Мужчина использует компьютер в Дунгуане, провинция Гуандун, Китай, 4 августа 2020 г. Nicolas Asfouri/AFP via Getty Images | Epoch Times Россия
Мужчина использует компьютер в Дунгуане, провинция Гуандун, Китай, 4 августа 2020 г. Nicolas Asfouri/AFP via Getty Images

Киберэксперты предупредили, что Пекин манипулирует данными пользователей

В первую очередь не защищены пользователи китайских устройств
Автор: 19.10.2021 Обновлено: 19.10.2021 18:34
Чтобы получить доступ к данным ничего не подозревающих пользователей, коммунистический режим может использовать универсальный процесс аутентификации, который считается безопасным, но на самом деле может таким не быть, предупреждают эксперты по кибербезопасности.

По их словам, хотя шифрование остаётся предпочтительным методом для защиты цифровых данных и защиты компьютеров, в некоторых случаях именно цифровые сертификаты, используемые для аутентификации в интернете, позволяют китайскому режиму проникать в различные компьютерные сети и сеять хаос.

По всему миру «центры сертификации» (CA) выдают цифровые сертификаты, которые подтверждают идентичность цифрового объекта в интернете.

По словам Эндрю Дженкинсона, генерального директора компании Cybersec Innovation Partners (CIP) и автора книги «Сети: 20 лет цифровой эксплуатации и кибервойны», цифровой сертификат можно сравнить с паспортом или водительскими правами.

«Без него устройство не может соответствовать отраслевым стандартам, и шифрование жизненно важных данных может быть обойдено, оставив то, что считалось зашифрованным, в простой текстовой форме», — сказал Дженкинсон The Epoch Times.

Цифровые сертификаты используются для шифрования внутренних и внешних коммуникаций с помощью криптографии, предотвращая, например, перехват и кражу данных хакером.

«Недействительные или поддельные сертификаты могут манипулировать всем процессом шифрования, в результате чего миллионы пользователей получили ложное чувство безопасности», — сказал Дженкинсон.

Уровни ложного доверия

Майкл Дурен, исполнительный вице-президент компании Global Cyber Risk LLC, занимающейся кибербезопасностью, сказал, что цифровые сертификаты обычно выдаются доверенными центрами сертификации, а затем равные уровни доверия передаются промежуточным поставщикам.

Однако по его словам, коммунистическая организация, злоумышленник или другое ненадёжное лицо может выдавать сертификаты другим «гнусным людям», которые могут показаться заслуживающими доверия, но не являются таковыми.

«Когда сертификат выдаётся от доверенного лица, ему будут доверять, — сказал Дурен. — Но на самом деле эмитент мог передать это доверие кому-то, кому не следует доверять».

По этой причине Дурен сказал, что никогда не будет доверять китайскому центру сертификации, объяснив, что ему известно о ряде компаний, которые запретили китайские сертификаты, потому что они были выданы организациям, которым нельзя доверять.

Дженкинсон сказал, что китайские центры сертификации составляют небольшую часть всего сектора, и сертификаты, которые они выдают, обычно ограничиваются китайскими организациями и продуктами.

В 2015 году были поставлены под сомнение сертификаты, выданные Китайским информационным центром сети интернет (CNNIC) — государственным агентством, контролирующим регистр доменных имён Китая.

Google и Mozilla запретили сертификаты CNNIC при обнаружении неавторизованных цифровых сертификатов, подключённых к нескольким доменам. Обе интернет-фирмы возражали против передачи CNNIC своих полномочий по выдаче сертификатов египетской компании, которая выдавала несанкционированные сертификаты.

По словам Дженкинсона, сертификаты CNNIC были запрещены, потому что «в них были лазейки».

«Чёрный ход означает, что [китайский центр сертификации] может буквально получить административный доступ и заполучить данные», — сказал он.

С 2016 года Mozilla, Google, Apple и Microsoft также запретили китайский центр сертификации WoSign и его дочернюю компанию StartCom из-за неприемлемых мер безопасности.

Недостаток безопасности

По словам Дженкинсона, несмотря на запреты на использование китайских цифровых сертификатов в последние годы, коммунистический режим это не остановило.

Эксперт указал на тревожное открытие, сделанное его фирмой по кибербезопасности два года назад, затронувшее многонациональную консалтинговую компанию.

Как правило, цифровые сертификаты действительны в течение нескольких лет, в зависимости от центра сертификации. Затем требуется продление, чтобы они оставались действительными, а данные, которые они должны защищать, были в безопасности, объяснил он.

«Но в 2019 году в CIP China обнаружились сертификаты, которые действовали 999 лет».

Его фирма сделала это открытие, изучив ноутбуки известной глобальной консалтинговой компании.

Дженкинсон обратил внимание фирмы на эту брешь в системе безопасности и предложил услуги по защите их компьютеров и клиентских сетей. Но компания отказалась.

«Либо они невероятно благодушны, либо замешаны», — сказал он, отметив, что среди клиентов компании есть государственные учреждения США.

Неспособность многомиллиардной компании решить эту проблему означает, что сотни тысяч людей могут подвергнуться китайскому проникновению из-за слабой безопасности этой фирмы, сказал Дженкинсон.

По его словам, компания ставит под угрозу своих клиентов каждый раз, когда кто-то пользуется одним из их ноутбуков. Например, компании или клиенты, пользующиеся их услугами, могут быть привлечены к выкупу, их интеллектуальная собственность может быть украдена, или они могут получить вредоносные коды, размещённые для дальнейшего использования.

Эта компания «нарушает все правила конфиденциальности, известные человеку, и они просто отклоняют это», — сказал специалист, особо отметив строгие законы ЕС о защите данных.

И если эта информация будет обнародована, последствия будут обширными, сказал Дженкинсон.

«Представьте себе атаку на водяную скважину или атаку на автомобиль, при которой киберпреступник может просто сидеть и легко получать доступ к данным для захвата, даже не задумываясь об этом и не расшифровывая их, потому что всё это в обычном тексте [из-за несанкционированного сертификата или ошибки конфигурации]», — сказал он.

По словам Дженкинсона, решение такой крупной уважаемой компании не защищать своих клиентов — это «безумие».

«Скользкий склон»

По мнению Дженкинсона, экономические потери от киберпреступлений — это ненормальная тенденция.

Согласно отчёту компании McAfee, занимающейся компьютерной безопасностью, в 2020 году глобальные убытки от киберпреступности превысили $1 трлн. Ожидается, что в 2021 году убытки вырастут до более чем $6 трлн, сообщила исследовательская компания Cybersecurity Ventures.

Дженкинсон прогнозирует, что к 2025 году экономические потери превысят $10 трлн.

«Это повлияет на каждого мужчину, женщину и ребёнка, — сказал он. — Мы находимся на скользкой дорожке, и сами смазываем её».

Чтобы переломить эту тенденцию, для начала «людям не следует использовать цифровые сертификаты CNNIC», говорит Дженкинсон.

Дурен из Global Cyber Risk согласился с этим:

«Нельзя доверять всему, что исходит от контролируемого государством, таким как коммунистический Китай, субъекта, действующего в качестве центра сертификации».

По словам Дженкинсона, нужно усилить контроль и надзор за центрами сертификации.

«Без этого никто не сможет узнать, какие цифровые сертификаты используются, учитывая, что стандартный портативный компьютер содержит сотни тысяч экземпляров цифровых сертификатов».

Дженкинсон отметил, что китайские компьютерные продукты будут преимущественно использовать китайские цифровые сертификаты.

Поэтому пользователи этих продуктов должны знать, что их безопасность может быть поставлена под угрозу.

Комментарии
Дорогие читатели,

мы приветствуем любые комментарии, кроме нецензурных.
Раздел модерируется вручную, неподобающие сообщения не будут опубликованы.

С наилучшими пожеланиями, редакция The Epoch Times

Упражения Фалунь Дафа
ВЫБОР РЕДАКТОРА