El Ministerio de Industria y Tecnología de la Información de la República Popular China ha anunciado la suspensión durante medio año de un acuerdo de colaboración público-privada que mantenía con Alibaba Cloud, la subsidiaria de cloud computing de Alibaba, para trabajar en el campo de la ciberseguridad y el intercambio de información.
Pero lo extraño de esta decisión es la razón detrás de la misma: que Alibaba "no reportara de inmediato las vulnerabilidades del popular sistema de logging de código abierto Apache Log4J al regulador de telecomunicaciones de China", según Reuters.
Para entender esto, debemos retroceder un poco: hace un par de semanas, se desveló la existencia de la vulnerabilidad zero-day conocida como Log4Shell… y el hecho de que afectaba a miles de plataformas online, incluyendo las aplicaciones web más populares, permitiendo realizar ataque de ejecución remota de código.
Rápidamente se le asignó un 10/10 en el CVSS (Common Vulnerability Scoring System), un estándar de medición de la gravedad de vulnerabilidades, y se llegaron a detectar más de 24.600 ataques por minuto, procedentes sobre todo de equipos de la red Tor que escaneaban incesantemente Internet es busca de sitios vulnerables.
Un investigador de seguridad de Alibaba, detrás del descubrimiento de la vulnerabilidad
Pero, ¿quién y cuándo se supo de la existencia de Log4Shell? El honor le corresponde a Chen Zhaojun, precisamente un investigador del Alibaba Cloud Security Team, que se lo notificó inmediatamente a la Apache Foundation durante las vacaciones de Acción de Gracias en EE.UU., pidiendo una rápida respuesta.
La existencia de la vulnerabilidad se hizo pública algo más de una semana después, desatando el caos ante la imposibilidad de parchear inmediatamente todos los sistemas afectados… y dando pie a nuevas investigaciones que han desvelado nuevas vulnerabilidades del componente de Apache.
Chen Zhaojun obró siguiendo los procedimientos habituales de las comunidades de ciberseguridad y de desarrolladores open source, pero…
El régimen chino quiere dejar claro a sus tecnológicas cuál debe ser su orden de prioridades
…unos meses antes, en su país, el gobierno había aprobado nuevas regulaciones de divulgación de vulnerabilidades que obligan a los proveedores de software y de telecomunicaciones afectados por vulnerabilidades críticas a revelarlas en primer lugar a las autoridades gubernamentales.
De hecho, el pasado mes de septiembre, Pekín presentó públicamente las webs que debían utilizarse para comunicar estos incidentes y mantener así las infraestructuras tecnológicas de China a salvo de los ciberdelincuentes.
De modo que el régimen chino, que lleva un tiempo aplicando la 'mano dura' contra las Big Tech para reforzar su control de la economía nacional, ha decidido dejar claro con la suspensión de su acuerdo con Alibaba cuál debería haber sido el orden de prioridades de su equipo de ciberseguridad.
Recordemos que el propio fundador de Alibaba ya sufrió un castigo por enfrentarse al PCCh, y que ByteDance (los propietarios de TikTok) tuvieron que abortar hace poco su salida a bolsa en los EE.UU. para no violar la ley china de Seguridad de Datos, que impide a las empresas del país someterse a auditorías o procesos judiciales extranjeros sin antes contar con la aprobación de Pekín.
Vía | The Hacker News
Ver 26 comentarios