Recorded Future, firma zajmująca się analizami z zakresu bezpieczeństwa, opublikowała raport ukazujący bardzo prawdopodobny wpływ zmian w chińskim prawie z zakresu cyberbezpieczeństwa, które weszło z życie w październiku ubiegłego roku. Raport można podsumować właściwie jednym zdaniem - chiński rząd może obecnie włamać się na serwery dowolnej firmy w kraju, tłumacząc się wyszukiwaniem słabości w zabezpieczeniach, a następnie skopiować wszelkie dane, do jakich uda się im dotrzeć. Nowe przepisy, które rzekomo mają wspomóc administratorów systemów oraz zapewnić bezpieczeństwo zwykłych obywateli, pozwalają ministerstw odpowiedzialnemu za bezpieczeństwo publiczne, dokonywać testów penetracyjnych oraz analizy ruchu w sieci.
Chiński rząd może wyszukiwać i wykorzystywać luki w zabezpieczeniach firm. A jeśli takich luk nie ma? To firma ma je zrobić!
Według nowych przepisów władze Chin mają możliwość wzięcia na cel i łamania zabezpieczeń każdej chińskiej firmy, która świadczy jakiekolwiek usługi internetowe na terenie kraju. Co więcej, prawo zezwala również na takie działania wobec zagranicznych firm, które jedynie posiadają serwery, lub po prostu podłączone do internetu zwykłe komputery znajdujące się fizycznie w Chinach. Co jednak najbardziej istotne, rząd wcale nie musi informować firm o odkrytych przez siebie dziurach z zabezpieczeniach, ani pomagać w ich załataniu. Co więcej, nie będą również powiadamiać o danych, które skopiowali z serwerów. To jednak nie wszystko, bo rząd ma otrzymywać również kopię wszystkich danych użytkowników, których firmy włączają do ich chińskiej sieci, co może również (zależnie od przedsiębiorstwa) obejmować obywateli innych państw.
Nowe regulacje pozwalają ministerstwu wejść do każdej firmy o dowolnym czasie, jednak nie to będzie ich głównym źródłem informacji. Testy penetracyjne, które w normalnych warunkach mają na celu odnalezienie słabych punktów w zabezpieczeniach, nie zostaną zakończone kiedy zostanie odnaleziony sposób umożliwiający dostanie się do zasobów ofiary. Ministerstwo jest upoważnione do wykorzystywania tych słabości jak tylko będzie im się podobało. Co jednak z firmami tak dobrze zabezpieczonymi, że chińscy hakerzy nie odnajdą żadnych dziur w zabezpieczeniach? W takich przypadkach można nakazać firmie, żeby utworzyła tylną furtkę, na wyłączne cele ministerstwa, ale "niestety" w takiej sytuacji rząd traci element zaskoczenia. Nie ma tutaj oczywiście możliwości odmowy, jako że z ministerstwem blisko współpracuje uzbrojony oddział policji, towarzysząc przy każdej operacji.
Pokaż / Dodaj komentarze do: Rząd Chin może legalnie hakować i kraść dane firm działających w kraju