Strona główna Polityka Czy celem konkursu hakerskiego na chińskim uniwersytecie była prawdziwa ofiara?

Czy celem konkursu hakerskiego na chińskim uniwersytecie była prawdziwa ofiara?

36
0


Konkursy hakowania flagi organizowane na konferencjach poświęconych bezpieczeństwu służą zazwyczaj dwóm celom: pomocy uczestnikom w rozwijaniu i demonstrowaniu umiejętności w zakresie hakowania komputerów i bezpieczeństwa oraz pomaganiu pracodawcom i agencjom rządowym w odkrywaniu i rekrutowaniu nowych talentów.

Jednak jedna z konferencji poświęconych bezpieczeństwu w Chinach mogła pójść o krok dalej i potencjalnie wykorzystać ją jako tajną operację szpiegowską, mającą na celu nakłonienie uczestników do zebrania informacji wywiadowczych od nieznanego celu.

Według dwóch zachodnich badaczy, którzy tłumaczyli dokumentację chińskiego Pucharu Zhujian, znanego również jako Krajowy Zespołowy Konkurs na Ataki i Obronę w Cyberbezpieczeństwie, jedna z części trzyczęściowego konkursu, który odbył się po raz pierwszy w zeszłym roku, miała szereg niezwykłych cech, które sugerują, że jego potencjalnie tajny i niekonwencjonalny cel.

Konkursy Capture the flag (CTF) i inne rodzaje konkursów hakerskich są zazwyczaj organizowane w zamkniętych sieciach lub „cyberprzestrzeniach” – dedykowanej infrastrukturze stworzonej na potrzeby zawodów, aby uczestnicy nie narażali się na ryzyko zakłócania rzeczywistych sieci. Zakresy te zapewniają symulowane środowisko naśladujące konfiguracje ze świata rzeczywistego, a zadaniem uczestników jest znalezienie luk w zabezpieczeniach systemów, uzyskanie dostępu do określonych części sieci lub przechwycenie danych.

W Chinach są dwie duże firmy, które tworzą cyberprzestrzenie na potrzeby zawodów. Większość konkursów nagradza firmę, która zaprojektowała ich asortyment. Warto zauważyć, że w swojej dokumentacji Zhujian Cup nie wspomniano o żadnym dostawcy zasięgu cybernetycznego ani dostawcy zasięgu cybernetycznego, pozostawiając badaczy z pytaniem, czy dzieje się tak dlatego, że konkurs odbywał się w środowisku rzeczywistym, a nie symulowanym.

Konkurs wymagał także od studentów podpisania dokumentu wyrażającego zgodę na kilka nietypowych warunków. Zakazano im omawiania z kimkolwiek charakteru zadań, które mają wykonać w konkursie; musieli zgodzić się, że nie będą niszczyć ani zakłócać docelowego systemu; a na koniec konkursu musieli usunąć wszelkie backdoory, które umieścili w systemie, oraz wszelkie dane, które z niego uzyskali. I w przeciwieństwie do innych konkursów w Chinach, które badali badacze, uczestnikom tej części Pucharu Zhujian zakazano publikowania w mediach społecznościowych postów ujawniających charakter zawodów lub zadania, jakie w ich ramach wykonywali.

Uczestnikom zakazano także kopiowania jakichkolwiek danych, dokumentów i materiałów drukowanych będących częścią konkursu; ujawnianie informacji o znalezionych lukach; lub wykorzystywanie tych luk do celów osobistych. Jeśli nastąpi wyciek jakichkolwiek danych lub materiałów i wyrządzi on szkodę organizatorom konkursu lub Chinom, zgodnie z zobowiązaniem podpisanym przez uczestników, mogą oni zostać pociągnięci do odpowiedzialności prawnej.

„Obiecuję, że jeśli jakikolwiek incydent (lub przypadek) ujawnienia informacji nastąpi z powodów osobistych, powodując stratę lub szkodę dla organizatora i kraju, ja, jako osoba fizyczna, poniosę odpowiedzialność prawną zgodnie z odpowiednimi przepisami ustawowymi i wykonawczymi.” zastaw stwierdza.

Organizatorem konkursu w grudniu ubiegłego roku była firma Północno-Zachodni Uniwersytet Politechnicznyuniwersytet naukowo-inżynieryjny w Xi’an w prowincji Shaanxi, powiązany z chińskim Ministerstwem Przemysłu i Technologii Informacyjnych, a także posiadający ściśle tajne zezwolenie na prowadzenie pracy dla chińskiego rządu i wojska. Uniwersytet jest nadzorowany przez Chińską Armię Ludowo-Wyzwoleńczą.



Link źródłowy