Güvenlik konferanslarında düzenlenen bayrak yakalama yarışmalarının genel olarak iki amacı vardır: Katılımcıların bilgisayar korsanlığı ve güvenlik becerilerini geliştirmelerine ve göstermelerine yardımcı olmak ve işverenlerin ve devlet kurumlarının yeni yetenekleri keşfetmelerine ve işe almalarına yardımcı olmak.
Ancak Çin’deki bir güvenlik konferansı, yarışmayı bir adım öteye taşımış olabilir; potansiyel olarak bunu, katılımcıların bilinmeyen bir hedeften istihbarat toplamasını sağlayan gizli bir casusluk operasyonu olarak kullanmış olabilir.
Çin’in Zhujian Kupası olarak da bilinen Ulusal Üniversitelerarası Siber Güvenlik Saldırı ve Savunma Yarışması’nın belgelerini tercüme eden iki Batılı araştırmacıya göre, geçen yıl ilk kez düzenlenen üç bölümlü yarışmanın bir bölümü, potansiyel olarak gizli ve alışılmışın dışında bir amaca işaret eden bir dizi sıra dışı özelliğe sahipti.
Bayrağı ele geçirme (CTF) ve diğer hackleme yarışmaları genellikle kapalı ağlarda veya “siber menzillerde” düzenlenir; katılımcıların gerçek ağları bozma riskine girmemesi için yarışmaya özel olarak kurulmuş altyapılardır. Bu menziller, gerçek dünya yapılandırmalarını taklit eden simüle edilmiş bir ortam sağlar ve katılımcılara sistemlerdeki güvenlik açıklarını bulma, ağın belirli bölümlerine erişim sağlama veya veri yakalama görevi verilir.
Çin’de yarışmalar için siber menziller kuran iki büyük şirket var. Yarışmaların çoğu menzillerini tasarlayan şirkete övgüde bulunuyor. Özellikle Zhujian Kupası belgelerinde herhangi bir siber menzil veya siber menzil sağlayıcısından bahsetmemiş, bu da araştırmacıların yarışmanın simüle edilmiş bir ortamdan ziyade gerçek bir ortamda düzenlendiği için olup olmadığını merak etmesine neden olmuş.
Yarışma ayrıca öğrencilerin birkaç sıra dışı terimi kabul eden bir belge imzalamasını gerektiriyordu. Yarışmada yapmaları istenen görevlerin doğasını herhangi biriyle tartışmaları yasaktı; hedeflenen sistemi yok etmemeyi veya bozmamayı kabul etmeleri gerekiyordu; ve yarışmanın sonunda sisteme yerleştirdikleri tüm arka kapıları ve sistemden edindikleri tüm verileri silmeleri gerekiyordu. Ve araştırmacıların incelediği Çin’deki diğer yarışmaların aksine, Zhujian Kupası’nın bu bölümündeki katılımcıların yarışmanın doğasını veya bunun bir parçası olarak gerçekleştirdikleri görevleri ifşa eden sosyal medya gönderileri yayınlamaları yasaktı.
Katılımcıların ayrıca yarışmanın parçası olan herhangi bir veriyi, belgeyi veya basılı materyali kopyalamaları; buldukları güvenlik açıkları hakkında bilgi ifşa etmeleri; veya bu güvenlik açıklarını kişisel amaçlar için kullanmaları yasaktı. Bu veri veya materyallerden herhangi birinin sızdırılması ve yarışma organizatörlerine veya Çin’e zarar vermesi durumunda, katılımcıların imzaladığı taahhüt uyarınca yasal olarak sorumlu tutulabilirler.
Taahhütnamede, “Kişisel sebeplerden dolayı organizatöre ve ülkeye zarar veya ziyan veren herhangi bir bilgi ifşa olayı (veya durumu) meydana gelirse, birey olarak ilgili yasa ve düzenlemelere uygun olarak yasal sorumluluğu üstleneceğimi taahhüt ederim” denildi.
Yarışma, geçen Aralık ayında, Çin Sanayi ve Bilgi Teknolojileri Bakanlığı’na bağlı ve Çin hükümeti ve ordusu için çalışma yürütme konusunda üst düzey gizli izne sahip olan Shaanxi, Xi’an’daki bir bilim ve mühendislik üniversitesi olan Northwestern Polytechnical University tarafından düzenlendi. Üniversite, Çin Halk Kurtuluş Ordusu tarafından denetleniyor.