L’industria degli hacker su commissione al centro del complesso ecosistema cibernetico cinese. Il report “From Vegas to Chengdu” di Eugenio Benincasa, Senior researcher in cyber defense presso il Center for security studies (Css) dell’Eth Zurich
Il successo dell’ecosistema offensivo cyber della Cina si fonda sul coinvolgimento strategico degli hacker civili, supportati attivamente dallo Stato. Il governo cinese ha sviluppato un sistema sofisticato e diversificato di “hack-for-hire” – hackers a noleggio – unico nel suo genere. Questo sistema consente alle agenzie di sicurezza cinesi di sfruttare esclusivamente vulnerabilità “zero-day”, cioè falle nel software sconosciute ai fornitori ma individuate dagli hacker civili. In questo modo, Pechino esternalizza le sue operazioni di spionaggio attraverso contratti con entità private.
L’impatto dei team di ricerca civili cinesi si estende ben oltre la semplice scoperta di vulnerabilità, alimentando un robusto e auto-sostenente ecosistema cibernetico offensivo. Nonostante il loro ruolo cruciale, rimangono in gran parte inesplorati il focus di ricerca degli hacker civili cinesi, la loro composizione organizzativa e il funzionamento dell’ecosistema informatico offensivo cinese in cui operano.
HACK FOR HIRE: L’APPROCCIO CINESE
Le competizioni internazionali di hacking e i programmi di bug bounty forniscono preziose indicazioni sul funzionamento dell’ecosistema informatico offensivo cinese. Queste iniziative permettono alle aziende di accedere a una rete globale di ricercatori che competono per scoprire e risolvere vulnerabilità di sicurezza in software e hardware, ricevendo una ricompensa economica e impedendo così potenziali attacchi da parte di attori malevoli. Inoltre, offrono un’alternativa economicamente vantaggiosa all’assunzione di personale di sicurezza a tempo pieno, incentivando i ricercatori indipendenti a individuare vulnerabilità occasionalmente.
GARE DI HACKING
Le competizioni di hacking sono eventi che stimolano i partecipanti a esaminare le più recenti minacce alla sicurezza, valutare come affrontarle e praticare le soluzioni. Un esempio è Pwn2Own, una competizione annuale inaugurata nel 2007 durante la conferenza sulla sicurezza CanSecWest di Vancouver. Questo evento sfida i partecipanti a sfruttare specifici software e sistemi operativi per individuare vulnerabilità “zero-day”. Il nome deriva dal termine “pwn”, hacker jargon per assumere il controllo di un sistema informatico. Pwn2Own si distingue da altre competizioni simili per il suo focus su sistemi completamente aggiornati e per le ricompense in denaro assegnate per le vulnerabilità scoperte. Tra il 2014 e il 2017, i team cinesi hanno mostrato una crescita esponenziale nella partecipazione e nei premi vinti. Nel 2018, Pechino ha proibito ai team di ricerca cinesi di partecipare a competizioni di hacking all’estero, come Pwn2Own, conducendo alla creazione della competizione interna Tianfu Cup. Questo ha permesso di valutare le performance dei partecipanti cinesi in confronto ad altri team globali.
PROGRAMMI DI BUG BOUNTY
I programmi di bug bounty sono iniziative di crowdsourcing online in cui le organizzazioni offrono ricompense a ricercatori o hacker per la segnalazione responsabile di vulnerabilità nei loro sistemi. Questi programmi richiedono che le segnalazioni siano sufficientemente dettagliate da consentire la riproduzione del problema.
I PERICOLI PER LA DEMOCRAZIA
Questo processo sostiene l’ecosistema informatico offensivo cinese nel lungo periodo, consentendo di migliorare l’efficacia delle sue operazioni cyber contro obiettivi stranieri e introducendo al contempo asimmetrie operative con altri Stati. Le squadre di hacker cinesi più performanti nelle competizioni e nei programmi di bug bounty sono spesso affiliate ad aziende che collaborano con le agenzie governative in un ampio spettro di attività informatiche, tra cui la fornitura di un numero significativo di vulnerabilità per scopi offensivi. Il che potrebbe sollevare dilemmi etici per gli Stati democratici, entrando in conflitto con i loro valori fondamentali come la trasparenza e la divulgazione responsabile delle vulnerabilità.
SICUREZZA NAZIONALE
Questo approccio supporta a lungo termine l’ecosistema informatico offensivo cinese, migliorando l’efficacia delle operazioni di cyber spionaggio contro obiettivi esteri. Al contempo, introduce asimmetrie operative con altri Stati, poiché i team cinesi più performanti sono spesso affiliati ad aziende che collaborano con le agenzie governative. Questo solleva importanti dilemmi etici per le democrazie, confliggendo con valori come la trasparenza e la divulgazione responsabile delle vulnerabilità.
PROSPETTIVE FUTURE
Ogni Paese deve valutare attentamente quali elementi dell’approccio cinese adottare, bilanciando con i propri valori e necessità specifiche. È essenziale considerare il rischio di un uso improprio delle segnalazioni di vulnerabilità, che potrebbe compromettere la fiducia nel processo di divulgazione e scoraggiare i ricercatori dal segnalare problemi critici. Studi futuri potrebbero esplorare come i governi possano integrare strategicamente i punti di forza dell’approccio informatico cinese nel contesto dei loro valori fondamentali, adattando le misure di sicurezza per affrontare le nuove asimmetrie nel campo dell’intelligence e della difesa informatica.
