Trükköznek a biztonsági hibákkal a kínaiak
Az ország nyilvános sebezhetőségi adatbázisában talált furcsaságokat egy biztonsági kutatócég.
Kína meghamisítja a sebezhetőségekről szóló nyilvános adatbázisát - állítja friss elemzésében a Recorded Future biztonsági kutatócég. A pár napja publikált anyag szerint a kínai kormány nemes egyszerűséggel megtartja magának a veszélyesebb, kvázi kiberfegyverként is használható, súlyosabb hibákat, hogy azokat belföldi megfigyelésekhez, vagy akár más országok támadásához használja fel. Az elemzés legalább 267 darab olyan sebezhetőséget talált, amelynek leírását a kínai kormány azért manipulálta, hogy a kutatókat félrevezetve titokban tarthassa mindenkori fegyvertárát.
A Recorded Future szerint ugyanis a CNNVD (China National Vulnerability Database), vagyis a kínaiak sebezhetőségeket tartalmazó nyilvános adatbázisa egy ideje szűrési mechanizmust alkalmaz. Az újonnan felfedezett biztonsági sebezhetőségeket először megvizsgálják, majd amennyiben potenciálisan komoly fenyegetést jelenthetnek, úgy inkább elraktározzák azokat egy virtuális fegyvertárban későbbi, műveleti felhasználáshoz.
A kutatócég már korábban is tanulmányozta a CNNVD-t, amely publikálás szempontjából számos esetben bizonyult gyorsabbnak, valamint részletesebbnek, mint amerikai megfelelője, az NVD (National Vulnerability Database). Ennek okát régebben abban látta a kutatócég, hogy míg az NVD csak a termékek készítőinek kvázi hivatalos jelentéseire épít, addig a CNNVD számos különféle forrásból dolgozik.
A legújabb eredmények alapján viszont a villámgyors publikálás sok esetben csak illúzió volt. Amennyiben ugyanis a sebezhetőség a súlyosabb kategóriába esett, vagy volt elérhető exploit, akkor a CNNVD napokat, heteket, vagy akár hónapokat is ült azokon, a valós publikáláskor pedig egyszerűen egy korábbi közlési dátummal próbálta leplezni a mesterséges szelekciót. A Recorded Future szerint Kína az egyik esetben nyolc hónapig rejtegetett egy hibát, aminek tükrében az NVD már lényegesen gyorsabbnak tűnik hasonló kaliberű sebezhetőségek esetében.
Nagy pénz, nagy szívás: útravaló csúcstámadó IT-soknak Az informatikai vezetősködés sokak álma, de az árnyoldalaival kevesen vannak tisztában.
Az elemzés összesen 267 olyan CVE-t számolt, amelyet korábbi dátummal publikált a CNNVD. Ezek között volt egy Microsoft Office-t érintő is, amelyet Kína célzott támadásokhoz (APT - Advanced Persistent Threat) használt fel Oroszország és Közép-Ázsia egyes pénzügyi intézményeinél. A Recorded Future szerint egy másik, az Android operációs rendszert érintő, firmware-alapú sebezhetőséget határain belül kamatoztatott az ország: a backdoort kihasználva saját állampolgárait vette górcső alá.
Az írás arra is rávilágít, hogy vélhetően egy jól összehangolt művelet húzódhat a háttérben. Az MSS (Ministry of State Security), vagyis Kínai Állambiztonsági Minisztérium és a CNNVD ugyanis egyazon pekingi irodaépületben székel. A Recorded Future szerint a sebezhetőségek kiértékelésekor prioritást élveznek az MSS szempontjai, amennyiben pedig a hiba kiberfegyverneként is bevethető, úgy azt automatikusan továbbítják a minisztérium illetékeseinek. Mindez pedig komolyan megkérdőjelezi a CNNVD megbízhatóságát, amely bár elsőre igen alaposnak tűnhet, a manipulációk alapján nem érdemes adatbázisára védelmi vonalakat felhúzni.