A gravação de concursos de hacking de bandeiras em conferências de segurança geralmente serve a dois propósitos: ajudar os participantes a desenvolver e demonstrar habilidades de hacking e segurança de computadores e ajudar empregadores e agências governamentais a descobrir e atrair novos talentos.
Mas uma conferência de segurança na China pode ter levado a sua concorrência um passo mais longe – possivelmente utilizando-a como uma operação de espionagem secreta para atrair os participantes para a recolha de informações de um alvo desconhecido.
De acordo com dois pesquisadores ocidentais que traduziram documentos para a Copa Zhujiang da China, conhecida como Colégio Nacional de Competição de Ataque e Defesa de Segurança Cibernética, parte da competição de três partes, que foi realizada pela primeira vez no ano passado, teve uma série de características incomuns que seu possível propósito secreto e incomum.
Capture the flag (CTF) e outros tipos de competições de hacking são geralmente realizadas em redes fechadas ou “cyber ranges” – infraestrutura especial criada para a competição para que os participantes não corram o risco de perturbar redes reais. Esses intervalos fornecem um ambiente simulado que imita configurações do mundo real, e os participantes têm a tarefa de encontrar vulnerabilidades em sistemas, obter acesso a partes específicas de uma rede ou obter informações.
Na China, existem duas grandes empresas que criam arenas cibernéticas para competições. A maioria das competições dá crédito à empresa que desenhou a sua gama. Notavelmente, a Zhujian Cup não mencionou nenhum cyber-range ou fornecedor de cyber-range em seus documentos, deixando os pesquisadores se perguntando se a competição foi realizada em um ambiente real e não em um ambiente simulado.
A competição também exigia que os alunos assinassem um documento concordando com alguns termos incomuns. Eles foram proibidos de discutir com qualquer pessoa a natureza das tarefas que lhes foram atribuídas na competição; eles devem concordar em não perturbar ou alterar o sistema alvo; e no final da competição, eles tiveram que destruir todos os backdoors do sistema e todos os dados que obtiveram dele. E, ao contrário de outras competições na China que os investigadores estudaram, os participantes desta parte da Taça Zhujiang estão proibidos de publicar publicações nas redes sociais que revelem a natureza da competição ou as tarefas que realizaram como parte dela.
Os participantes também estão proibidos de copiar quaisquer informações, documentos ou materiais impressos que façam parte do concurso; divulgação de informações sobre sua vulnerabilidade; ou explorar essas vulnerabilidades para ganho pessoal. Se a divulgação de tais informações ou materiais causar danos aos organizadores da competição ou à China, de acordo com o compromisso assinado pelos participantes, eles poderão ser responsabilizados por lei.
“Prometo que se qualquer incidente de divulgação de informações (ou caso) ocorrer por motivos pessoais, que cause perdas ou danos ao organizador e ao país, serei legalmente responsável como pessoa física de acordo com as leis e regulamentos pertinentes.” uma promessa é feita.
A competição foi realizada em dezembro passado Universidade Politécnica do Noroesteé uma universidade de ciência e engenharia em Xi’an, Shaanxi, afiliada ao Ministério da Indústria e Tecnologia da Informação da China, e também possui uma licença ultrassecreta para realizar trabalhos para o governo e militares chineses. A universidade é controlada pelo Exército de Libertação Popular da China.
