Kina anklagas för att ha mörkat säkerhetshål

2018-03-13 13:38  
Foto: Recorded Future.

Kinesiska myndigheter döljer sårbarheter de tror sig kunna ha nytta av - och försöker sedan sopa igen spåren. Det visar en ny rapport från svenska säkerhetsföretaget Recorded Future.

Kina har medvetet mörkat information om säkerhetshål för att själva kunna använda dem i cyberangrepp. Det visar en ny studie från det svenska it-säkerhetsföretaget Recorded Future.

Deras nisch är att samla in och analysera data från nätet för att kunna förutspå cyberattacker. De har fått investeringar från Google och CIA har förekommit två gånger på Ny Tekniks och Affärsvärldens 33-lista som samlar Sveriges mest lovande unga teknikföretag.

Den systematiska mörkläggningen ger statliga kinesiska hackare ett försprång, och ökar risken för att kinesiska produkter levereras med inbyggda säkerhetshål.

- Om de medvetet släpar efter ökar risken att produkter som skeppas från Kina inte är så uppdaterade som de borde vara. Risken är störst om man tittar produkter med inbäddade system som rullas ut och sedan inte patchas. Som webbkameror och andra iot-produkter, säger Recorded Futures forskningschef Staffan Truvé.

Både Kina och USA har offentliga databaser över kända säkerhetshål i mjukvara och hårdvara, de heter CNNVD och NVD. Där kan bland annat tillverkare kolla upp så att de inte släpper ifrån sig produkter med kända säkerhetsproblem.

Recorded Futures tidigare analyser av databaserna visar att Kina i regel är snabbare än USA på att rapportera in problem. I snitt tar det 13 dagar från att en sårbarhet är allmänt känd till dess att den finns med i databasen. Amerikanerna behöver 33 dagar på sig.

Läs mer: Kinas vapen för att bli ledande inom artificiell intelligens

Men även om CNNVD generellt sett är snabba finns det undantag.

Recorded Future har hittat 267 fall där den kinesiska databasen har tagit över två månader på sig att lägga in buggar i systemet - och här återfinns några väldigt allvarliga sårbarheter.

På listan finns allvarliga säkerhetshål i program från Microsoft, Google, IBM och Adobe. Samt flera sårbarheter i Linux.

I ett fall handlar det om ett säkerhetshål i Microsofts Office-paket som gör det möjligt att sprida skadlig kod via Office-dokument. Samma bugg tros ha utnyttjats av statligt stödda kinesiska hackare i en rad angrepp mot företag i finansbranschen, enligt säkerhetsfirman Proofpoint.

- Vi tror att Kina har hittat de här sårbarheterna lika snabbt som de andra i databasen, men att det funnits någon ovanför som tycker att det varit bra att hålla på informationen för att utnyttja den eller se om den går att utnyttja, säger Staffan Truvé.

En huvudmisstänkt är den kinesiska myndigheten för statssäkerhet, MSS. Enligt Recorded Futures analyser har de direkt kontroll över vad som publiceras i CNNVD.

Därmed skiljer sig situationen radikalt från den amerikanska databasen NVD som administreras av en oberoende myndighet. Visst finns det gott om bevis på att amerikanska myndigheter som NSA hemlighåller sårbarheter, men det finns inga indikationer på att de påverkar innehållet i NVD.

Sedan Recorded Future publicerade sin första analys av databaserna i november förra året har situationen blivit än märkligare.

När företaget skulle gå tillbaka och göra ytterligare en analys upptäckte de att Kina hade ändrat informationen i databasen. Informationen om merparten av de 267 buggar som rapporterats in sent hade plötsligt manipulerats.

- När vi gick tillbaka och tittade såg vi att de ändrat datumen på alla utom två, så att de antingen var inrapporterade precis samtidigt som i NVD eller till och med några dagar tidigare, säger Staffan Truvé.

En upptäckt som han menar bekräftar teorin om att Kina medvetet undanhållit information om säkerhetshål, och nu försöker sopa igen spåren.

- Det komiska i det hela är att de validerar vår hypotes genom att försöka sopa igen spåren efter sig på ett upptäckbart sett, säger Staffan Truvé.

Recorded Future

It-säkerhetsföretag med bas i Göteborg och Boston som försöker förutspå cyberattacker genom att samla in och analysera data från nätet. På ägarlistan står både Google och CIA via respektive riskkapitalbolag. Företaget har varit med på Ny Tekniks och Affärsvärldens 33-lista som samlar Sveriges mest lovande unga teknikbolag två gånger, 2012 och 2013.

Startades: 2009

Omsättning i Sverige: 44,9 miljoner (2016)

Anställda i Sverige: 31 (2016)

Simon Campanello

Kommentarer

Välkommen att säga din mening på Ny Teknik.

Principen för våra regler är enkel: visa respekt för de personer vi skriver om och andra läsare som kommenterar artiklarna. Alla kommentarer modereras efter publiceringen av Ny Teknik eller av oss anlitad personal.

Här är reglerna för kommentarerna på NyTeknik

  Kommentarer

Aktuellt inom

Debatt