Nel 2017 si è svolto negli Stati Uniti un evento hackaton con l’obiettivo di scoprire vulnerabilità zero-day (ovvero vulnerabilità non note) presenti in software delle aziende sponsor dell’evento.
L’hackaton di cui parliamo, che si chiama Pwn2Own, raccoglie esperti informatici di tutto il mondo e prevede, per i vincitori, ricchi premi economici.
Cyber war, l’Occidente rischia un nuovo 11 settembre: ecco perché
Gli hackaton cinesi
Stando a un report del MIT Technology Review nel 2017, come ogni anno, si attendeva che i vari hacker provenienti dalla Cina partecipanti all’hackaton avrebbero portato a casa alcuni dei premi messi in palio dall’organizzazione (cosa regolarmente avvenuta negli anni precedenti), ma nel 2017 nessun premio venne assegnato ai team cinesi, che non furono, apparentemente, in grado di individuare nessuna vulnerabilità sui software esaminati.
Poco prima, però, il CEO di un’importante azienda di cybersecurity cinese aveva duramente criticato i suoi concittadini che partecipavano a questo genere di iniziative, lamentando che le vulnerabilità denunciate alle aziende rendevano impossibile sfruttarle perché sarebbero state subito corrette. Di lì a poco il governo cinese avrebbe iniziato a scoraggiare i propri informatici dal partecipare a iniziative del genere all’estero e contemporaneamente avrebbe iniziato a organizzare ricche iniziative locali (non molto sensate se si pensa che non erano iniziative finanziate dai colossi tech interessati a ottenere in questo modo informazioni utili a correggere bug potenzialmente pericolosi).
Viene quindi da pensare che, nel 2017, i team cinesi abbiano taciuto le vulnerabilità scoperte, preferendole riportare in patria perché potessero essere “sfruttate” in Cina.
Nel 2018 si è aperta la stagione degli hackaton cinesi e durante uno dei primi eventi (tenutosi nel novembre 2018) organizzati da alcune software house e aziende di cybersecurity cinesi, il vincitore riusciva a svelare una vulnerabilità nel codice dei modelli più recenti di iPhone (iPhone X). La vulnerabilità, che il suo scopritore aveva battezzato (non a caso) “Chaos” poteva permettere a un attaccante di prendere il controllo del dispositivo di casa Apple da remoto.
La vulnerabilità poteva in particolare essere sfruttata anche integrando del codice malevolo in un sito web visitato dal dispositivo bersaglio. Sarebbe stato quindi sufficiente inserire il codice in un sito di interesse del potenziale target e aspettare pazientemente che l’obiettivo facesse visita al sito dal browser Safari per poter ottenere il completo controllo del dispositivo.
Due mesi dopo Apple rilasciava un aggiornamento che ha risolto il problema, ma pochi mesi più tardi Google ha diffuso il risultato di un’analisi secondo cui la vulnerabilità era stata sfruttata per accedere da remoto a moltissimi dispositivi iPhone.
Il cyber attacco agli iPhone
Stando a quanto riporta il MIT Technology Review, i destinatari di questi cyber attacchi sarebbero la minoranza musulmana uigura che abita nella provincia cinese dello Xinjiang.
Con un post del settembre 2019 Apple in effetti ha rilasciato un comunicato con cui, nell’intento di “tranquillizzare” gli utenti americani, ha affermato che gli attacchi si erano protratti per soli due mesi e avevano fonte in pochi siti web con contenuti relativi alla comunità uigura.
Abbiamo quindi una vulnerabilità non nota esposta in seno a un hackaton cinese (non finanziato da Apple ma teso a risolvere anche bug relativi all’OS di Cupertino); prima che Apple corregga il bug, la vulnerabilità (che, ricordiamo, consente l’accesso da remoto ai dispositivi iPhone e rende quindi possibile vedere quello che l’utente fa con il dispositivo) viene utilizzata per condurre un esteso attacco che pare indirizzato alla comunità uigura.
È chiaro quel che molti pensano (sebbene non vi siano evidentemente prove certe a supporto) ovvero che la vulnerabilità sia stata sfruttata da un’agenzia governativa cinese per una capillare operazione di spionaggio dei dissidenti uiguri, ipotesi che, va detto, è davvero plausibile.
Ma come è possibile che il governo cinese abbia avuto accesso al codice per sfruttare la vulnerabilità, se questo era stato prodotto in un hackaton finanziato da aziende private cinesi?
Il diritto degli hacker in Cina
A proposito non va dimenticato che in Cina esistono alcuni principi, inseriti ad esempio nella Legge sulla Sicurezza Nazionale (entrata in vigore nel 2015) e nella Legge sulla Cyber-sicurezza (la cui versione attuale è stata introdotta nel 2017) che impongono ai cittadini e alle organizzazioni cinesi (a prescindere dal loro inquadramento nell’amministrazione statale) di cooperare con le forze di sicurezza e di fornire loro supporto nell’ambito delle operazioni di tutela della sicurezza nazionale.
In questo senso gli artt. 77, 78 e 79 della Legge sulla Sicurezza Nazionale impongono a ogni cittadino e impresa cinese non solo di consegnare all’autorità ogni prova che gli stessi dovessero raccogliere relativamente ad attività che potrebbero compromettere la sicurezza nazionale, ma anche di collaborare con l’autorità nelle attività di indagine, facilitare l’attività delle autorità e fornire il supporto e l’assistenza di cui queste necessitano.
È quindi evidente che chiunque fosse a conoscenza del codice vincitore dell’hackaton, se richiesto, avrebbe dovuto consegnarlo all’autorità senza potersi opporre (gli articoli menzionati si curano di precisare che il cittadino o impresa che collaborano con l’autorità devono mantenere il più stretto riserbo sulle informazioni segrete che dovessero apprendere nella fase di collaborazione, ma non vengono posti limiti al potere dell’autorità di accedere a segreti industriali dei soggetti privati coinvolti).
Una nuova frontiera nella guerra tech fra USA e Cina
Sebbene non ci sia quindi la prova di un utilizzo della vulnerabilità di cui si discute da parte del governo cinese, la particolare natura dei siti web da cui è partito l’attacco e la natura della vulnerabilità (che consente accesso da remoto al dispositivo, permettendo quindi di spiarlo) non depongono in effetti per un’attività realizzata da un hacker isolato.
A prescindere però dalla fondatezza delle accuse del MIT Technology Review, è comunque evidente che in Cina il governo ha iniziato a vedere come un asset le vulnerabilità dei software che arrivano dagli USA.
Ed in effetti si tratta di una prospettiva naturale per una nazione in cui il concetto di privacy si declina in modo diverso rispetto al resto del mondo e dove l’armonia sociale ha un peso ancora preponderante, anche a prezzo del sacrificio della privacy del singolo, sacrificio a cui il singolo dovrà sottoporsi volente o nolente, specie se l’individuo in questione cerca di nascondersi dietro a righe di codice progettate negli Stati Uniti.
Non va nemmeno dimenticato che questi bug “valgono” cifre incalcolabili in quanto stiamo parlando di dispositivi o programmi talmente diffusi che queste vulnerabilità possono diventare dei passepartout, tanto comodi quanto terrificanti, per accedere comodamente ai dispositivi di una buona fetta della popolazione mondiale, oppure possono impedire il funzionamento di programmi essenziali per cittadini, amministrazioni e imprese, mettendole in grave difficoltà con la pressione di un tasto dall’altro lato del mondo.
Possiamo quindi aspettarci che il mondo del software americano, stretto in questa morsa geopolitica internazionale, subirà dei cambiamenti, reagendo a un possibile uso strumentale delle vulnerabilità con una programmazione più “prudente” e sicura e cercando di circoscrivere il più possibile vulnerabilità che potrebbero essere sfruttate per fini politici o di sorveglianza.
