A Kínában működő nyugati cégek maguk közlik a kínai állammal hogyan lehet őket feltörni

Kínában törvény követeli meg a helyi cégektől, hogy közöljék az állammal az ismert hibákat, amelyek így a kínai állam által támogatott hackerek kezébe jutnak. A cégek Kínán kívül vezetői semmit nem tudnak az adatátadásról, mert a helyiek börtönbe kerülnének, ha ezt elmondanák.

A hackerek számára a javítatlan sebezhetőségek értékes muníciót jelentenek. Ezekhez jellemzően három forrásból jutnak az ezzel foglalkozó bűnözők birtokába: vagy a hibák közlésekor csapnak le rájuk azonnal, és próbálják azokat kihasználni amíg még lehet, vagy - jellemzően államilag támogatott csapatoknál - milliókat költenek arra, hogy újakat derítsenek fel, vagy pedig titokban megvásárolják azokat az ezzel foglalkozó illegális piacokon. A hírszerző ügynökségek és a hadseregek számára semmi sem drága, ha kém- vagy kiberháborús kampányaik végrehajtásáról van szó.

Két évvel ezelőtt Kína egy másik megközelítést is bevezetett az ilyen sebezhetőségekre vonatkozó információk megszerzésére: egy helyi törvény megköveteli az országban működő technológiai vállalkozásoktól, hogy átadják azokat. Amikor egy cég tudomást szerez a termékében található feltörhető hibáról, köteles ezt közölni egy kínai kormányzati ügynökséggel. Ezzel elvileg nincs gond, az EU-ban hasonló törvény készül, amely előírja majd a sebezhetőségi információk közzétételét, de az amerikai CISA vagy a japán Computer Emergency Response Team is begyűjt ilyen jelentéseket. Azonban egy nemzetközi ügyek területén működő agytröszt, az Atlantic Council (Atlanti Tanács) ma közzétett jelentése szerint egyes bizonyítékok arra utalnak, hogy a kínai kormányügynökség bizonyos esetekben megosztja ezt az információt a kínai állam által támogatott hackerekkel. Tehát azzal, hogy a Kínában működő külföldi cégek betartják a törvényt, ezzel közvetve a kínai hatóságoknak adnak tippeket a saját ügyfeleik feltörésének lehetséges új módjairól.

A 2021-es törvény célja annak megreformálása, hogy a Kínában működő vállalatok és biztonsági kutatók hogyan kezelik a technológiai termékeik biztonsági réseinek felfedezését. A törvény egyebek mellett előírja, hogy a cégeknek a felfedezett hibákról szóló információkat két napon belül meg kell osztaniuk az Ipari és Információs Technológiai Minisztérium nevű kínai ügynökséggel. Az ügynökség ezután felveszi a hibát egy olyan adatbázisba, amelynek neve mandarinból fordítva "Kiberbiztonsági fenyegetések és sebezhetőségek információmegosztó platformja".

Az Atlanti Tanács jelentésének szerzői átfésülték a kínai kormány saját leírásait erről a programról, hogy feltérképezzék a sebezhetőséggel kapcsolatos információk bonyolult útját. Kiderült, hogy az adatokat több más kormányzati szervvel is megosztják, köztük a kínai Nemzeti Számítógépes Hálózati Vészhelyzeti Reagálási Technikai Csapatok/Koordinációs Központ (CNCERT/CC) nevű, a kínai hálózatok védelmével foglalkozó ügynökséggel. A kutatók azonban megállapították, hogy a CNCERT/CC a jelentéseit olyan technológiai "partnerek" számára teszi hozzáférhetővé, amelyek között pontosan olyan kínai szervezetek vannak, amelyek nem biztonsági rések kijavítására, hanem azok kihasználására szakosodtak. Az egyik ilyen partner a kínai állambiztonsági minisztérium pekingi irodája, amely az elmúlt évek legagresszívabb állami hacker-műveleteiért felelős, a kémkampányoktól a bomlasztó kibertámadásokig. A sebezhetőségi jelentéseket megosztják a Sanghaji Jiaotong Egyetemmel és a Beijing Topsec biztonsági céggel is, amelyek már korábban is együttműködtek a Kínai Népi Felszabadító Hadsereg által végrehajtott hackerkampányokban.


"Amint bejelentették a szabályozást, nyilvánvalóvá vált, hogy ez a kérdés problémává fog válni" - nyilatkozta Dakota Cary, az Atlanti Tanács kutatója és a jelentés egyik szerzője. "Most sikerült megmutatnunk, hogy valódi átfedés van a jelentési kötelezettséget előíró struktúrát működtető, a bejelentett sebezhetőségekhez hozzáféréssel rendelkező személyek és a támadó hackerműveleteket végrehajtó személyek között." Tekintettel arra, hogy a technológiai termékek sebezhetőségének javítása szinte mindig sokkal hosszabb időt vesz igénybe, mint a kínai törvényben előírt kétnapos közzétételi határidő, a kutatók szerint a törvény lényegében lehetetlen helyzetbe hoz minden Kínában működő céget: vagy elhagyják Kínát, vagy átadják a vállalat termékeiben található sebezhetőségek érzékeny leírását egy olyan kormánynak, amely ezeket az információkat támadó hackerműveletekhez használhatja fel.

A kutatók megállapították, hogy egyes cégek a jelek szerint a második lehetőséget választják. Rámutatnak egy 2022. júliusi dokumentumra, amelyet az Ipari és Információs Technológiák Minisztériumának egyik kutatószervezete a WeChat kínai nyelvű közösségi médiaszolgáltatáson közzétett. A közzétett dokumentum felsorolja a sebezhetőségi információcsere-program azon tagjait, amelyek "megfeleltek a vizsgálaton", ami valószínűleg arra utal, hogy a felsorolt vállalatok megfeleltek a törvénynek. A listán, amely történetesen az ipari vezérlőrendszer (ICS) technológiai vállalatokra összpontosít, hat nem kínai cég szerepel: Beckhoff, D-Link, KUKA, Omron, Phoenix Contact és Schneider Electric.

Az Atlantic Council jelentésének szerzői elismerik, hogy az Ipari és Informatikai Minisztérium listáján szereplő vállalatok valószínűleg nem adnak át részletes sebezhetőségi információkat, amelyeket a kínai állami hackerek azonnal felhasználhatnának. Egy megbízható "exploit", azaz egy biztonsági rést kihasználó hacker szoftver eszköz kódolása néha hosszú és nehéz folyamat, és a kínai törvények által megkövetelt, a biztonsági résre vonatkozó információk nem feltétlenül elég részletesek ahhoz, hogy egy ilyen exploitot azonnal létre lehessen hozni.

A törvény szövege azonban - némileg homályosan - megköveteli, hogy a vállalatok megadják az érintett termék nevét, modellszámát és verzióját, valamint a sebezhetőség "technikai jellemzőit, veszélyét, hatókörét stb.". Amikor az Atlanti Tanács jelentésének szerzői hozzáférést kaptak a feltörhető hibák bejelentésére szolgáló online portálhoz, azt találták, hogy az tartalmaz egy kötelezően kitöltendő mezőt, amely a kódban a sebezhetőséget "kiváltó" hely részleteit vagy egy videót tartalmaz, amely "a sebezhetőség felfedezésének részletes bizonyítását" mutatja be, valamint egy nem kötelezően kitöltendő mezőt, amely a hiba bemutatására szolgáló proof-of-concept exploit feltöltésére szolgál. Mindez sokkal több információt jelent a nem javított sebezhetőségekről, mint amit más kormányok általában megkövetelnek, vagy mint amit a vállalatok általában megosztanak ügyfeleikkel.


Kristin Del Rosso szerint a sebezhetőségek bejelentésével elvileg semmi baj nincs
Kristin Del Rosso, a Sophos kiberbiztonsági cég technológiai vezetője - aki társszerzője volt a jelentésnek - azt mondja, hogy még ezen részletek vagy egy proof-of-concept exploit nélkül is egy hiba megfelelő szintű leírása "nyomravezetőt" ad a kínai támadó hackerek számára, akik kihasználható új sebezhetőségeket keresnek. Szerinte a törvény jelentős előnyhöz juttathatja ezeket az államilag támogatott hackereket a cégek védelmi erőfeszítéseivel szemben. "Olyan ez, mint egy térkép, amely megmutatja, hogy: gyere ide, és kezdj el ásni" - mondja Del Rosso. "Fel kell készülnünk ezeknek a sebezhetőségeknek a potenciális fegyverré tételére."

Ha a kínai törvény valóban segíti az ország államilag támogatott hackereit abban, hogy a feltörhető hibák nagyobb arzenáljára tegyenek szert, annak komoly geopolitikai következményei lehetnek. Az Egyesült Államok és Kína közötti feszültségek mind az országok kiberkémkedése, mind a kibertámadásokra való nyilvánvaló felkészülés miatt az elmúlt hónapokban tetőzött. Júliusban például a Kiberbiztonsági és Információbiztonsági Ügynökség (CISA) és a Microsoft nyilvánosságra hozta, hogy kínai hackerek valahogyan megszereztek egy olyan kriptográfiai kulcsot, amely lehetővé tette kínai kémek számára, hogy hozzáférjenek 25 szervezet, köztük az amerikai Külügyminisztérium és a Kereskedelmi Minisztérium e-mail fiókjaihoz. A Microsoft, a CISA és az NSA is figyelmeztetett egy kínai eredetű hackerkampányra, amely rosszindulatú szoftvereket telepített az amerikai államok és Guam elektromos hálózataiba, talán azért, hogy képes legyen az amerikai katonai támaszpontok áramellátását kikapcsolni.

A tét tehát egyre nő, mégis, az Atlanti Tanács munkatársa, Dakota Cary első kézből tapasztalta meg, hogy a nyugati technológiai cégek valóban betartják a törvényt. Az Ipari és Informatikai Minisztérium listáján szereplő egyik vállalat kínai részlegének vezetője - akit a jelentés nem kívánt megnevezni - elmondta neki, hogy a törvénynek való megfelelés azt jelenti, hogy a vállalat kénytelen információt szolgáltatni a termékeiben található, még nem javított sebezhetőségekről. Érdekesség, hogy a vállalat egy másik, Kínán kívüli vezetője nem tudott a közzétételről. A kínai kormánnyal megosztott sebezhetőségi információk ismeretének hiánya jellemző az országban működő külföldi vállalatokra.

"A külföldi vállalatok Kínában dolgozó munkatársai jobban betartják a sebezhetőségek közzétételéről szóló törvényt, mint annak a Kínán kívüli vezetők tudatában lennének" - mondja J. D. Work, az amerikai hírszerzés egykori tisztviselője, jelenleg a National Defense University professzora. Ez nem csak hanyagságból vagy szándékos tudatlanságból fakad, teszi hozzá Work. A Kínában dolgozó munkatársak szeme előtt egy másik törvény lebeghet, amelyet Kína tavaly fogadott el, és amely a kémkedés elleni küzdelemre összpontosít. Ez megtiltja a külföldi cégek Kínában dolgozó vezetőinek, hogy a saját cégüknél másoknak elmondják hogyan érintkeznek a kínai kormánnyal - mondja. "A cégek nem biztos, hogy teljesen megértik a saját helyi irodáik viselkedésében bekövetkezett változásokat" - mondja Work - "mert ezek a helyi irodák kémkedési vádak terhe mellett nem beszélhetnek velük erről".

A Sophosnál dolgozó Kristin Del Rosso szerint még ha a Kínában működő vállalatok találnak is mozgásteret arra, hogy elkerüljék a tényleges, feltörhető sebezhetőségek felfedését a termékeikben, ez még mindig nem garancia arra, hogy Kína a jövőben nem fogja szigorítani a közzétételi törvény végrehajtását, hogy bezárja a kiskapukat. "Még ha az emberek nem is tartják be a szabályokat - vagy ha be is tartják, de csak bizonyos mértékig -, a helyzet csak tovább romolhat" - mondja Del Rosso. "Kizárt, hogy a jövőben kevesebb információt kérjenek, vagy kevesebbet követeljenek meg az ott dolgozó emberektől. Soha nem fognak enyhülni. Sokkal keményebben fognak fellépni."