Nel 2018, il ricercatore di sicurezza cinese Qixun Zhao ha vinto una sfida tecnica senza precedenti: violare il sistema operativo iOS bypassando con una catena di exploit tutte le protezioni di un iPhone. In pochi minuti, quella che poteva sembrare una semplice sfida tecnica ha dimostrato come la ricerca accademica sia diventato il nuovo focus dell’intelligence internazionale.
“Chaos” – questo il nome dell’exploit – aveva un valore potenziale altissimo sul mercato grigio delle vulnerabilità zero-day. Tanto da essere utilizzato dall’intelligence cinese contro la minoranza uigura, prima che Apple rilasciasse una patch.
Lo “Zero-day market exploit” è uno dei fenomeni più interessanti e oscuri dell’economia digitale contemporanea. Si tratta infatti di un mercato parallelo la cui merce di scambio è sapere come sfruttare falle di sicurezza dei sistemi, di cui nessun altro è a conoscenza.
L’importanza strategica di queste vulnerabilità è enorme: basti pensare al forte aumento dei compensi milionari offerti dalle aziende per individuare i punti deboli dei loro software.
La zona grigia del brokeraggio digitale
All’interno di questo mercato acquisiscono sempre più importanza i cosiddetti “broker digitali”: aziende che mediano tra i ricercatori e le agenzie governative.
Questi operano in una zona grigia della legislazione internazionale: sulla carta sono aziende private che offrono servizi di sicurezza. D’altra parte, è impossibile non riconoscere la loro potenziale influenza come tramite operativo per le strategie di intelligence.
La particolare natura di queste aziende pone di fatto un interrogativo etico: a chi “vendere” queste informazioni strategiche? Alcune, come la francese Vupen, vendono esclusivamente a governi alleati della NATO. Altri operatori invece non escludono, fra i loro clienti, regimi autoritari.
In questo ambito, possedere il maggior numero di vulnerabilità zero-day – ed i ricercatori pronti a scovarle- diventa di fondamentale importanza per ridisegnare gli equilibri di potenza sullo scacchiere internazionale.
Così, la partecipazione di ricercatori cinesi alle conferenze di sicurezza informatica è stata già limitata dal 2017. Stessa sorte è toccata ai russi, dopo l’invasione dell’Ucraina.
Per le agenzie governative, le università diventano sempre più vivai strategici per reclutare nuovi talenti.
In questa “corsa alle vulnerabilità informatiche” abbiamo due contendenti: Stati Uniti e Cina. Gli USA, con il Vulnerabilities Equities Process (VEP), il più grande database al mondo nel suo genere. La Cina, invece, incentiva la ricerca interna attraverso programmi governativi che premiano la scoperta di falle in software occidentali. La legge cinese, infatti, obbliga cittadini e organizzazioni a fornire supporto all’intelligence quando richiesto.
Paradossi etici e uso dell’IA: una nuova forma di security intelligence
Quando un ricercatore scopre una vulnerabilità, la sua decisione di rivelarla pubblicamente, venderla a un broker, o trasferirla al proprio governo può avere conseguenze strategiche enormi, soprattutto sulle infrastrutture critiche.
Perciò sia i governi che gli operatori privati stanno cercando di correre a i ripari, nazionalizzando la ricerca sulla sicurezza o creando programmi di bug bounty per intercettare le vulnerabilità dei sistemi prima che finiscano in commercio.
In questo contesto tecnologicamente e politicamente complesso, l’intelligenza artificiale rappresenta una ulteriore incognita.
Da un lato, la presenza sempre maggiore di software AI per la ricerca di vulnerabilità potrebbe contribuire a ridurre il divario tra le nazioni. D’altro canto, l’AI potrebbe risultare vantaggiosa per elaborare sistemi di difesa sempre più all’avanguardia, accorciando la vita utile delle vulnerabilità.
In conclusione, stiamo assistendo ad una evoluzione dell’Intelligence: in un mondo sempre più informatizzato, la capacità di interrompere le comunicazioni e i processi produttivi diventa un asset strategico da non sottovalutare.