Nova lei de Chinesa fornecerá notificação antecipada de zero-days exploráveis

21/09/2021 mindsecblog Notícias 2

Nova lei de Chinesa fornecerá notificação antecipada de zero-days exploráveis. Pela nova legislação, as empresas estrangeiras que operam na China agora são obrigadas a relatar ao governo vulnerabilidades existentes em suas redes. De acordo com analistas, isso ajudará os hackers que trabalham para o Partido Comunista Chinês a realizar ataques cibernéticos contra outros países aproveitando esse tipo de informação.

A nova lei de segurança de dados da China fornecerá notificação antecipada de zero-days exploráveis e darão ao governo chinês uma vantagem para remediar – e potencialmente explorar – vulnerabilidades de dia zero, possivelmente incluindo aquelas descobertas em tecnologia usada pelo Departamento de Defesa, Comunidade de Inteligência e em todo o setor público e privado dos EUA setores de forma mais ampla.

A lei entrou em vigor em 1º de setembro e tem o objetivo de rastrear dados e segurança da informação em setores-chave. De acordo com o Artigo 29 dessa lei, as empresas internacionais na China devem relatar imediatamente incidentes de segurança de dados às autoridades e aos usuários assim que esses incidentes forem identificados. As cláusulas da lei que fornecerão a seu governo acesso antecipado quase exclusivo a um fluxo constante de vulnerabilidades de dia zero – potencialmente para incluir aquelas descobertas em tecnologias usadas pelo Departamento de Defesa e Comunidade de Inteligência.

Armada com essa informação, temem os especialistas, a China poderia explorar vulnerabilidades cibernéticas em tecnologia amplamente utilizada nos setores público e privado dos Estados Unidos. Com a promulgação da lei, a China está posicionada para coletar informações de vulnerabilidade zero day que pode ser usada para fins defensivos e ofensivos, sem obrigação de compartilhar essas informações com outros governos ou empresas.

No mesmo dia da publicação da nova lei, entrou também em vigor o estatuto chinês sobre o gerenciamento de vulnerabilidades de segurança de produtos de rede.

As disposições da lei exigem que todos os pesquisadores de segurança chineses, empresas chinesas e – mais notavelmente – empresas estrangeiras com presença na China relatem qualquer vulnerabilidade de dia zero ao Ministério da Indústria e Tecnologia da Informação da China (MIIT) dentro de dois dias após a descoberta de uma vulnerabilidade . A lei também proíbe as entidades afetadas de “coletar, vender ou publicar informações sobre vulnerabilidades de segurança de produtos de rede” e proíbe o compartilhamento de vulnerabilidades com quaisquer “organizações no exterior ou indivíduos que não sejam fornecedores de produtos de rede“.

De acordo com os especialistas: sob esta lei, a China obrigará certos pesquisadores e empresas de segurança a divulgar vulnerabilidades de dia zero ao MIIT, enquanto as fontes dessas falhas serão severamente limitadas quanto a quem mais eles podem compartilhar as informações. Enquanto isso, a China poderia explorar as vulnerabilidades presentes no governo dos EUA e nas redes corporativas americanas. Os analistas acreditam que isso proporcionará ao regime chinês condições mais favoráveis para explorar com eficácia as vulnerabilidades no ciberespaço.

As disposições da lei são amparadas por duras penalidades financeiras para o descumprimento e a possibilidade de novas ações legais por parte do governo chinês contra as entidades infratoras.

Algumas das empresas afetadas pela provisão de divulgação do DSL – como Amazon Web Services e Microsoft, para citar apenas duas – têm presença comercial na China continental, ao mesmo tempo que fornecem TI aos setores público e privado dos Estados Unidos. Isso significa que as empresas americanas, cuja tecnologia é atualmente usada na China e nos Estados Unidos, serão obrigadas a notificar o MIIT da China sobre qualquer vulnerabilidade de dia zero presente em sua tecnologia.

A lei foi escrita para ser amplo e vago, e não está claro agora como o governo chinês fará cumprir as disposições de divulgação de vulnerabilidade e penalidades relacionadas. Mas a mera perspectiva de aprendizado do MIIT de zero days que estão presentes no governo dos Estados Unidos e na tecnologia do setor privado antes que praticamente todos os outros saibam ou possam remediá-los, levantou preocupações entre alguns especialistas.

O US Cyber Command e a NSA – que trabalham com o Pentágono e a Defense Information Systems Agency na proteção de redes do DoD – não responderam a um pedido de comentário do Breaking Defense.

“Parte disso está enraizado no conceito de guerra legal, ou lei,” Dean Cheng, um dos principais especialistas em China da Heritage Foundation, disse à Breaking Defense. “O conceito chinês de guerra legal é muito mais amplo” do que a noção ocidental, disse ele. “Está usando todos os instrumentos das instituições legais – algumas leis, regulamentos, tribunais, agências de aplicação da lei – para ajudar a alcançar fins políticos.”

E, neste caso, os fins políticos envolvem a própria segurança cibernética da China e suas operações cibernéticas ofensivas. “Coloca o Ministério de Segurança do Estado [da China], que conduz hacking e espionagem de estado-nação, em uma posição de avaliar vulnerabilidades de software e transformá-las em ferramentas operacionais para que possam hackear outras nações”, Dakota Cary, analista de pesquisa em Georgetown Centro de Segurança e Tecnologia Emergente da Universidade, disse ao Breaking Defense. “Isso cria uma janela de oportunidade para os hackers estatais explorarem o que sabem ser um software vulnerável antes que ele possa ser reparado.”

Com a introdução de uma nova lei de segurança de dados, exigindo que sejam informadas ao governo todas as vulnerabilidades, incluindo vulnerabilidades de dia zero, os grupos de hackers patrocinados pelo governo serão capazes de obter acesso “facilmente” aos recursos das empresas.