.
Do TikTok aos roteadores da Huawei e aos drones da DJI, as crescentes tensões entre a China e os EUA tornaram os americanos – e o governo dos EUA – cada vez mais cautelosos com as tecnologias de propriedade chinesa. Mas, graças à complexidade da cadeia de suprimentos de hardware, os chips de criptografia vendidos pela subsidiária de uma empresa especificamente sinalizada em advertências do Departamento de Comércio dos EUA por seus laços com os militares chineses encontraram seu caminho para o hardware de armazenamento de redes militares e de inteligência. em todo o oeste.
Em julho de 2021, o Bureau of Industry and Security do Departamento de Comércio adicionou o fabricante de chips de criptografia Hualan Microelectronics, com sede em Hangzhou, na China, também conhecido como Sage Microelectronics, à sua chamada “Lista de Entidades”, uma lista de restrições comerciais com nome vago que destaca empresas “agindo de forma contrária aos interesses da política externa dos Estados Unidos”. Especificamente, a agência observou que Hualan havia sido adicionado à lista por “adquirir e … tentar adquirir itens de origem americana em apoio à modernização militar para [China’s] Exército Popular de Libertação”.
No entanto, quase dois anos depois, a Hualan – e em particular sua subsidiária conhecida como Initio, uma empresa originalmente sediada em Taiwan que foi adquirida em 2016 – ainda fornece chips microcontroladores de criptografia para fabricantes ocidentais de discos rígidos criptografados, incluindo vários que listam como clientes em seus websites Agências aeroespaciais, militares e de inteligência de governos ocidentais: NASA, OTAN e os militares dos EUA e do Reino Unido. Registros de aquisições federais mostram que as agências do governo dos EUA, da Administração Federal de Aviação à Administração Antidrogas e à Marinha dos EUA, também compraram discos rígidos criptografados que usam os chips.
A desconexão entre os avisos do Departamento de Comércio e os clientes do governo ocidental significa que os chips vendidos pela subsidiária de Hualan acabaram entrando nas redes de informações ocidentais sensíveis, talvez devido à ambigüidade de sua marca Initio e sua origem taiwanesa antes de 2016. Propriedade chinesa do fornecedor do chip levantou temores entre pesquisadores de segurança e analistas de segurança nacional focados na China de que eles poderiam ter um backdoor oculto que permitiria ao governo da China descriptografar furtivamente os segredos das agências ocidentais. E embora nenhum backdoor tenha sido encontrado, os pesquisadores de segurança alertam que, se existisse, seria praticamente impossível detectá-lo.
“Se uma empresa está na Lista de Entidades com um aviso específico como este, é porque o governo dos EUA diz que essa empresa está apoiando ativamente o desenvolvimento militar de outro país”, diz Dakota Cary, uma pesquisadora focada na China no Atlantic Council, um Think tank com sede em Washington, DC. “Ele está dizendo que você não deveria comprar deles, não apenas porque o dinheiro que você está gastando está indo para uma empresa que usará esses recursos para promover os objetivos militares de outro país, mas porque você não pode confiar no produto.”
Tecnicamente, a Lista de Entidades é uma lista de “controle de exportação”, diz Emily Weinstein, pesquisadora do Centro de Segurança e Tecnologia Emergente da Universidade de Georgetown. Isso significa que as organizações dos EUA estão proibidas de exportar componentes para empresas da lista, ao invés de importar componentes de eles. Mas Cary, Weinstein e o Departamento de Comércio observam que muitas vezes é usado como um aviso de fato para os clientes dos EUA também não comprarem de uma empresa estrangeira listada. Tanto a empresa de networking Huawei quanto a fabricante de drones DJI foram adicionadas à lista, por exemplo, por seus supostos laços com os militares chineses. “É usado como uma lista negra”, diz Weinstein. “A Lista de Entidades deve ser um alerta vermelho ou talvez amarelo para qualquer pessoa no governo dos EUA que esteja trabalhando com esta empresa para dar uma segunda olhada nisso.”
Quando a WIRED entrou em contato com o Bureau of Industry and Security do Departamento de Comércio, um porta-voz respondeu que o BIS é proibido por lei de comentar à imprensa sobre empresas específicas e que a subsidiária não listada de uma empresa – como a Initio – não é tecnicamente afetada pela Entidade Restrições legais da lista. Mas o porta-voz acrescentou que “como um assunto geral, a afiliação com uma entidade listada deve ser considerada uma ‘bandeira vermelha’”.
.
