatório do Atlantic Council obtiveram acesso ao portal online para relatar falhas hackeáveis, descobriram que ele incluía um campo de entrada obrigatório para detalhes de onde no código “acionar” a vulnerabilidade ou um vídeo que demonstra “prova detalhada da vulnerabilidade processo de descoberta”, bem como um campo de entrada não obrigatório para carregar uma exploração de prova de conceito para demonstrar a falha. Tudo isso representa muito mais informações sobre vulnerabilidades não corrigidas do que outros governos normalmente exigem ou que as empresas geralmente compartilham com seus clientes.
Mesmo sem esses detalhes ou uma exploração de prova de conceito, uma mera descrição de um bug com o nível de especificidade exigido forneceria uma “pista” para os hackers ofensivos da China enquanto procuram novas vulnerabilidades para explorar, diz Kristin Del Rosso, a diretor de tecnologia do setor público da empresa de segurança cibernética Sophos, coautor do relatório do Atlantic Council. Ela argumenta que a lei poderia proporcionar aos hackers patrocinados pelo Estado uma vantagem significativa na sua corrida contra os esforços das empresas para corrigir e defender os seus sistemas. “É como um mapa que diz: ‘Olhe aqui e comece a cavar’”, diz Del Rosso. “Temos que estar preparados para o potencial armamento dessas vulnerabilidades.”
Se a lei da China estiver de facto a ajudar os hackers patrocinados pelo Estado do país a obter um maior arsenal de falhas hackeáveis, isso poderá ter sérias implicações geopolíticas. As tensões dos EUA com a China devido à ciberespionagem do país e aos aparentes preparativos para um ataque cibernético perturbador atingiram o seu pico nos últimos meses. Em Julho, por exemplo, a Agência de Cibersegurança e Segurança da Informação (CISA) e a Microsoft revelaram que os hackers chineses tinham de alguma forma obtido uma chave criptográfica que permitia aos espiões chineses aceder às contas de correio electrónico de 25 organizações, incluindo o Departamento de Estado e o Departamento de Comércio. A Microsoft, a CISA e a NSA também alertaram sobre uma campanha de hackers de origem chinesa que plantou malware em redes elétricas em estados dos EUA e em Guam, talvez para obter a capacidade de cortar a energia das bases militares dos EUA.
.
