W Chinach wzrasta rok rocznie liczba konkursów hakerskich wspieranych przez chiński rząd. Sytuacja robi się niebezpieczna dla USA — twierdzą amerykańscy eksperci. Ostrzegają, że powiększająca się luka w umiejętnościach cybernetycznych stawia Amerykę w niekorzystnej sytuacji strategicznej i stwarza zagrożenie dla bezpieczeństwa narodowego.
Chiny poczyniły ogromne postępy od czasu, gdy dekadę temu prezydent Xi Jinping wezwał naród do stania się „potęgą cybernetyczną”. Programy uniwersyteckie w zakresie cyberbezpieczeństwa zostały ustandaryzowane, utworzono również Narodową Bazę Talentów i Innowacji w zakresie cyberbezpieczeństwa, która certyfikuje 70 tys.ekspertów ds. cyberbezpieczeństwa rocznie, a konkursy hakerskie zyskały na popularności.
„Chiny zbudowały najbardziej wszechstronny na świecie ekosystem dla konkursów capture-the-flag (CTF) — dominującej formy konkursów hakerskich, które przebiegają w formie rywalizacji drużynowych lub wyzwań wiedzy w stylu teleturnieju „Jeopardy” (amerykańskiego odpowiednika „Va Banque” — red.)” — zauważył w niedawnym raporcie think tank Atlantic Council z siedzibą w Waszyngtonie.
W cyberbezpieczeństwie zawody CTF to gry, w których uczestnicy rozwiązują wyzwania związane z bezpieczeństwem w celu przechwycenia ukrytych fragmentów danych („flag”) w systemach, witrynach internetowych lub aplikacjach. Zapewniają one hakerom kontrolowane środowisko do ćwiczenia rozwiązywania problemów, inżynierii wstecznej i kodowania.
Atlantic Council zauważył, że w Chinach od 2004 r odbyło się ponad 120 unikalnych zawodów CTF, z których 54 miało po kilka edycji.
Wiele wydarzeń CTF jest organizowanych przez uniwersytety lub prywatne firmy, ale niektóre są sponsorowane przez instytucje rządowe. Uważa się, że służą one wyłapywaniu utalentowanych pracowników dla rządowych agencji ds. cyberbezpieczeństwa.
Wangding Cup Ministerstwa Bezpieczeństwa Publicznego może pochwalić się największą liczbą uczestników, ze średnią roczną frekwencją wynoszącą 36 310 osób. Wiadomo, że od 2015 r. ministerstwo sponsorowało 13 wyjątkowych zawodów, w których wzięło udział łącznie prawie 308 tys. osób.
Ministerstwo Edukacji przewodzi stawce z 22 sponsorowanymi konkursami, w których wzięło udział prawie 311 tys. uczestników. Najważniejsza chińska agencja szpiegowska, Ministerstwo Bezpieczeństwa Państwowego, od 2016 r. była sponsorem czterech wydarzeń, w których łącznie wzięło udział ponad 49 tys. hakerów.
— Chiński ekosystem CTF jest niezrównany pod względem wielkości i rozmachu — podsumował Atlantic Council.
Fuzja cywilno-wojskowa
Jessica Ruzic, zastępczyni wiceszefa ds. polityki w Agencji Bezpieczeństwa Cybernetycznego i Infrastruktury Departamentu Bezpieczeństwa Wewnętrznego (CISA), zwróciła uwagę, że skupienie na długoterminowych celach w autorytarnym, jednopartyjnym modelu państwa w Chinach zapewnia większą ciągłość niż krótkoterminowe podejście, które obserwowane jest w krajach demokratycznych.
— W Chińskiej mentalności leży budowanie struktur, a w amerykańskiej — rozwiązywanie problemów, które mamy tu i teraz — powiedziała Ruzic podczas wydarzenia zorganizowanego przez Atlantic Council’s Global China Hub. — Rządy USA nie nastawiają się na długofalowe myślenie strategiczne — dodała, sugerując, że jedynym horyzontem czasowym, który obchodzi amerykańskich polityków jest koniec kadencji.
— Czas na ustanowienie fundamentalnej strategii przeciwdziałania złośliwej działalności cybernetycznej Chińskiej Republiki Ludowej minął 20 lat temu — oceniła Ruzic.
Ekspertka zauważyła, że Chiny czerpią korzyści ze swojej strategii fuzji cywilno-wojskowej, zacierając granice między zasobami cywilnymi i wojskowymi w celu integracji technologii i wiedzy specjalistycznej, które przynoszą korzyści obu sektorom. Zaznaczyła jednak, że Waszyngton nie może „skopiować i wkleić” tej strategii, biorąc pod uwagę amerykańskie ograniczenia i nacisk na innowacje w sektorze prywatnym.
Niwelowanie luki w cyberbezpieczeństwie
Mocną stroną Stanów Zjednoczonych jest ich ogólnoświatowa sieć partnerstw, zarówno z zaprzyjaźnionymi rządami, jak i firmami z sektora prywatnego. Może być wykorzystana przy „finansowaniu programów odbudowy potencjału, wymianie informacji i opracowywaniu rozwiązań”.
Ruzic zastrzegła jednak, że wymagałoby to od rządu przyjęcia nowego, bardziej opartego na współpracy podejścia niż obecne.
Zauważyła, że rząd USA podejmuje już pewne kroki w kierunku dogonienia Chin — m.in. wydano 60-stronicową strategię opracowaną przez Biuro Krajowego Dyrektora ds. Zarządzania Cybernetycznego.
— Uwględnia ona takie cele, jak uczynienie edukacji cybernetycznej bardziej otwartą i dostępną oraz wspieranie nauki przez praktykę i eksperymentowanie, na wzór chińskich konkursów hakerskich — powiedziała.
Chińskie umiejętności CTF
Eugenio Benincasa, współautor raportu Atlantic Council i starszy badacz w Centrum Studiów nad Bezpieczeństwem ETH Zurich, powtórzył obawy dotyczące szybko rozwijającego się chińskiego ekosystemu CTF.
— Zaskoczył mnie nie tylko rozmiar ekosystemu CTF, ale — co ważniejsze — jego integracja z programami akademickimi i sektorem zawodowym. Dotyczy to zwłaszcza CTF Atak-Obrona — powiedział Benincasa „Newsweekowi”.
Zauważył, że pierwszy chiński konkurs ataku i obrony, Baidu CTF, był wzorowany na konkursie CTF organizowanym podczas corocznych zawodów DEF CON w Las Vegas.
— Od tego czasu chiński ekosystem CTF w zakresie ataku i obrony stał się większy i bardziej wszechstronny niż nasz — powiedział. Powinniśmy priorytetowo traktować finansowanie i rozszerzanie dostępu do podobnych konkursów, aby wzmocnić nasz własny ekosystem — dodał.
Wskazał, że nie tylko stworzy to silniejszą społeczność cyberbezpieczeństwa w USA, ale także zwiększy świadomość pojawiających się zagrożeń.
Benincasa zwrócił również uwagę na ryzyko związane z konkursami, które koncentrują się na znajdowaniu i demonstrowaniu rzeczywistych luk w określonym oprogramowaniu lub systemach.
— Te luki są prawdopodobnie przekazywane do chińskich agencji bezpieczeństwa w celu potencjalnego wykorzystania w operacjach ofensywnych — powiedział Benincasa, który pracował również w Departamencie Policji Nowego Jorku jako analityk kryminalny.
Benincasa zaznaczył, że wiele można się nauczyć z chińskich CTF, które koncentrują się na wyzwaniach unikalnych dla danego sektora, na przykład egzekwowania prawa, opieki zdrowotnej, aplikacji i kryptografii.
USA zostają w tyle?
Dakota Cary, która pisze do „Global China Hub” oraz jest współautorką raportu Atlantic Council, zwróciła uwagę na różnicę między chińskimi i amerykańskimi konkursami CTF.
— Amerykański ekosystem CTF zazwyczaj organizuje zawody zorientowane defensywnie, mające na celu ocenę zdolności uczestników do zabezpieczenia swoich systemów przed atakiem. W przypadku wielu chińskich CTF umiejętności ofensywne są traktowane priorytetowo — powiedziała.
Zapytana o możliwości cybernetyczne Stanów Zjednoczonych od czasu ujawnienia przez informatora Edwarda Snowdena globalnych programów inwigilacji Agencji Bezpieczeństwa Narodowego, Cary powiedziała, że przekonanie o dominacji USA jest nieaktualne.
— Zbieranie danych na dużą skalę jest teraz niezwykle trudne ze względu na wszechobecne szyfrowanie — powiedział. — Amerykański system był wcześniej niezrównany, ale wielu specjalistów w tej dziedzinie przyznaje, że Chiny są lepszym graczem. Skala ich społeczności badawczej przyćmiewa inne narody, zarówno ze względu na wielkość Chin, jak i ich skoncentrowane wysiłki w ciągu ostatniej dekady.
Wzrostowi popularności konkursów hakerskich towarzyszyło nasilenie kampanii prowadzonych przez powiązane z państwem grupy hakerskie, takie jak Flax Typhoon, którą FBI zlikwidowało we wrześniu po tym, jak zhakowała ponad 200 tys. domowych routerów, kamer i innych urządzeń konsumenckich w całym kraju.
Dyrektor FBI Christopher Wray i inni pracownicy wywiadu ostrzegli, że chińscy hakerzy starają się tworzyć warunki umożliwiające zakłócenie działania kluczowej infrastruktury, a także angażują się w kradzież własności intelektualnej.
— ChRL ma większy program hakerski niż wszystkie duże kraje razem wzięte — powiedział Wray podczas przesłuchania w Kongresie na początku tego roku. Ostrzegł, że hakerzy kładą podwaliny pod „sianie spustoszenia” w amerykańskiej infrastrukturze, które może przynieść korzyści Chinom.
Pekin odrzucił takie oskarżenia jako „niemające oparcia w faktach” i zarzucił Amerykanom hipokryzję, powołując się na własne raporty o działaniach USA w cyberprzestrzeni.
Tekst opublikowany w amerykańskim „Newsweeku”. Tytuł, lead i śródtytuły od redakcji „Newsweek Polska”
