Люди на самых высоких уровнях власти в Китае понимают важность кибервозможностей. Генеральный директор Qihoo 360, крупнейшей в стране компании по кибербезопасности, раскритиковал китайских исследователей, работающих за пределами страны, и призвал их «остаться в Китае», чтобы осознать «стратегическую ценность» мощных уязвимостей программного обеспечения, используемых в кампаниях кибершпионажа. Через несколько месяцев его компания была связана с хакерская кампания против уйгурского меньшинства страны.
Затем последовала волна более строгих правил, ужесточивших контроль правительства над сектором кибербезопасности и отдавших приоритет государственным службам безопасности и разведки над всеми остальными, включая компании, чье программное обеспечение небезопасно.
«У китайцев уникальная система, отражающая авторитарную модель партии и государства», — говорит Дакота Кэри, аналитик Джорджтаунского центра безопасности и новых технологий.
Китайским киберисследователям фактически запрещено посещать международные хакерские мероприятия и соревнования, турниры, в которых они когда-то доминировали. В хакерском соревновании одни из лучших в мире исследователей в области безопасности соревнуются друг с другом в гонке за поиск и использование мощных уязвимостей в самых популярных в мире технологиях, таких как iPhone, Tesla или даже человеко-машинные интерфейсы, которые помогают управлять современными заводами. Призы в сотни тысяч долларов побуждают людей выявлять бреши в безопасности, чтобы их можно было исправить.
Однако теперь, если китайские исследователи хотят участвовать в международных конкурсах, им требуется одобрение, которое редко предоставляется. И они должны заранее предоставить все правительственным органам, включая любую информацию об уязвимостях программного обеспечения, которые они могут планировать использовать. Ни в одной другой стране нет такого жесткого контроля над таким обширным и талантливым классом исследователей в области безопасности.
Этот мандат был расширен за счет регулирование, требующее обо всех уязвимостях безопасности программного обеспечения следует в первую очередь сообщать правительству, что дает китайским чиновникам беспрецедентные ранние знания, которые можно использовать для оборонительных или наступательных хакерских операций.
«Все исследования уязвимостей проходят через процесс акций, при котором китайское правительство получает право первого отказа», — говорит Адам Мейерс, старший вице-президент по разведке в компании по кибербезопасности CrowdStrike. «Они могут выбирать, что они будут делать с этим, что действительно увеличивает их видимость в проводимых исследованиях и их способность находить полезность во всем этом».
Мы видели одно исключение из этого правила: сотрудник китайского гиганта облачных вычислений Alibaba сообщил о знаменитом Уязвимость Log4j разработчикам Apache вместо того, чтобы сначала доставить его властям Китая. Результатом стал публичный наказание Alibaba и скрытое предупреждение для всех, кто думает о том, чтобы сделать аналогичный шаг.
Более строгая политика Китая имеет влияние далеко за пределами самой страны.
За последнее десятилетие модель «Bug Bounty» предоставила миллионы долларов для создания глобальной экосистемы исследователей, которые находят уязвимости в безопасности программного обеспечения и получают деньги за сообщение о них. Несколько американских компаний имеют торговые площадки, где любая технологическая фирма может выставить свои продукты для тщательного изучения в обмен на вознаграждение для исследователей.
По любым меркам Китай занимает первое место или почти занимает первое место в предупреждении американских фирм об уязвимостях в их программном обеспечении. В своих показаниях в Конгрессе на прошлой неделе Кэри сказал, что неназванная крупная американская фирма сообщила ему, что китайские исследователи получили 4 миллиона долларов в 2021 году. Американские компании получают выгоду от участия этих китайских исследователей. Когда исследователи сообщают об ошибке, компании могут ее исправить. Это был статус-кво с тех пор, как десятилетие назад программы вознаграждений начали набирать популярность.
Однако по мере того, как китайское правительство ужесточает контроль, эта многомиллионная экосистема в настоящее время поставляет китайским властям постоянный поток уязвимостей программного обеспечения — эффективно финансируемых компаниями и бесплатно для Пекина.
«Политика Китая, согласно которой исследователи должны сообщать об уязвимостях Министерству промышленности и информационных технологий, создает невероятно ценный портфель программных возможностей для государства», — говорит Кэри. «Эта политика фактически позволила бесплатно купить исследования на сумму не менее 4 миллионов долларов».
Взлом роботов
В 2016 году мощная машина под названием Mayhem выиграла Cyber Grand Problem, соревнование по кибербезопасности, проводимое Агентством перспективных исследовательских проектов Министерства обороны США.
Mayhem, принадлежащая питтсбургской компании ForAllSecure, выиграла за счет автоматического обнаружения, исправления и использования уязвимостей в системе безопасности программного обеспечения. Сейчас Пентагон использует эту технологию во всех родах войск. Как оборонительные, так и наступательные возможности были сразу очевидны для всех, кто смотрел, включая китайских официальных лиц.
DARPA не запускало подобную программу с 2016 года. С другой стороны, Китай поставил как минимум семь «Взлом роботов” с 2017 года, согласно исследованию Кэри. Китайские академические, военные и частные команды были привлечены к соревнованиям, проводимым китайскими военными. Официальные документы связывают автоматическое обнаружение уязвимостей программного обеспечения непосредственно с национальными целями Китая.
Когда начинались игры Robotic Hacking Video games, генеральный директор Qihoo 360 заявил, что автоматизированные инструменты обнаружения уязвимостей стали «булавой убийцы» для Китая.
«Тот, кто освоит технологию автоматического анализа уязвимостей, первым получит возможность атаковать и защищать сеть», — сказал он. Утверждая, что его собственная компания разработала «полностью автономную автоматическую систему поиска уязвимостей», он утверждал, что эта технология является «убийцей» сетевой безопасности».
Игры по взлому роботов — один из примеров того, как китайские чиновники на самом высоком уровне смогли увидеть американский успех, а затем ловко сделать его своим.
«Снова и снова Китай изучал американскую систему, копировал ее лучшие качества и во многих случаях расширял масштабы и охват», — говорит Кэри.
Поскольку соперничество между США и Китаем продолжает оставаться определяющим фактором геополитических отношений 21-го века, киберпространство будет играть огромную роль в том, что лидеры Китая справедливо называют «новой эрой». Это касается всего, от коммерческой конкуренции до технического прогресса и даже войны.
В эту новую эпоху заявленная цель Си состоит в том, чтобы сделать Китай «кибер-сверхдержавой». По любым меркам он это сделал.