China Mengungkapkan Kelemahan Teknologi yang Dapat Diretas pada Produk Mereka

Untuk operasi peretasan yang , kerentanan yang belum ditambal adalah amunisi yang berharga. Badan-badan intelijen dan militer memanfaatkan bug yang dapat diretas ketika bug tersebut terungkap – mengeksploitasinya untuk melakukan kampanye spionase atau perang dunia maya – atau menghabiskan jutaan dolar untuk menggali bug baru atau membelinya secara rahasia dari pasar abu-abu peretas.

Namun selama dua tahun terakhir, Tiongkok telah menambahkan pendekatan lain untuk mendapatkan informasi tentang kerentanan tersebut: sebuah undang-undang yang hanya menuntut agar setiap bisnis teknologi jaringan yang beroperasi di negara tersebut menyerahkannya.

Ketika perusahaan teknologi mengetahui adanya kelemahan yang dapat diretas pada produk mereka, mereka kini diharuskan untuk memberi tahu lembaga pemerintah Tiongkok – yang, dalam beberapa kasus, kemudian membagikan informasi tersebut kepada peretas yang disponsori negara Tiongkok, menurut penyelidikan baru.

China Mengungkapkan Kelemahan Teknologi yang Dapat Diretas

Dan beberapa bukti menunjukkan bahwa perusahaan asing yang beroperasi di Tiongkok mematuhi hukum, dan secara tidak langsung memberikan petunjuk kepada pihak berwenang Tiongkok tentang potensi cara-cara baru untuk meretas pelanggan mereka sendiri.

Peraturan Ketat Perusahaan Teknologi di China

Hari ini, Dewan Atlantik merilis sebuah laporan – yang temuannya telah dibagikan sebelumnya oleh penulisnya kepada kami – yang menyelidiki dampak dari undang-undang Tiongkok yang disahkan pada tahun 2021, yang dirancang untuk mereformasi cara perusahaan dan peneliti keamanan yang beroperasi di Tiongkok menangani penemuan kerentanan keamanan dalam teknologi. .produk.

Undang-undang tersebut antara lain mensyaratkan bahwa perusahaan teknologi yang menemukan atau mengetahui kelemahan yang dapat diretas pada produk mereka harus membagikan informasi mengenai hal tersebut dalam waktu dua hari kepada lembaga Tiongkok yang dikenal sebagai Kementerian Perindustrian dan Teknologi Informasi.

Badan tersebut kemudian menambahkan kelemahan tersebut ke database yang namanya diterjemahkan dari bahasa Mandarin sebagai Platform Berbagi Informasi Ancaman dan Kerentanan Keamanan Siber tetapi sering disebut dengan nama Inggris yang lebih sederhana, Database Kerentanan Nasional.

Penulis laporan menelusuri deskripsi pemerintah Tiongkok sendiri mengenai program tersebut untuk memetakan jalur kompleks yang kemudian diambil oleh informasi kerentanan: Data dibagikan dengan beberapa badan pemerintah lainnya, termasuk Tim Teknis/Pusat Koordinasi Tanggap Darurat Jaringan Komputer Nasional Tiongkok, atau CNCERT/ CC, sebuah lembaga yang dikhususkan untuk membela jaringan Tiongkok.

China Mengungkapkan Kelemahan Teknologi

Namun para peneliti menemukan bahwa CNCERT/CC membuat laporannya tersedia bagi “mitra” teknologi yang mencakup organisasi-organisasi Tiongkok yang tidak bertujuan memperbaiki kerentanan keamanan tetapi mengeksploitasinya. Salah satu mitra tersebut adalah biro Kementerian Keamanan Negara Tiongkok di Beijing, lembaga yang bertanggung jawab atas banyak operasi peretasan paling agresif yang disponsori negara dalam beberapa tahun terakhir, mulai dari kampanye mata-mata hingga serangan siber yang mengganggu.

Laporan kerentanan juga dibagikan kepada Universitas Shanghai Jiaotong dan perusahaan keamanan Beijing Topsec, yang keduanya memiliki sejarah dalam bekerja sama dalam kampanye peretasan yang dilakukan oleh Tentara Pembebasan Rakyat Tiongkok.

“Segera setelah peraturan tersebut diumumkan, terlihat jelas bahwa hal ini akan menjadi sebuah masalah,” kata Dakota Cary, peneliti di Global China Hub milik Atlantic Council dan salah satu penulis laporan tersebut. “Sekarang kami dapat menunjukkan bahwa ada tumpang tindih yang nyata antara orang-orang yang mengoperasikan struktur pelaporan yang diamanatkan ini yang memiliki akses terhadap kerentanan yang dilaporkan dan orang-orang yang melakukan operasi peretasan ofensif.”

Mengingat bahwa perbaikan kerentanan dalam produk-produk teknologi hampir selalu memakan waktu jauh lebih lama dibandingkan batas waktu pengungkapan undang-undang Tiongkok yang hanya dua hari, para peneliti Dewan Atlantik berpendapat bahwa undang-undang tersebut pada dasarnya menempatkan perusahaan mana pun yang beroperasi di Tiongkok pada posisi yang mustahil: Tinggalkan Tiongkok atau berikan hal-hal sensitif. deskripsi kerentanan dalam produk perusahaan kepada pemerintah yang mungkin menggunakan informasi tersebut untuk peretasan ofensif.

Fakta Tersembunyi Perindustrian Teknologi China

Faktanya, para peneliti menemukan bahwa beberapa perusahaan tampaknya mengambil opsi kedua. Mereka menunjuk pada dokumen Juli 2022 yang diposting ke akun organisasi penelitian di Kementerian Perindustrian dan Teknologi Informasi di layanan media sosial berbahasa Mandarin, WeChat.

Dokumen yang diposting berisi daftar anggota program Berbagi Informasi Kerentanan yang “lulus ujian,” kemungkinan menunjukkan bahwa perusahaan-perusahaan yang terdaftar mematuhi hukum. Daftar tersebut, yang kebetulan berfokus pada perusahaan teknologi sistem kendali industri (atau ICS), mencakup enam perusahaan non-Tiongkok: Beckhoff, D-Link, KUKA, Omron, Phoenix Contact, dan Schneider Electric.

Namun teks undang-undang tersebut mengharuskan – secara samar-samar – bahwa perusahaan memberikan nama, nomor model, dan versi produk yang terkena dampak, serta kerentanan “karakteristik teknis, ancaman, cakupan dampak, dan sebagainya.”

Ketika penulis laporan Dewan Atlantik mendapat akses ke portal online untuk melaporkan kelemahan yang dapat diretas, mereka menemukan bahwa portal tersebut menyertakan kolom entri yang diperlukan untuk rincian di mana kode untuk “memicu” kerentanan atau video yang menunjukkan “bukti rinci dari kerentanan tersebut.” proses penemuan, ”serta bidang entri yang tidak diperlukan untuk mengunggah eksploitasi bukti konsep untuk menunjukkan kelemahannya.

Semua itu merupakan informasi yang jauh lebih banyak tentang kerentanan yang belum ditambal dibandingkan yang biasanya diminta oleh pemerintah lain atau yang umumnya dibagikan oleh perusahaan kepada pelanggan mereka.

Kami bertanya kepada keenam perusahaan tersebut apakah mereka benar-benar mematuhi hukum dan berbagi informasi tentang kerentanan yang belum ditambal pada produk mereka kepada pemerintah Tiongkok.

Hanya dua perusahaan, D-Link dan Phoenix Contact, yang secara tegas menolak memberikan informasi tentang kerentanan yang belum ditambal kepada pihak berwenang Tiongkok, meskipun sebagian besar dari mereka berpendapat bahwa mereka hanya memberikan informasi kerentanan yang relatif tidak berbahaya kepada pemerintah Tiongkok dan melakukannya pada saat yang sama dengan memberikan informasi tersebut kepada pemerintah negara lain atau kepada pelanggan mereka sendiri.

Penulis laporan Dewan Atlantik mengakui bahwa perusahaan-perusahaan yang masuk dalam daftar Kementerian Perindustrian dan Teknologi Informasi kemungkinan besar tidak akan memberikan informasi kerentanan terperinci yang dapat segera digunakan oleh peretas negara Tiongkok.

Mengkodekan “eksploitasi” yang andal, yaitu perangkat lunak peretasan yang memanfaatkan kerentanan keamanan, terkadang merupakan proses yang panjang dan sulit, dan informasi tentang kerentanan yang diwajibkan oleh undang-undang Tiongkok belum tentu cukup rinci untuk segera membangun eksploitasi tersebut.

Bahkan ketika pertaruhan tersebut meningkat, Cary dari Dewan Atlantik mengatakan bahwa dia telah melakukan percakapan langsung dengan salah satu perusahaan teknologi Barat yang masuk dalam daftar Kementerian Perindustrian dan Teknologi Informasi yang secara langsung mengatakan kepadanya bahwa perusahaan tersebut mematuhi undang-undang pengungkapan kerentanan Tiongkok.

Menurut Cary, pimpinan eksekutif perusahaan Tiongkok – yang tidak ingin disebutkan namanya oleh Cary – mengatakan kepadanya bahwa mematuhi hukum berarti perusahaan tersebut terpaksa menyerahkan informasi tentang kerentanan yang belum ditambal pada produknya kepada Kementerian Perindustrian dan Informasi. .Teknologi. Dan ketika Cary berbicara dengan eksekutif perusahaan lainnya di luar Tiongkok, eksekutif tersebut tidak mengetahui pengungkapan tersebut.

Cary berpendapat bahwa kurangnya kesadaran akan informasi kerentanan yang dibagikan kepada pemerintah Tiongkok mungkin merupakan hal yang biasa terjadi pada perusahaan asing yang beroperasi di negara tersebut. “Jika hal ini tidak masuk dalam radar para eksekutif, mereka tidak akan bertanya-tanya apakah mereka mematuhi undang-undang yang baru saja diterapkan Tiongkok,” kata Cary. “Mereka hanya mendengarnya jika mereka tidak mematuhinya.”

Dari enam perusahaan non-Tiongkok yang masuk dalam daftar perusahaan teknologi ICS yang patuh menurut Kementerian Perindustrian dan Teknologi Informasi, D-Link yang berbasis di Taiwan memberikan penolakan paling langsung kepada MOTOMOTO , menanggapi pernyataan dari kepala petugas keamanan informasi untuk Amerika Utara, William Brown, bahwa pihaknya “tidak pernah memberikan informasi keamanan produk yang dirahasiakan kepada pemerintah Tiongkok.”

Perusahaan teknologi sistem kontrol industri Jerman, Phoenix Contact, juga membantah memberikan informasi kerentanan kepada Tiongkok, dan menulis dalam sebuah pernyataan, “Kami memastikan bahwa potensi kerentanan baru ditangani dengan sangat rahasia dan tidak sampai ke tangan calon penyerang siber dan komunitas afiliasi di mana pun mereka berada. berada.”

Namun, pihak lain menganggap bentuk baru kerja paksa di penjara ini sebagai bagian dari upaya mencari tenaga kerja murah yang mendasari revolusi AI. “Narasi bahwa kita sedang bergerak menuju masyarakat yang sepenuhnya terotomatisasi dan lebih nyaman dan efisien cenderung mengaburkan fakta bahwa ada manusia yang menjalankan banyak sistem ini,” kata Amos Toh, peneliti senior yang berfokus pada kecerdasan buatan di Lembaga Hak Asasi Manusia.

Bagi Toh, percepatan pencarian orang-orang yang disebut clickworkers telah menciptakan tren di mana perusahaan semakin beralih ke kelompok orang yang tidak punya pilihan lain: pengungsi, masyarakat di negara-negara yang dilanda krisis ekonomi – dan sekarang menjadi tahanan.

“Dinamika ini sangat familiar,” kata Toh. “Apa yang kita lihat di sini adalah bagian dari fenomena yang lebih luas di mana tenaga kerja di balik pembangunan teknologi dialihdayakan ke pekerja yang bekerja keras dalam kondisi kerja yang berpotensi eksploitatif.”

Updated: 14 September 2023 — 1:49 pm