Nowe rozporządzenie Chińskiej Administracji Cyberprzestrzeni (CAC) wejdzie w życie już 1 września 2021 roku, efektywnie nakładając rygorystyczne wymogi na całą branżę tech.
Luki zero-day to zawsze temat kontrowersyjny. Przypomnijmy, chodzi o takie podatności, które nie są znane producentom sprzętu czy oprogramowania, więc stanowią najgroźniejszy możliwy wektor ataku.
W świecie utopijnym każdy, kto tego rodzaju lukę wykryje, powinien niezwłocznie skontaktować się z producentem, by dostarczyć mu informacji niezbędnych do stworzenia łatki. Zazwyczaj badacz może wtedy liczyć na gratyfikację. Zero-daye to niestety także biznes, często o dyskusyjnej stronie moralnej. Firmy takie jak Zerodium masowo skupują exploity, by później odsprzedać je z zyskiem. Nie do końca wiadomo komu, a potencjalnych chętnych jest wielu: dyktatorzy, agencje wywiadowcze, przestępcy itd.
Tutaj do akcji wkracza Pekin, który usiłuje sprawy ukonstytuować. Jak wynika z oficjalnej narracji, nowe przepisy mają na celu ujednolicenie wykrywania, raportowania, naprawy i usuwania luk w zabezpieczeniach, a także zapobieganie zagrożeniom bezpieczeństwa. Szybko dostrzeżemy w nich jednak parę kruczków.
Zobacz: Huawei nadal rządzi w Chinach
W myśl legislacji zabroniony staje się handel lukami, przez co należy rozumieć, że badacz nie może swych odkryć sprzedać. Pod groźbą kary nie może ponadto wykorzystać swej wiedzy do spekulacji czy oszustwa. Musi za to wprost przesłać dokumentację do zainteresowanej firmy, mając jednocześnie 48 godz. na dostarczenie jej kopii lokalnym władzom. Co szczególne, przepisy dopuszczają przy tym wymianę know-how z innymi podmiotami o charakterze netsecowym, ale z wyłączeniem organizacji zamorskich. W domyśle: tych z USA.
Nietrudno zauważyć, jakie to rodzi obawy: chiński badacz zero-daya wprawdzie nie sprzeda, ale wyłoży go na tacy rządowi. W jakim celu? Oficjalnie to czysta biurokracja, a nieoficjalnie – cóż, na pewno rodzi domysły.
Źródło zdjęć: Mockuper.net
Źródło tekstu: CAC, oprac. własne
