I futuri arsenali militari? Digitali e pieni di “zero day vulnerability”

Di Eugenio Santagata e Andrea Melegari per analisidifesa.it del 03/04/2018

Dopo oltre 10 anni di presenza ininterrotta quest’anno sono risultati assenti. Eppure il Pwn2own 2018 di Vancouver aveva un montepremi di oltre 2 milioni di dollari. Denaro che viene assegnato dagli organizzatori del convegno ai partecipanti che “scoprono e rivelano vulnerabilità software”.

Stiamo parlando della clamorosa assenza dei migliori hacker cinesi, che in passato avevano dominato la manifestazione, accaparrandosi spesso una fetta importante del montepremi.

Per comprendere meglio, un’occhiata ai numeri aiuta. Al P2w2own appena concluso sono stati assegnati 267.000 dollari di premi, ovvero poco più del 13% del montepremi globale. L’anno scorso, quando erano presenti gli hacker cinesi furono distribuiti ben 833.000 dollari.

Pare che la spiegazione della assenza cinese sia piuttosto semplice e sintetizzabile con un’affermazione di Zhou Hongyi, fondatore di Qihoo 360, un’azienda cinese specializzata nella cyber security. “La conoscenza di vulnerabilità software non note (n.d.r. i famosi “zero day vulnerability”) dovrebbe rimanere in Cina”.

Convinzione che, secondo una qualificata fonte anonima, il Governo cinese ha fatto propria, “scoraggiando” i white hacker nazionali a condividere questi segreti durante eventi e iniziative che si svolgono all’estero, specialmente nei paesi Occidentali.

E siccome in Cina l’influenza governativa si estende fortemente anche al settore privato, è plausibile immaginare che registreremo la (lunga) assenza degli hacker cinesi anche a molti altri computer hacking contest. Il valore strategico delle vulnerabilità software è noto da molto tempo. La National Security Agency americana si affida alle vulnerabilità non divulgate dei software commerciali (i già citati “zero-day”) per spiare gli avversari.

Ed è per questa ragione che da sempre ha mostrato una certa riluttanza a condividerne la conoscenza. Le altre potenze mondiali, sia militari che del settore cyber, non fanno eccezione. Le vulnerabilità software, seppur censite ancora nell’ordine di alcune migliaia per anno, sono in netto calo. Ma la “domanda” aumenta, cioè sono sempre di più coloro che sono interessati a conoscerle (e dunque a pagarle).

E questo, secondo le leggi di mercato, ne provoca un aumento del prezzo. Istintivamente la potremmo definire come una buona notizia per tutti noi: i sistemi operativi e i prodotti software più utilizzati stanno diventando più sicuri e con meno vulnerabilità.

In un contesto più ampio, invece, il quadro non è così positivo. Le super potenze mondiali hanno perfettamente capito la rilevanza degli “zero day” ed il loro valore strategico. E faranno di tutto per frenarne la futura divulgazione e conoscenza. Benvenuti nell’era degli arsenali digitali.