I pugili non si allenano leggendo libri: li si trova sul ring a tirare pugni contro i sacchi, a schivare le mani imbottite dell’allenatore e a ripetere i loro movimenti per centinaia di ore. L’allenamento sul ring è essenziale per un pugile. Allo stesso modo, per gli operatori di cybersecurity, è fondamentale fare pratica sul campo oltre a studiare in aula.
È lo stesso motivo per cui una laurea di una prestigiosa università può aiutare a ottenere un colloquio in una società tecnologica, ma durante i colloqui di programmazione si valutano le capacità pratiche e dimostrabili dei candidati. Nella cybersecurity, le competizioni di hacking svolgono un ruolo simile, permettendo a studenti ed esperti di dimostrare le loro abilità in un ambiente sicuro e legale.
Hacking di Stato, il rapporto di ricerca Capture the (Red) Flag
Il nostro rapporto di ricerca Capture the (Red) Flag, pubblicato dal think tank americano Atlantic Council, mira a far luce su come le competizioni di hacking in Cina contribuiscano a potenziare le capacità di cyber difesa e attacco del Paese, delineando e analizzando i principali elementi di tale ecosistema. Per questo abbiamo analizzato oltre 500 competizioni di hacking cinesi dal 2004 ad oggi e pubblicato i nostri dati relativi a più di 50 competizioni annuali di tipo “Capture the Flag” (CTF). Tra le principali informazioni riportate ci sono il numero di partecipanti annuali, il totale delle partecipazioni e gli organizzatori delle competizioni più frequenti in Cina. Per offrire una visione completa dell’evoluzione e del valore strategico di questi eventi abbiamo integrato questi dati con l’analisi delle misure politiche più rilevanti, dei momenti storici chiave della comunità di hacking cinese e di alcune competizioni selezionate.
Questo articolo presenta un estratto dei punti salienti identificati nel nostro report a seguito di un’ analisi statistica. Per approfondimenti su alcune competizioni selezionate, incluso un evento in cui gli studenti potrebbero aver svolto operazioni contro veri obiettivi di intelligence, si rimanda alla lettura del report completo. Pensiamo che questa analisi possa essere particolarmente utile ai decisori politici ed istituzionali di Paesi, tra cui l’Italia, che potrebbero valutare come promuovere e utilizzare le competizioni di hacking a scopo formativo. I risultati di questa analisi dovrebbero essere considerati, insieme ad altre misure, per migliorare la formazione e la preparazione professionale nel campo della cybersecurity.
Definizioni utili
Le competizioni CTF (Capture The Flag) sono sfide simulate di cybersecurity che si svolgono in ambienti virtuali noti come cyber range, progettati per replicare reti reali. Questi spazi offrono un contesto sicuro e legale in cui i partecipanti possono mettere alla prova le proprie abilità. Le competizioni si dividono principalmente in due tipologie: Jeopardy e Attack-Defense.
Nei CTF di tipo Jeopardy, le squadre si confrontano con compiti che includono reverse engineering, sicurezza web, sfruttamento di binari e crittografia. I punti vengono guadagnati risolvendo varie sfide e “catturando la bandiera”, ovvero recuperando un dato nascosto che attesta un hack riuscito.
Nei CTF di tipo Attack-Defense, le squadre devono attaccare i sistemi degli avversari mentre proteggono i propri. In questo formato, i partecipanti identificano vulnerabilità, sviluppano exploit e catturano le bandiere degli altri per accumulare punti.
Infine, le competizioni di exploit si focalizzano sulla scoperta e sullo sfruttamento di vulnerabilità 0-day, che sono vulnerabilità sconosciute e non ancora corrette.
Cybersecurity: la strategia cinese
Nel 2014, il presidente Xi Jinping si è impegnato a trasformare la Cina in una “potenza informatica”. Tra il 2015 e il 2021, la Cina ha compiuto notevoli sforzi per migliorare lo sviluppo dei talenti e il reclutamento nel settore della cybersecurity. Il Ministero dell’Istruzione ha potenziato i programmi di laurea in cybersecurity, ha avviato la realizzazione di una “National Cybersecurity Talent and Innovation Base” a Wuhan, ha premiato alcune Università per la loro eccellenza nella preparazione alla cybersecurity e, nei documenti di politica nazionale, ha identificato questo settore come un’area strategica di sviluppo. Molte delle iniziative cinesi sono state ispirate dalla “National Initiative for Cybersecurity Education” degli Stati Uniti. E sebbene anche gli Stati Uniti ospitino numerose competizioni di cybersecurity per studenti e professionisti, la Cina in questo campo eccelle.
La Cina ha intrapreso la creazione di questo sistema nel 2018, avviando il periodo più intenso di riforma della policy sui talenti in cybersecurity.
Le linee guida strategiche per gli eventi di cybersecurity
La Commissione Centrale per gli Affari del Cyberspazio (CAC) e il Ministero della Pubblica Sicurezza (MPS) hanno emesso il documento “Notice on Regulating the Promotion of Cybersecurity Competitions”, che enuncia le linee guida strategiche per gli eventi di cybersecurity nel Paese, dalle competizioni di tipo exploit a quelle “capture-the-flag” (CTF). Gli autori di tale notice hanno ribadito la necessità per gli hacker di richiedere l’autorizzazione del MPS per partecipare a competizioni all’estero, hanno criticato alcuni comportamenti dei partecipanti “volti al profitto” e hanno richiesto che le vulnerabilità scoperte durante hacking contest nazionali fossero tempestivamente comunicate alla “pubblica sicurezza e ad altri dipartimenti competenti”. Il documento ha anche vietato esplicitamente “l’uso di premi di alto valore per attrarre i partecipanti”, un avviso per lo più ignorato dalle competizioni exploit più importanti in Cina, come il Tianfu Cup. Più impattante di tanti divieti è stata la sollecitazione ai dipartimenti competenti in cybersecurity, istruzione, tecnologia dell’informazione e pubblica sicurezza a promuovere le competizioni di tipo CTF e il loro sviluppo.
Il ruolo delle competizioni di hacking nello sviluppo delle capacità di cybersicurezza
Oggi in Cina, le competizioni di hacking sono diventate componenti essenziali nello sviluppo delle capacità di cybersicurezza, in linea con i principali quadri politici e come parte integrante dei curricula educativi. Molti siti web dedicati ai contest di hacking in Cina evidenziano il loro impegno nell’allinearsi alla visione di Xi di trasformare il Paese in una potenza informatica, presentando questo allineamento come il loro obiettivo principale. Sottolineano obiettivi e finalità legati alla cybersicurezza, tratti dalle varie edizioni del Congresso Nazionale del Partito Comunista Cinese, che si tiene ogni cinque anni, oltre a specifiche legislazioni come la Legge sulla Sicurezza dei Dati in Cina e i Piani Quinquennali del Paese.
Competenze di cybersecurity, il ruolo delle università
Nel settembre 2023, sotto la guida del Ministero dell’Istruzione cinese, il Gruppo di Valutazione delle Discipline del Comitato per i Titoli Accademici del Consiglio di Stato ha pubblicato il suo “White Paper sulle Capacità Pratiche dei Talenti in Cybersicurezza—Valutazione dei Talenti.” Il rapporto sottolinea che le università con programmi di laurea svolgono un ruolo cruciale nella formazione di talenti nel settore della cybersicurezza, costituendo il 90% della nuova forza lavoro. Inoltre, il 63% delle istituzioni intervistate ha trovato le competizioni di hacking efficaci per la formazione di professionisti della cybersicurezza. Tra gli studenti partecipanti, il 45% ha iniziato a partecipare nel primo anno, e il 32% nel secondo anno, indicando che “le competizioni di cybersicurezza sono diventate uno dei metodi più efficaci per le università nel valutare le competenze pratiche dei talenti in cybersicurezza.” Per incentivare ulteriormente la partecipazione, il 75% delle università ha offerto incentivi finanziari agli studenti che si distinguono in queste competizioni, e il 75% ha stanziato budget per laboratori di attacco e difesa progettati per migliorare le abilità pratiche degli studenti attraverso corsi obbligatori.
I vantaggi delle competizioni CTF
Mantenere i migliori hacker e promuovere competizioni CTF interne ha offerto diversi vantaggi alla Cina.
- Risorsa nazionale: I decisori politici cinesi vedono le vulnerabilità software, cioè i difetti nel codice che permettono agli attaccanti di attaccare i sistemi target, come una risorsa nazionale. Anche se ci sarebbe voluto qualche anno prima che la Cina imponesse la raccolta totale, già nel 2017 decise di impedire ai ricercatori di lasciare il Paese e impose di raccogliere vulnerabilità durante le competizioni nazionali.
- Osservazione tattica: I servizi di sicurezza possono imparare nuovi percorsi di sfruttamento delle vulnerabilità per obiettivi comuni osservando come i concorrenti collegano insieme exploit diversi. Anche senza scoprire nuove vulnerabilità, osservare gli exploit di altri può migliorare le metodologie di attacco.
- Incentivo per gli studenti: Le competizioni di hacking, se ben promosse, possono ispirare gli studenti delle scuole superiori a considerare un percorso di laurea pertinente all’università. Dopo aver introdotto il curriculum universitario in cybersecurity, le università avevano bisogno di studenti interessati a iscriversi ai corsi. Tuttavia, sono necessarie ulteriori analisi per determinare l’effettivo impatto della promozione delle CTF sull’iscrizione ai corsi di laurea.
- Aggiornamento continuo: Oltre ai requisiti per la formazione continua e le certificazioni, un robusto sistema di CTF permette a studenti e professionisti di partecipare regolarmente ad eventi progettati per mantenere aggiornate le loro competenze.
- Carriere nel settore: I partecipanti di successo delle CTF cinesi sono entrati nei laboratori di ricerca di vulnerabilità delle principali aziende tecnologiche nazionali o hanno fondato startup di cybersecurity che offrono, a società cinesi e agenzie governative, servizi specializzati come cyber range e sistemi automatizzati di scoperta delle vulnerabilità.
Il successo dei team cinesi nelle competizioni di hacking internazionali
Il numero di competizioni di hacking in Cina ha iniziato a crescere a partire dal 2014, in seguito al successo dei team cinesi in prestigiose competizioni internazionali. Nel 2013, il team Blue Lotus dell’Università di Tsinghua è diventato il primo team cinese a competere nelle finali della più prestigiosa competizione CTF al mondo, DEF CON CTF (Las Vegas, Nevada). Nel 2014, il Keen Team della Cina ha trionfato al Pwn2Own (Vancouver, Canada), dopo l’ottima performance nell’edizione Mobile Pwn2Own dell’anno precedente a Tokyo. I successi del team Blue Lotus hanno avuto un impatto significativo sulla cultura CTF in Cina, portando alla realizzazione, tra il 2013 e il 2015, del Baidu CTF (BCTF) e della XCTF International League, il più grande torneo CTF della Cina.
Il successo del Keen Team ha anche portato, nel 2014, alla nascita del GeekPwn, un evento modellato sul Pwn2Own e oggi noto come GeekCon. GeekPwn è nato in un periodo in cui le aziende tecnologiche e i produttori cinesi erano diffidenti nei confronti degli hacker, tanto da rifiutarsi di partecipare a competizioni per paura di danni reputazionali. Alcuni tentarono persino di sabotare l’evento inaugurale di GeekPwn.
L’ingresso delle aziende cinesi nelle competizioni di hacking
Dopo il successo dei team cinesi all’estero, che hanno cominciato a sfidare i tabù precedenti e a mettere in luce l’importanza strategica dei talenti nella cybersecurity, sempre più aziende come Baidu, Tencent e Qihoo 360 hanno iniziato a sponsorizzare eventi, acquisire team e reclutare i migliori talenti. Di conseguenza, il numero di competizioni di hacking è aumentato notevolmente. Abbiamo rilevato che, dal 2004, la Cina ha ospitato almeno 129 eventi unici, la maggior parte dei quali si è svolta dopo il 2014. Il nostro dataset include 554 fasi di competizione (preliminari, semifinali e finali, ove applicabile) per questi eventi. Dal 2017 al 2023, il numero di competizioni di hacking si è stabilizzato, con circa 37-56 eventi unici organizzati annualmente durante questo periodo (vedi Figura 1).
Figura 1 “Numero annuale di competizioni di hacking in Cina”. Fonte: Capture The (Red) Flag
Tra i 129 eventi identificati, 54 sono competizioni annuali. Una panoramica di queste competizioni ricorrenti è disponibile in un database online che abbiamo sviluppato a partire dai dati raccolti e analizzati (vedi Figura 2 per un’anteprima). Ogni competizione è accompagnata da un riquadro che, al clic, rivela ulteriori dettagli, come illustrato in Figura 3. Queste informazioni includono anni di attività, numero medio e totale di partecipanti, organizzazioni ospitanti e link a descrizioni dettagliate delle competizioni.
Figura 2: Anteprima del CTF Competition Tracker – Fonte: Capture The (Red) Flag
Figura 3: Anteprima Riquadro del CTF Competition Tracker Fonte: Capture The (Red) Flag
Molte tra le 54 competizioni annuali identificate vedono il coinvolgimento di istituzioni statali, come illustrato nella Figura 4. Le competizioni spesso hanno più di uno sponsor, quindi l’associazione a uno sponsor non è esclusiva (ad esempio, una competizione può avere come sponsor sia il MPS che il CAC). La tabella seguente presenta le competizioni organizzate da enti governativi, inclusi organismi di sicurezza come il MPS e il MSS.
Figura 4: Competizioni di hacking sponsorizzate dallo Stato Fonte: Capture The (Red) Flag
Infine, il panorama delle competizioni CTF in Cina si distingue per la vasta gamma di competizioni settoriali specifiche, come quelle dedicate alla sanità, alle forze dell’ordine, alle applicazioni mobili, alla crittografia, ai veicoli e alle smart cities. Queste competizioni sono progettate per affrontare le sfide specifiche della cybersecurity in ciascun settore. Ad esempio, la Competizione Nazionale di Competenze in Cybersecurity per l’Industria Sanitaria (全国卫生健康行业网络安全技能大赛) valuta le capacità di cybersecurity dei partecipanti in contesti medici. I concorrenti di solito includono professionisti IT e di cybersecurity provenienti da ospedali e organizzazioni sanitarie. Allo stesso modo, la Competizione Nazionale di Sicurezza delle Informazioni per i Sistemi di Controllo Industriale (全国工控系统信息安全攻防竞赛) e la Competizione Nazionale di Competenze in Sicurezza Tecnologica per l’Internet Industriale (全国工业互联网安全技术技能大赛) si concentrano sui sistemi di controllo industriale, presentando scenari di attacco e difesa che includono sistemi fisici. La Blue Cap Cup (蓝帽杯), incentrata sulle forze dell’ordine, attira partecipanti provenienti dalle accademie di polizia di tutto il paese e si concentra su sfide di investigazione elettronica e forense, oltre ai tradizionali percorsi CTF. Queste competizioni settoriali specifiche permettono di affrontare le particolari problematiche di cybersecurity che emergono in ogni ambito, formando professionisti capaci di rispondere alle esigenze peculiari dei rispettivi settori.
L’importanza delle competizioni di hacking per la Cina
A seguito del documento di policy del 2018 sulle competizioni di hacking, il sistema CTF della Cina è si è sviluppato notevolmente. I dati sulle 10 competizioni più popolari mostrano più di 100.000 partecipazioni annuali. È necessaria un ulteriore ricerca per quantificare la dimensione del sistema al di fuori della Cina. Sospettiamo che la Cina superi qualsiasi altro paese in termini di partecipazione annuale, ma potrebbe trovarsi al pari con gli Stati Uniti e i loro alleati se i numeri venissero valutati insieme. Indipendentemente da come si comportano gli altri paesi, è chiaro che i responsabili politici e i ministeri cinesi hanno costruito con successo un sistema completo per le competizioni di hacking.
Le competizioni CTF sono strumenti potenti per identificare e reclutare i migliori talenti nella cybersecurity, migliorare lo sviluppo delle competenze e stimolare l’innovazione. Le competizioni CTF chiave analizzate nel nostro rapporto completo, tra cui l’Ironman Triathlon di Sicurezza Informatica, CTFWar e la Wangding Cup, sono affiliati a MSS e MPS, servendo come pipeline cruciali per il reclutamento di talenti per le agenzie di sicurezza e di intelligence. Il XCTF League, la competizione CTF più grande e prestigiosa della Cina, si contraddistingue come la principale piattaforma di sviluppo dei talenti del Paese, con più turni di qualificazione tenuti in tutto il territorio nazionale durante l’anno. Altre competizioni, come X-NUCA, mobilitano specificamente gli studenti universitari per mettere alla prova le loro competenze. La Competizione Internazionale di Elite Qiang Wang dimostra come si possa favorire lo sviluppo di tecnologie all’avanguardia per la difesa dai cyber attacchi. Nel caso della Zhujian Cup, il nostro rapporto ha raccolto prove circostanziali che suggeriscono che gli studenti possano aver condotto operazioni contro veri obiettivi di intelligence. Maggiori dettagli sulla Zhujian Cup sono disponibili nell’articolo della giornalista Kim Zetter per WIRED intitolato “Did a Chinese University Hacking Competition Target a Real Victim?”.
Quale lezione per i decisori politici esteri
Il sistema cinese, dove ministeri e aziende private ospitano competizioni di hacking, nel suo complesso dovrebbe ispirare i decisori politici al di fuori della Cina, al fine di disporre di potenziali candidati ad essere assunti in vari settori, con conoscenze e capacità pratiche su alcuni principi chiave della cybersecurity. Alcune competizioni sono progettate appositamente per migliorare le performance dei partecipanti con curriculum accademici attinenti a particolari settori privati (ad es. Ironman Triathlon di Sicurezza Informatica), mentre altre semplicemente permettono agli studenti universitari di affinare le loro competenze al di fuori dell’aula.
Le aziende che affrontano minacce comuni e operano sotto un unico regime normativo possono trarre vantaggio da una cooperazione e comunicazione più stretta finalizzata alla comune difesa da operazioni cyber malevole. Una migliore cooperazione potrebbe inoltre facilitare l’individuazione di specifiche competenze per manager e dirigenti che operano nello stesso campo. Le competizioni specifiche per settore organizzate in Cina, come quelle focalizzate sulla sanità, offrono un esempio convincente.
Ci auguriamo che il nostro sia il primo di molti rapporti che esplorino in dettaglio le competizioni di hacking cinesi e che i dati che abbiamo reso disponibili favoriscano lo sviluppo di ulteriori ricerche. In particolare, studi futuri potrebbero esaminare i vari tipi di competizioni CTF in maggiore dettaglio, inclusa la loro organizzazione e struttura, ed esplorare come tale modello, ove opportuno, possa essere adattato a contesti nazionali diversi.
Raccomandazioni chiave
Le seguenti raccomandazioni includono modalità per altri paesi di trarre vantaggio dall’ecosistema CTF della Cina per migliorare l’identificazione e lo sviluppo di talenti, oltre a implementare misure di sicurezza per proteggersi dalle potenziali minacce evidenziate in questo rapporto.
- 1. I decisori politici dovrebbero promuovere l’integrazione dei concorsi CTF nei programmi accademici, poiché valutano efficacemente le competenze pratiche tramite classifiche, premi e specializzazioni. Questo approccio può anche allineare l’istruzione alle esigenze dell’industria e rafforzare le capacità della forza lavoro nel settore della cybersecurity.
- 2. Gli enti che gestiscono le infrastrutture critiche nazionali potrebbero organizzare gare CTF specifiche per i loro settori. In questo modo, si rafforzerebbero sia le difese settoriali che le competenze tecniche dei partecipanti. Benefici diretti includerebbero lo sviluppo e miglioramento di competenze pratiche. Benefici indiretti deriverebbero dalla competizione tra aziende del settore, offrendo ai responsabili della sicurezza un’opportunità per valutare le loro squadre, favorire i rapporti tra i difensori del settore e aumentare il dialogo con i regolatori.
Estratto dal report “Capture the (red) flag”