Por lei, as empresas na China – incluindo as estrangeiras – são obrigadas a reportar imediatamente vulnerabilidades em sistemas e erros em códigos a uma agência governamental. No entanto, os especialistas alertam que a China utiliza hackers controlados pelo Estado e poderia usar as informações sobre as vulnerabilidades para obter acesso quase irrestrito aos sistemas das empresas.
O think tank Atlantic Council publicou um relatório analisando a nova regulamentação chinesa que exige que as empresas relatem vulnerabilidades de segurança e erros de código a um Ministério da Indústria e Tecnologia da Informação (MIIT) do governo dentro de 48 horas. Ao mesmo tempo, os especialistas alertam que a China controla vários grupos de hackers e pode usar imediatamente as informações para ataques. O relatório é, portanto, intitulado “Como a China está transformando vulnerabilidades de software em armas”. Na análise, os especialistas do grupo de reflexão assumem mesmo que a atual fonte constante de vulnerabilidades de dia zero remonta à base de dados chinesa do MIIT.
Muitas novas vulnerabilidades de dia zero do banco de dados MIIT?
As regras chinesas proíbem os investigadores de publicar informações sobre vulnerabilidades antes de um patch estar disponível, a menos que coordenem com o proprietário do produto e o MIIT. Também não é permitido publicar código de prova de conceito que mostre como uma vulnerabilidade é explorada.
De acordo com o relatório, a divulgação da vulnerabilidade ao Escritório de Pequim do 13º MSS Bureau é particularmente preocupante. Especialistas apontam que a agência passou os últimos vinte anos obtendo acesso antecipado às vulnerabilidades de software.
Quase nenhum compartilhamento de vulnerabilidades do ICS
Desde maio de 2021, houve um declínio quase completo nas vulnerabilidades de ICS relatadas publicamente na China, de acordo com o banco de dados CNVD (Imagem: Sleight of Hand, Cary e Del Rosso, Atlantic Council).
O relatório também constatou que muitas vulnerabilidades reportadas na área de ICS (Sistema de Controle Industrial) não estão mais sendo comunicadas às empresas afetadas. Os bancos de dados estatais chineses quase não mostraram vulnerabilidades na área ICS desde maio de 2021. Antes disso, havia de 40 a 80 ou mais vulnerabilidades todos os meses. Em maio de 2021, eles estavam subitamente entre 1 e 10. Em comparação, a CISA dos EUA continua a ter relatórios mensais do ICS sobre mais de 100 vulnerabilidades.
Os especialistas salientam que muitas empresas estrangeiras podem nem sequer estar cientes de que os seus funcionários chineses estão a reportar as vulnerabilidades. Afinal, eles poderão ser punidos se contornarem a lei chinesa.
Mais em AtlanticCouncil.org