cybersecurity

Le vulnerabilità software per la cyber guerra: nuovo fronte tra USA e Cina

Il governo cinese ha iniziato a vedere come un asset le vulnerabilità dei software che arrivano dagli Usa. Bug che diventano passepartout per i dispositivi di milioni di persone. Cosa si sa finora e quale sarà l’impatto di questo trend

Pubblicato il 28 Mag 2021

Riccardo Berti

Avvocato e DPO in Verona

Franco Zumerle

Avvocato Coordinatore Commissione Informatica Ordine Avv. Verona

hacker-1944688_960_720

Nel 2017 si è svolto negli Stati Uniti un evento hackaton con l’obiettivo di scoprire vulnerabilità zero-day (ovvero vulnerabilità non note) presenti in software delle aziende sponsor dell’evento.

L’hackaton di cui parliamo, che si chiama Pwn2Own, raccoglie esperti informatici di tutto il mondo e prevede, per i vincitori, ricchi premi economici.

Cyber war, l’Occidente rischia un nuovo 11 settembre: ecco perché

Gli hackaton cinesi

Stando a un report del MIT Technology Review nel 2017, come ogni anno, si attendeva che i vari hacker provenienti dalla Cina partecipanti all’hackaton avrebbero portato a casa alcuni dei premi messi in palio dall’organizzazione (cosa regolarmente avvenuta negli anni precedenti), ma nel 2017 nessun premio venne assegnato ai team cinesi, che non furono, apparentemente, in grado di individuare nessuna vulnerabilità sui software esaminati.

Poco prima, però, il CEO di un’importante azienda di cybersecurity cinese aveva duramente criticato i suoi concittadini che partecipavano a questo genere di iniziative, lamentando che le vulnerabilità denunciate alle aziende rendevano impossibile sfruttarle perché sarebbero state subito corrette. Di lì a poco il governo cinese avrebbe iniziato a scoraggiare i propri informatici dal partecipare a iniziative del genere all’estero e contemporaneamente avrebbe iniziato a organizzare ricche iniziative locali (non molto sensate se si pensa che non erano iniziative finanziate dai colossi tech interessati a ottenere in questo modo informazioni utili a correggere bug potenzialmente pericolosi).

Viene quindi da pensare che, nel 2017, i team cinesi abbiano taciuto le vulnerabilità scoperte, preferendole riportare in patria perché potessero essere “sfruttate” in Cina.

Nel 2018 si è aperta la stagione degli hackaton cinesi e durante uno dei primi eventi (tenutosi nel novembre 2018) organizzati da alcune software house e aziende di cybersecurity cinesi, il vincitore riusciva a svelare una vulnerabilità nel codice dei modelli più recenti di iPhone (iPhone X). La vulnerabilità, che il suo scopritore aveva battezzato (non a caso) “Chaos” poteva permettere a un attaccante di prendere il controllo del dispositivo di casa Apple da remoto.

La vulnerabilità poteva in particolare essere sfruttata anche integrando del codice malevolo in un sito web visitato dal dispositivo bersaglio. Sarebbe stato quindi sufficiente inserire il codice in un sito di interesse del potenziale target e aspettare pazientemente che l’obiettivo facesse visita al sito dal browser Safari per poter ottenere il completo controllo del dispositivo.

Due mesi dopo Apple rilasciava un aggiornamento che ha risolto il problema, ma pochi mesi più tardi Google ha diffuso il risultato di un’analisi secondo cui la vulnerabilità era stata sfruttata per accedere da remoto a moltissimi dispositivi iPhone.

Il cyber attacco agli iPhone

Stando a quanto riporta il MIT Technology Review, i destinatari di questi cyber attacchi sarebbero la minoranza musulmana uigura che abita nella provincia cinese dello Xinjiang.

Con un post del settembre 2019 Apple in effetti ha rilasciato un comunicato con cui, nell’intento di “tranquillizzare” gli utenti americani, ha affermato che gli attacchi si erano protratti per soli due mesi e avevano fonte in pochi siti web con contenuti relativi alla comunità uigura.

Abbiamo quindi una vulnerabilità non nota esposta in seno a un hackaton cinese (non finanziato da Apple ma teso a risolvere anche bug relativi all’OS di Cupertino); prima che Apple corregga il bug, la vulnerabilità (che, ricordiamo, consente l’accesso da remoto ai dispositivi iPhone e rende quindi possibile vedere quello che l’utente fa con il dispositivo) viene utilizzata per condurre un esteso attacco che pare indirizzato alla comunità uigura.

È chiaro quel che molti pensano (sebbene non vi siano evidentemente prove certe a supporto) ovvero che la vulnerabilità sia stata sfruttata da un’agenzia governativa cinese per una capillare operazione di spionaggio dei dissidenti uiguri, ipotesi che, va detto, è davvero plausibile.

Ma come è possibile che il governo cinese abbia avuto accesso al codice per sfruttare la vulnerabilità, se questo era stato prodotto in un hackaton finanziato da aziende private cinesi?

Il diritto degli hacker in Cina

A proposito non va dimenticato che in Cina esistono alcuni principi, inseriti ad esempio nella Legge sulla Sicurezza Nazionale (entrata in vigore nel 2015) e nella Legge sulla Cyber-sicurezza (la cui versione attuale è stata introdotta nel 2017) che impongono ai cittadini e alle organizzazioni cinesi (a prescindere dal loro inquadramento nell’amministrazione statale) di cooperare con le forze di sicurezza e di fornire loro supporto nell’ambito delle operazioni di tutela della sicurezza nazionale.

In questo senso gli artt. 77, 78 e 79 della Legge sulla Sicurezza Nazionale impongono a ogni cittadino e impresa cinese non solo di consegnare all’autorità ogni prova che gli stessi dovessero raccogliere relativamente ad attività che potrebbero compromettere la sicurezza nazionale, ma anche di collaborare con l’autorità nelle attività di indagine, facilitare l’attività delle autorità e fornire il supporto e l’assistenza di cui queste necessitano.

È quindi evidente che chiunque fosse a conoscenza del codice vincitore dell’hackaton, se richiesto, avrebbe dovuto consegnarlo all’autorità senza potersi opporre (gli articoli menzionati si curano di precisare che il cittadino o impresa che collaborano con l’autorità devono mantenere il più stretto riserbo sulle informazioni segrete che dovessero apprendere nella fase di collaborazione, ma non vengono posti limiti al potere dell’autorità di accedere a segreti industriali dei soggetti privati coinvolti).

Una nuova frontiera nella guerra tech fra USA e Cina

Sebbene non ci sia quindi la prova di un utilizzo della vulnerabilità di cui si discute da parte del governo cinese, la particolare natura dei siti web da cui è partito l’attacco e la natura della vulnerabilità (che consente accesso da remoto al dispositivo, permettendo quindi di spiarlo) non depongono in effetti per un’attività realizzata da un hacker isolato.

A prescindere però dalla fondatezza delle accuse del MIT Technology Review, è comunque evidente che in Cina il governo ha iniziato a vedere come un asset le vulnerabilità dei software che arrivano dagli USA.

Ed in effetti si tratta di una prospettiva naturale per una nazione in cui il concetto di privacy si declina in modo diverso rispetto al resto del mondo e dove l’armonia sociale ha un peso ancora preponderante, anche a prezzo del sacrificio della privacy del singolo, sacrificio a cui il singolo dovrà sottoporsi volente o nolente, specie se l’individuo in questione cerca di nascondersi dietro a righe di codice progettate negli Stati Uniti.

Non va nemmeno dimenticato che questi bug “valgono” cifre incalcolabili in quanto stiamo parlando di dispositivi o programmi talmente diffusi che queste vulnerabilità possono diventare dei passepartout, tanto comodi quanto terrificanti, per accedere comodamente ai dispositivi di una buona fetta della popolazione mondiale, oppure possono impedire il funzionamento di programmi essenziali per cittadini, amministrazioni e imprese, mettendole in grave difficoltà con la pressione di un tasto dall’altro lato del mondo.

Possiamo quindi aspettarci che il mondo del software americano, stretto in questa morsa geopolitica internazionale, subirà dei cambiamenti, reagendo a un possibile uso strumentale delle vulnerabilità con una programmazione più “prudente” e sicura e cercando di circoscrivere il più possibile vulnerabilità che potrebbero essere sfruttate per fini politici o di sorveglianza.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

EU Stories - La coesione innova l'Italia

Tutti
Iniziative
Social
Analisi
Video
Finanza sostenibile
BEI e E-Distribuzione: investimenti per la sostenibilità energetica
Professioni
Servono competenze adeguate per gestire al meglio i fondi europei
Master
Come formare nuove professionalità per governare e gestire al meglio i fondi europei?
Programmazione UE
Assunzioni per le politiche di coesione: prossimi passi e aspettative dal concorso nazionale. Il podcast “CapCoe. La coesione riparte dalle persone”
innovazione sociale
Rigenerazione urbana: il quartiere diventa un hub dell’innovazione. La best practice di San Giovanni a Teduccio
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Finanza sostenibile
BEI e E-Distribuzione: investimenti per la sostenibilità energetica
Professioni
Servono competenze adeguate per gestire al meglio i fondi europei
Master
Come formare nuove professionalità per governare e gestire al meglio i fondi europei?
Programmazione UE
Assunzioni per le politiche di coesione: prossimi passi e aspettative dal concorso nazionale. Il podcast “CapCoe. La coesione riparte dalle persone”
innovazione sociale
Rigenerazione urbana: il quartiere diventa un hub dell’innovazione. La best practice di San Giovanni a Teduccio
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati