Home Economia Uma competição de hackers em uma universidade chinesa teve como alvo uma vítima real?

Uma competição de hackers em uma universidade chinesa teve como alvo uma vítima real?

Por Humberto Marchezini


Os concursos de hacking Capture the Flag em conferências de segurança geralmente atendem a dois propósitos: ajudar os participantes a desenvolver e demonstrar habilidades de hacking e segurança de computadores e auxiliar empregadores e agências governamentais a descobrir e recrutar novos talentos.

Mas uma conferência de segurança na China pode ter levado sua competição um passo adiante, potencialmente usando-a como uma operação secreta de espionagem para fazer com que os participantes coletassem informações de um alvo desconhecido.

De acordo com dois pesquisadores ocidentais que traduziram a documentação da Copa Zhujian da China, também conhecida como Competição Nacional Universitária de Ataque e Defesa Cibernética, uma parte da competição de três partes, realizada pela primeira vez no ano passado, tinha uma série de características incomuns que sugerem seu propósito potencialmente secreto e pouco ortodoxo.

Capture the flag (CTF) e outros tipos de competições de hacking são geralmente hospedados em redes fechadas ou “cyber ranges” — infraestrutura dedicada configurada para a competição para que os participantes não corram o risco de interromper redes reais. Esses ranges fornecem um ambiente simulado que imita configurações do mundo real, e os participantes são encarregados de encontrar vulnerabilidades nos sistemas, obter acesso a partes específicas da rede ou capturar dados.

Existem duas grandes empresas na China que montam campos cibernéticos para competições. A maioria das competições dá destaque à empresa que projetou seu campo. Notavelmente, a Zhujian Cup não mencionou nenhum campo cibernético ou provedor de campo cibernético em sua documentação, deixando os pesquisadores se perguntando se isso se deve ao fato de a competição ter sido realizada em um ambiente real em vez de um simulado.

A competição também exigia que os alunos assinassem um documento concordando com vários termos incomuns. Eles eram proibidos de discutir a natureza das tarefas que eram solicitadas a fazer na competição com qualquer pessoa; eles tinham que concordar em não destruir ou interromper o sistema alvo; e no final da competição, eles tinham que excluir quaisquer backdoors que plantassem no sistema e quaisquer dados que adquirissem dele. E, diferentemente de outras competições na China que os pesquisadores examinaram, os participantes desta parte da Zhujian Cup eram proibidos de publicar postagens em mídias sociais revelando a natureza da competição ou as tarefas que realizavam como parte dela.

Os participantes também foram proibidos de copiar quaisquer dados, documentos ou materiais impressos que fizessem parte da competição; divulgar informações sobre vulnerabilidades que encontraram; ou explorar essas vulnerabilidades para fins pessoais. Se um vazamento de qualquer um desses dados ou materiais ocorresse e causasse danos aos organizadores do concurso ou à China, de acordo com o compromisso que os participantes assinaram, eles poderiam ser responsabilizados legalmente.

“Prometo que se qualquer incidente (ou caso) de divulgação de informações ocorrer devido a motivos pessoais, causando perdas ou danos ao organizador e ao país, eu, como indivíduo, assumirei a responsabilidade legal de acordo com as leis e regulamentos relevantes”, afirma o compromisso.

O concurso foi organizado em dezembro passado por Universidade Politécnica do Noroesteuma universidade de ciência e engenharia em Xi’an, Shaanxi, que é afiliada ao Ministério da Indústria e Tecnologia da Informação da China e também detém uma autorização de alto sigilo para conduzir trabalhos para o governo e o exército chinês. A universidade é supervisionada pelo Exército de Libertação Popular da China.



Source link

Related Articles

Deixe um comentário