reiniciar

En marzo del año 2017, un grupo de hackers chinos llegó a Vancouver, Canadá, con un objetivo: encontrar debilidades y lagunas ocultas dentro de las tecnologías más comunes del mundo. Google Chrome, el sistema operativo Microsoft Windows y los sistemas Apple fueron sus target, pero nadie estaba infringiendo la ley. Estas fueron solo algunas de las personas que participaron en Pwn2Own, una de las competencias de piratería informática más populares del mundo.


Competencia Pwn2Own

Era el décimo aniversario de Pwn2Own, una competencia que atrae a piratas informáticos de élite y expertos en seguridad de todo el mundo con grandes premios en efectivo si encuentran vulnerabilidades no descubiertas previamente conocidas como "días cero".

 Una vez que se descubre la falla, los detalles se entregan a las empresas involucradas, dándoles tiempo para solucionarlos. Mientras tanto, el hacker obtiene una recompensa monetaria y el derecho eterno de fanfarronear.

Durante años, los piratas informáticos chinos han sido las fuerzas más dominantes en competiciones como Pwn2Own, llevándose a casa millones de dólares en premios y estableciéndose entre la élite. Pero en 2017, todo esto se detuvo.

En un comunicado, el fundador y director ejecutivo multimillonario del gigante chino de ciberseguridad Qihoo 360, una de las empresas de tecnología más importantes de China, criticó a los ciudadanos chinos que viajaron al extranjero para participar en concursos de piratería informática.

En una entrevista con el sitio de noticias chino Sina, Zhou Hongyi dijo que un buen desempeño en tales eventos representa simplemente un éxito "fantástico" y Zhou advirtió que una vez que los piratas informáticos chinos muestren debilidades en las competiciones en el extranjero, "ya no se pueden usar". Dijo que los piratas informáticos y su experiencia en ciberseguridad deberían permanecer en China hasta que puedan reconocer la verdadera importancia y el valor estratégico de las vulnerabilidades del software.

Poco después, el gobierno chino prohibió a los investigadores de ciberseguridad asistir a competencias de piratería extranjeras y, unos meses después, surgió una nueva competencia dentro de China para reemplazar las competencias internacionales, la Copa Tianfu, como se la llamó, con premios por valor de más de $ XNUMX millón.

El evento inaugural se llevó a cabo en noviembre de 2018, y el gran premio de $ 200000 fue para el investigador Qixun Zhao, quien mostró una notable serie de exploits que le permitieron controlar fácilmente los últimos iPhones, y el investigador chino encontró una debilidad en el núcleo de el sistema operativo del iPhone, cuál es el kernel. Kernel, y el resultado?

Un atacante remoto puede apoderarse de cualquier dispositivo iPhone que haya visitado una página web que contenga el código Qixun malicioso, es el tipo de pirateo que se puede vender por millones de dólares en el mercado abierto para darles a los criminales o gobiernos la capacidad de espiar grandes cantidades. de personas, el investigador llamó a esa vulnerabilidad El nombre "Caos" y dos meses después, en enero de 2019, Apple lanzó una actualización que corrigió el error, y ya está.

Pero en agosto del mismo año, Google publicó un análisis excepcional de una campaña de piratería que, según dijo, estaba explotando los iPhones de forma colectiva. Los investigadores analizaron cinco cadenas distintas de cadenas de explotación que descubrieron. Esta vulnerabilidad incluía a Qixun, que ganó el primer premio en Tianfu, y que fue descubierto por otro hacker.

Los investigadores de Google señalaron similitudes entre los ataques utilizados en el mundo real y la vulnerabilidad del Caos. Pero no parecían interesados ​​en conocer la identidad de la víctima y el perpetrador, la víctima eran musulmanes uigures y el ataque por parte del gobierno chino.


Campaña

Durante los últimos siete años, China ha cometido violaciones de los derechos humanos contra los uigures y otros grupos minoritarios en la provincia occidental de Xinjiang. Los aspectos bien documentados de la campaña incluyen campos de concentración, esterilización forzada sistemática para prevenir el parto, tortura, violación organizada, trabajo forzoso y esfuerzos de vigilancia incomparables.

Los funcionarios en Beijing argumentan que China está trabajando para combatir el terrorismo y el extremismo, pero Estados Unidos, entre otros países, ha descrito estas medidas como genocidio, agregando las violaciones a una represión de alta tecnología sin precedentes que está dominando las vidas de los uigures, confiando en parte en campañas de piratería específicas.

La piratería china de uigures es tan agresiva que se extiende mucho más allá de las fronteras estatales, y se ataca a periodistas, disidentes y cualquiera que levante las sospechas de Pekín sobre una lealtad insuficiente.

Poco después de que los investigadores de Google notaran los ataques, Apple publicó una entrada de blog poco común en su blog de medios Confirmó que el ataque ocurrió durante un período de dos meses, es decir, el período que comenzó inmediatamente después de que Qixun ganara la Copa Tianfu y se extiende hasta que Apple emitió la reforma.

Apple dice que los musulmanes uigures en China han sido blanco de la reciente campaña de piratería en iPhones, y los estadounidenses han llegado a la conclusión de que los chinos han seguido principalmente el plan de "valor estratégico" desarrollado por Zhou Hongyi de Qihoo, donde se utiliza la Copa Tianfu para encontró nuevas vulnerabilidades y fue entregada rápidamente a la inteligencia china, que luego la utilizó para espiar a los uigures.

Finalmente, estas vulnerabilidades tienen un valor increíble, no solo financieramente, sino en términos de su capacidad para crear una ventana abierta para el espionaje y la represión, como sucedió con los musulmanes uigures cuando fueron rastreados y monitoreados en tiempo real.

Cuéntanos lo que piensas en los comentarios, ¿es el mundo de la tecnología? Y las lagunas se convierten en una fuerza en manos de quienes las poseen, ¿y cuando nuestro país posea este poder?

Fuente:

revisión de tecnología

Artículos relacionados