Эксперты по кибербезопасности предупреждали, что для доступа к данным ничего не подозревающих пользователей Коммунистическая партия Китая (КПК) может воспользоваться универсальным процессом аутентификации, который считается безопасным, но на самом деле не является безопасным, хотя шифрование по-прежнему является предпочтительным методом защиты цифровых данных. и Защита компьютеров. По их словам, в некоторых случаях те же цифровые сертификаты, которые используются для аутентификации в Интернете, позволяют китайскому режиму проникать в различные компьютерные сети и сеять хаос.
Цифровые сертификаты, подтверждающие идентичность цифрового объекта в Интернете. Цифровой сертификат можно сравнить с паспортом или водительскими правами, по словам Эндрю Дженкинсона, генерального директора компании Cybersec Innovation Partners (CIP), занимающейся кибербезопасностью, и автора книги Stuxnet to Sunburst: 20 Years of Digital Exploitation and Cyber Warfare.
«Без этого человек или устройство, которое вы используете, могут не соответствовать отраслевым стандартам, и шифрование критически важных данных можно было бы обойти, чтобы то, что нужно зашифровать, осталось в виде обычного текста», – сказал Дженкинсон The Epoch Times, используемый для шифрования внутренних и внешних сообщений. которые предотвращают, например, перехват и кражу данных хакером. Но «поддельные сертификаты» или недействительные сертификаты могут искажать любые данные.
“Чувство безопасности”, – сказал Дженкинсон. Фирма по кибербезопасности Global Cyber Risk LLC сообщила, что цифровые сертификаты обычно выдаются доверенными центрами сертификации, а затем такой же уровень доверия передается посредникам. Однако есть возможности для коммунистического субъекта, злоумышленника, или другой ненадежной организации для выдачи сертификатов другим «отвратительным людям», которые кажутся заслуживающими доверия, но не заслуживают доверия, сказал он.
«Если вы выдадите сертификат от доверенного органа, вы ему поверите», – сказал Дюрен. «Но на самом деле эмитент может передать это доверие кому-то, кому нельзя доверять. Дурен сказал, что никогда не станет доверять». китайский сертификационный орган по этой причине, заявив, что ему известно о ряде компаний, которые запретили китайские сертификаты, потому что они были выданы ненадежным агентствам.
Дженкинсон сказал, что китайские органы по сертификации составляют небольшую часть всей отрасли, и сертификаты, которые они выдают, обычно ограничиваются китайскими компаниями и продуктами.
Принц, член хакерской группы Red Hacker Alliance, отказавшийся назвать свое настоящее имя, использует свой компьютер в своем офисе в Дунгуане, провинция Гуандун, Китай, 4 августа 2020 г. (Николас Асфури / AFP через Getty Images).
В 2015 году были оспорены сертификаты Китайского информационного центра сети Интернет (CNNIC), государственного агентства, контролирующего регистрацию доменных имен в Китае. Mozilla отозвала сертификаты CNNIC, поскольку знала о неавторизованных цифровых сертификатах, связанных с несколькими доменами. Обе интернет-компании выступили против передачи CNNIC своих полномочий по выдаче сертификатов египетской компании, выпустившей несанкционированные сертификаты. По словам Дженкинсона, сертификаты CNNIC были запрещены, потому что у них был «черный ход».
Черный ход означает, что [the Chinese certification body] может буквально получить административный доступ и отправить данные обратно на базовый корабль », – сказал он. С 2016 года Mozilla, Google, Apple а также Microsoft также заблокировали китайские сертификационные органы WoSign и их дочернюю компанию StartCom из-за неприемлемой практики безопасности. два года назад его фирма по кибербезопасности обнаружила, что это многонациональная консалтинговая фирма.
По его словам, цифровые сертификаты обычно действительны в течение нескольких лет в зависимости от центра сертификации, и требуется их продление, чтобы сохранить их действительность и обеспечить безопасность данных, которые они должны защищать. «Но в 2019 году CIP China обнаружила сертификаты, действовавшие 999 лет», – сказал Дженкинсон. Его компания сделала это открытие, исследуя ноутбуки ведущей глобальной консалтинговой фирмы.
Дженкинсон сообщил компании об уязвимости и заявил: «Они либо невероятно уступчивы, либо замешаны», – сказал он, отметив, что среди клиентов компании есть государственные учреждения. Неспособность этой многомиллиардной компании исправить эту проблему означает, что сотни тысяч людей По словам Дженкинсона, они могут подвергнуться китайскому проникновению из-за слабых гарантий компании. По его словам, компания привлекает своих клиентов каждый раз, когда кто-то пользуется одним из ее ноутбуков.
Компании или клиенты, которые пользуются услугами компании, могут быть привлечены к выкупу, у них есть свои интеллектуальные преимущества.