Los concursos de piratería Capture the Flag en conferencias de seguridad generalmente permiten a los participantes desarrollar y demostrar habilidades de seguridad y piratería informática, y ayudar a los empleadores y agencias gubernamentales a identificar y contratar nuevos talentos. Tiene dos propósitos: ayudar.
Pero una conferencia de seguridad celebrada en China llevó el concurso un paso más allá, usándolo potencialmente como una misión de espionaje encubierto para obligar a los participantes a recopilar información de objetivos desconocidos.
Según dos investigadores occidentales que tradujeron materiales de la Copa Pearl River de China, también conocida como el Concurso de Defensa y Ataque de Ciberseguridad de la Universidad Nacional, uno de los tres concursos celebrados por primera vez el año pasado incluyó , tenía varias características inusuales que sugerían su propósito secreto y poco convencional.
Capture the Flag (CTF) y otras competiciones de piratería suelen realizarse en redes cerradas o “campos cibernéticos”. Una gama cibernética es una infraestructura dedicada creada para la competición de modo que los participantes no corran el riesgo de interrumpir la red real. Estos rangos proporcionan entornos simulados que imitan configuraciones del mundo real, lo que permite a los participantes encontrar vulnerabilidades en los sistemas, acceder a partes específicas de la red y capturar datos.
Hay dos empresas importantes en China que instalan cibercentros para competiciones. La mayoría de los concursos honran a la empresa que diseñó la gama. En particular, la documentación de la Copa Zhujian no menciona los campos cibernéticos ni los proveedores de campos cibernéticos, y los investigadores creen que esto puede deberse a que la competencia tuvo lugar en un entorno real en lugar de uno simulado.
El concurso también requirió que los estudiantes firmaran un documento aceptando algunas condiciones inusuales. No se les permitió discutir los desafíos del concurso con nadie y tuvieron que aceptar no destruir ni alterar los sistemas del objetivo. Al final del concurso, tuvieron que eliminar todas las puertas traseras que habían colocado en sus sistemas y los datos que habían obtenido de ellas. Además, a diferencia de otros concursos chinos estudiados por los investigadores, los participantes en esta división de la Copa Pearl River tienen prohibido publicar en las redes sociales revelando el contenido del concurso o las tareas que completaron como parte del concurso.
A los participantes también se les prohibió copiar cualquier dato, documento o material impreso utilizado en el concurso, revelar información sobre cualquier vulnerabilidad que descubrieran o explotar vulnerabilidades para fines personales. Según el compromiso firmado por los participantes, si dichos datos o materiales se filtran y causan daños a los organizadores del concurso o a China, los participantes podrían ser considerados legalmente responsables.
“Si se produce una filtración de información debido a mis circunstancias personales y causa daño o desventaja a los organizadores y a la nación, me comprometo personalmente a asumir la responsabilidad legal de acuerdo con las leyes y regulaciones pertinentes”, dice el compromiso.
El concurso fue patrocinado por la Universidad Tecnológica del Noroeste, una universidad de ciencia y tecnología ubicada en Xi'an, provincia de Shaanxi, en diciembre del año pasado. La universidad está afiliada al Ministerio de Industria y Tecnología de la Información de China y también tiene autorización de alto secreto para realizar trabajos para el gobierno y el ejército chinos. La universidad está bajo la supervisión del Ejército Popular de Liberación de China.
https://www.wired.com/story/china-hacking-competition-real-victim/
