Noll
Google har kommit under eld för sina band till Kina nyligen. Situationen har potential att bli mycket värre nu att Google erbjuder en Kinesisk säkerhet produkt till de som behöver skydd mest.
Tidigare denna månad, tech jätten kritiserades efter rapporter framkommit av sina hemliga projekt för att utveckla en Google sökmotor version catering till Kinas censur regimen.
Som rapporterats av Avlyssning Av, ett team av Googles tekniker arbetar på en version av sökmotorn i en app som begränsar innehåll förbjudits av Beijing genom att dra svartlistor på innehåll på webben direkt från Kina är Bra Brandvägg censur på nätet.
Kallas Dragonfly, anpassad sökning app har redan visat iväg till Kinesiska tjänstemän och kunna sättas igång så snart som sex till nio månader, för att bana väg för Google att komma tillbaka till land efter att ha dragit sig för åtta år sedan på grund av yttrandefriheten rättigheter och Kinas cyberespionage aktiviteter.
På den tiden, Google protesterade landets tunga censurlagar: Kinesiska medborgare är blockerad från att stora delar av webbplatsen, inklusive sociala nätverk. Kritik av den Kinesiska regeringen och dess ledare är inte heller tolereras.
Veckans avslöjanden resulterade i protester, inte bara från allmänheten, men också internt i företaget. Google har inte kommenterat det uppenbart läcka bortom “vi vill inte kommentera spekulationer om framtida planer.”
Det verkar dock som att detta får inte vara slutet av potentiella säkerhet och integritet konsekvenser som orsakas av sådana relationer.
På torsdag, Sam Srinivas, Chef för Product Management på Google Cloud, avslöjat lanseringen av Titan Nycklar Säkerhet i Google-Butiken.
Titan Säkerhet Nycklar, som nu är till salu i den officiella AMERIKANSKA butik, beskrivs som “phishing-resistenta tvåfaktorsautentisering (2FA) enheter som hjälper till att skydda värdefulla användare som IT-administratörer.”
“Titan-Säkerhet-Tangenterna fungerar med populära webbläsare och ett växande ekosystem av tjänster som stöder FIDO standarder,” företaget till. “De är byggda med en hårdvara chip som innehåller firmware som utvecklats av Google för att kontrollera integriteten på nyckeln.”
Srinivas säger att Googles nycklar har extra “special sauce” — tillägg av firmware från företaget som är inbäddade i en hård chip, “hjälper till att kontrollera att nyckeln inte har ändrats av någon.”
I ett separat blogginlägg skrivet av Christiaan Varumärke, produktchef för Google Cloud, den verkställande säger att Titan Säkerhet Nycklar “kan användas var som helst säkerhet nycklar stöds som en andra faktor autentisering, inklusive Googles Avancerade Skydd Program.”
Det Avancerade Programmet för Skydd är riktad till de som kan vara utsatta för större risk för riktade attacker, till exempel journalister, aktivister, chefer och politiker.
Dock bör du registrera dig, du är inte vidarebefordras till Google-Butiken för att köpa knappar genomsyras av Googles “special sauce” — om du istället klicka på “komma igång” så dirigeras du till en sida som säger att du kommer att behöva två nycklar säkerhet, en för primär användning och en annan som en backup.
Läs om: Kina återtar lokala Facebook-närvaro godkännande
Medan den backup som krävs för att köpa från Amazon, Yubico FIDO U2F säkerhetsnyckel, ser legitimt, den första och viktigaste nyckeln du ombeds att köpa är potentiellt problematiska.
I skrivande stund, att alternativet är Feitian MultiPass FIDO säkerhetsnyckel. I USA är riktade till Amazon, medan de i STORBRITANNIEN är riktad till den Kinesiska leverantörens webbplats.
Se även: Kinesiska cyberattack på Google utsatt spy data: AMERIKANSKA tjänstemän | Baidu grundare övertygad om att slå Google om det återvänder till Kina | Kinesiska startup ‘self-made’ webbläsare byggd på Google Chrome | Google ögon miljarder dollar Kinesiska marknaden med $550 JD.com investeringar
Som noterades i juli av en IT-konsult, det verkar Titan är samma hårdvara, bara säljs under ett annat varumärke.
Grundades 1998, Feitian Teknologier är baserade i Kina och erbjuder säkerhetslösningar för bank -, finansiella, telekommunikation och statliga sektorn.
Som rapporterats av mänskliga rättigheter outfit och nyheter utlopp Kina Förändring, som är en del av Mänskliga Rättigheter Arkiv vid Columbia University, 2003, företaget gick med i “DET-Militär Allians” (计算机世界科技拥军联盟), som består av 12 företag i totalt. Ett dokument ses av ZDNet har kontrollerat resultaten.
Alliansen ceremonin var enligt uppgift dedikerad till den 76: e året för grundandet av den Kinesiska Folkets befrielsearmé (PLA).
Enligt Kina Förändring är Matthew Robertson:
“Feitian konstaterar på sin hemsida att “chefen för den Allmänna Försvarsmateriel Institutionen uttryckte ett djupt intresse i Feitian produkter,” och att “Feitian kommer oundvikligen att ge allvar service till den gigantiska militära marknaden under grand strategi av” civil-militär integration, ” och därmed göra något för att bidra till byggandet av landets informatized defensiv infrastruktur.”
Realistiskt, inga Kinesiska företag kommer att kunna respektfullt tackar nej till en inbjudan att delta i en fest med PLA.
Företaget får inte har för avsikt att i hemlighet manipulera med deras hårdvara erbjudanden som krävs av Google Skydd Program.
Men, som förklarats i Kina 2017 National Intelligence Lag, avsnitt sju:
“Alla organisationer och medborgare ska stödja, bistå och samarbeta med de nationella underrättelsearbetet i enlighet med lag, och skall skydda den nationella underrättelseverksamheten hemligheter de är medvetna om.
Staten skyddar individer och organisationer för att stödja, bistå och samarbeta med de nationella underrättelsearbetet.”
På grund av att Kinesisk lagstiftning, och säljaren är Huawei slår tillbaka mot de farhågor som framförts av Australien och USA, som har både ifrågasatt dess relation med den Kinesiska regeringen och potentiella risker mot den nationella säkerheten.
Tom Uren, visiting fellow vid den Internationella It-Policy Centre i Australian Strategic Policy Institute, berättade Kina Förändring som “företag i Kina inte kan vägra att delta i underrättelseverksamhet.”
Även: Online-säkerhet 101: Tips för att skydda din personliga integritet från hackare och spioner
Problemet här är inte att Feitian är ansvarig för alla cyberthreats, övervakning, eller direkt angrepp mot de som behöver extra skydd mest. Snarare, de beslut som Google verkar vara att göra genom att vara så djupt ansluten till ett Kinesiskt företag som potentiellt skulle kunna underminera hela programmet för skydd.
Feitian kunde hitta sig själv som åläggs av den Kinesiska regeringen i framtiden i namn av underrättelseverksamhet — och skulle ha något annat val än att följa.
Googles program är utformat för att skydda den typ av personer som den Kinesiska regeringen har seriöst intresse, såsom aktivister och de som talar ut mot landets regering.
Kina har varit kopplade till gripanden, övervakning, it-angrepp inriktning gratis tal advokater och aktivister i det förflutna. Från den Kinesiska styrande partiet perspektiv, drag av att vara i stånd att i hemlighet övervaka dem som deltar i programmet kan det vara för mycket att stå emot.
Genom att styra dem i programmet för skydd direkt till säljaren för maskinvara som inte genomförs med Google ‘ s egna märke av firmware — den så kallade “special sauce” — det är den möjligheten av olika firmware som används, bakdörrar genomsyras på både hårdvara och firmware-nivå, eller andra former av manipulation vid tillverkningen-allt som skulle vara utanför Googles kontroll.
Dessutom: Varför kan inte Bära OS smartwatches säkerhet nycklar? CNET
De beskrivningar som erbjuds av Feitian nycklar, oavsett om de köps direkt eller via Amazon, tala inte om införande av Google firmware i någon kapacitet.
Så varför variant av de viktigaste på Google-Butiken erbjuder Google firmware, samtidigt som de nycklar som krävs för programmet för skydd inte?
Backup viktiga är producerad av Yubico. På företagets blogg, Yubico kan vara en anspelning på situationen.
“Google har släppt en egen version av en säkerhetsnyckel, och medan vi har fått frågan om vi var en del av denna produktion, dessa produkter är inte tillverkade av Yubico,” sade företaget. “Yubico starkt anser att det är säkerhet och integritet fördelar för våra kunder genom att tillverkning och programmering av våra produkter i USA och Sverige.”
Den en gång så firade Googles motto “Don’ t be evil” kan vara en sak av det förflutna, men tanken att Google är att främja användningen av hårdvara till de som kräver extra säkerhet-som kan, en dag, bli den sak som kan äventyra deras integritet och identitet-är djupt oroande.
Robertson sa i en diskussion med ZDNet:
“Om du ska ha denna stränga security standard, varför använder hårdvara som tillverkas av aktörer i nära samband med dem som försöker att bryta sig in i ditt konto?
Min mest optimistiska uppfattning är att det var bara en fråga om okunskap om Google är en del — att inte ha checkat ut bakgrunden på Feitian Chengxin — och brist på intern säkerhetskontroll och dom, som alla av oss skulle inte vilja tänka på.”
Se även: Cyberkrig: Vad händer när en stat cyber attack dödar? | It-angrepp från Kina: Mindre mängd men mer effektiva | It-säkerhet: Nation-state it-attacker hotar alla, varnar ex-GCHQ boss | Kina anklagas för stöld av data från US Navy entreprenör | Kina avslöjar förekomsten av krigföring hacking team
ZDNet har vänt sig till Google och Feitian och har inte fått ett svar i skrivande stund.
Relaterade Ämnen:
Säkerhet-TV
Hantering Av Data
CXO
Datacenter
0