cybersecurity

Le vulnerabilità software per la cyber guerra: nuovo fronte tra USA e Cina

Il governo cinese ha iniziato a vedere come un asset le vulnerabilità dei software che arrivano dagli Usa. Bug che diventano passepartout per i dispositivi di milioni di persone. Cosa si sa finora e quale sarà l’impatto di questo trend

28 Mag 2021
Riccardo Berti

avvocato Centro Studi Processo Telematico

Franco Zumerle

Avvocato Coordinatore Commissione Informatica Ordine Avv. Verona

hacker-1944688_960_720

Nel 2017 si è svolto negli Stati Uniti un evento hackaton con l’obiettivo di scoprire vulnerabilità zero-day (ovvero vulnerabilità non note) presenti in software delle aziende sponsor dell’evento.

L’hackaton di cui parliamo, che si chiama Pwn2Own, raccoglie esperti informatici di tutto il mondo e prevede, per i vincitori, ricchi premi economici.

Cyber war, l’Occidente rischia un nuovo 11 settembre: ecco perché

Gli hackaton cinesi

Stando a un report del MIT Technology Review nel 2017, come ogni anno, si attendeva che i vari hacker provenienti dalla Cina partecipanti all’hackaton avrebbero portato a casa alcuni dei premi messi in palio dall’organizzazione (cosa regolarmente avvenuta negli anni precedenti), ma nel 2017 nessun premio venne assegnato ai team cinesi, che non furono, apparentemente, in grado di individuare nessuna vulnerabilità sui software esaminati.

WHITEPAPER
Conversational e Customer Experience: come si fa la differenza?
Software
Telco

Poco prima, però, il CEO di un’importante azienda di cybersecurity cinese aveva duramente criticato i suoi concittadini che partecipavano a questo genere di iniziative, lamentando che le vulnerabilità denunciate alle aziende rendevano impossibile sfruttarle perché sarebbero state subito corrette. Di lì a poco il governo cinese avrebbe iniziato a scoraggiare i propri informatici dal partecipare a iniziative del genere all’estero e contemporaneamente avrebbe iniziato a organizzare ricche iniziative locali (non molto sensate se si pensa che non erano iniziative finanziate dai colossi tech interessati a ottenere in questo modo informazioni utili a correggere bug potenzialmente pericolosi).

Viene quindi da pensare che, nel 2017, i team cinesi abbiano taciuto le vulnerabilità scoperte, preferendole riportare in patria perché potessero essere “sfruttate” in Cina.

Nel 2018 si è aperta la stagione degli hackaton cinesi e durante uno dei primi eventi (tenutosi nel novembre 2018) organizzati da alcune software house e aziende di cybersecurity cinesi, il vincitore riusciva a svelare una vulnerabilità nel codice dei modelli più recenti di iPhone (iPhone X). La vulnerabilità, che il suo scopritore aveva battezzato (non a caso) “Chaos” poteva permettere a un attaccante di prendere il controllo del dispositivo di casa Apple da remoto.

La vulnerabilità poteva in particolare essere sfruttata anche integrando del codice malevolo in un sito web visitato dal dispositivo bersaglio. Sarebbe stato quindi sufficiente inserire il codice in un sito di interesse del potenziale target e aspettare pazientemente che l’obiettivo facesse visita al sito dal browser Safari per poter ottenere il completo controllo del dispositivo.

Due mesi dopo Apple rilasciava un aggiornamento che ha risolto il problema, ma pochi mesi più tardi Google ha diffuso il risultato di un’analisi secondo cui la vulnerabilità era stata sfruttata per accedere da remoto a moltissimi dispositivi iPhone.

Il cyber attacco agli iPhone

Stando a quanto riporta il MIT Technology Review, i destinatari di questi cyber attacchi sarebbero la minoranza musulmana uigura che abita nella provincia cinese dello Xinjiang.

Con un post del settembre 2019 Apple in effetti ha rilasciato un comunicato con cui, nell’intento di “tranquillizzare” gli utenti americani, ha affermato che gli attacchi si erano protratti per soli due mesi e avevano fonte in pochi siti web con contenuti relativi alla comunità uigura.

Abbiamo quindi una vulnerabilità non nota esposta in seno a un hackaton cinese (non finanziato da Apple ma teso a risolvere anche bug relativi all’OS di Cupertino); prima che Apple corregga il bug, la vulnerabilità (che, ricordiamo, consente l’accesso da remoto ai dispositivi iPhone e rende quindi possibile vedere quello che l’utente fa con il dispositivo) viene utilizzata per condurre un esteso attacco che pare indirizzato alla comunità uigura.

È chiaro quel che molti pensano (sebbene non vi siano evidentemente prove certe a supporto) ovvero che la vulnerabilità sia stata sfruttata da un’agenzia governativa cinese per una capillare operazione di spionaggio dei dissidenti uiguri, ipotesi che, va detto, è davvero plausibile.

Ma come è possibile che il governo cinese abbia avuto accesso al codice per sfruttare la vulnerabilità, se questo era stato prodotto in un hackaton finanziato da aziende private cinesi?

Il diritto degli hacker in Cina

A proposito non va dimenticato che in Cina esistono alcuni principi, inseriti ad esempio nella Legge sulla Sicurezza Nazionale (entrata in vigore nel 2015) e nella Legge sulla Cyber-sicurezza (la cui versione attuale è stata introdotta nel 2017) che impongono ai cittadini e alle organizzazioni cinesi (a prescindere dal loro inquadramento nell’amministrazione statale) di cooperare con le forze di sicurezza e di fornire loro supporto nell’ambito delle operazioni di tutela della sicurezza nazionale.

In questo senso gli artt. 77, 78 e 79 della Legge sulla Sicurezza Nazionale impongono a ogni cittadino e impresa cinese non solo di consegnare all’autorità ogni prova che gli stessi dovessero raccogliere relativamente ad attività che potrebbero compromettere la sicurezza nazionale, ma anche di collaborare con l’autorità nelle attività di indagine, facilitare l’attività delle autorità e fornire il supporto e l’assistenza di cui queste necessitano.

È quindi evidente che chiunque fosse a conoscenza del codice vincitore dell’hackaton, se richiesto, avrebbe dovuto consegnarlo all’autorità senza potersi opporre (gli articoli menzionati si curano di precisare che il cittadino o impresa che collaborano con l’autorità devono mantenere il più stretto riserbo sulle informazioni segrete che dovessero apprendere nella fase di collaborazione, ma non vengono posti limiti al potere dell’autorità di accedere a segreti industriali dei soggetti privati coinvolti).

Una nuova frontiera nella guerra tech fra USA e Cina

Sebbene non ci sia quindi la prova di un utilizzo della vulnerabilità di cui si discute da parte del governo cinese, la particolare natura dei siti web da cui è partito l’attacco e la natura della vulnerabilità (che consente accesso da remoto al dispositivo, permettendo quindi di spiarlo) non depongono in effetti per un’attività realizzata da un hacker isolato.

A prescindere però dalla fondatezza delle accuse del MIT Technology Review, è comunque evidente che in Cina il governo ha iniziato a vedere come un asset le vulnerabilità dei software che arrivano dagli USA.

Ed in effetti si tratta di una prospettiva naturale per una nazione in cui il concetto di privacy si declina in modo diverso rispetto al resto del mondo e dove l’armonia sociale ha un peso ancora preponderante, anche a prezzo del sacrificio della privacy del singolo, sacrificio a cui il singolo dovrà sottoporsi volente o nolente, specie se l’individuo in questione cerca di nascondersi dietro a righe di codice progettate negli Stati Uniti.

Non va nemmeno dimenticato che questi bug “valgono” cifre incalcolabili in quanto stiamo parlando di dispositivi o programmi talmente diffusi che queste vulnerabilità possono diventare dei passepartout, tanto comodi quanto terrificanti, per accedere comodamente ai dispositivi di una buona fetta della popolazione mondiale, oppure possono impedire il funzionamento di programmi essenziali per cittadini, amministrazioni e imprese, mettendole in grave difficoltà con la pressione di un tasto dall’altro lato del mondo.

Possiamo quindi aspettarci che il mondo del software americano, stretto in questa morsa geopolitica internazionale, subirà dei cambiamenti, reagendo a un possibile uso strumentale delle vulnerabilità con una programmazione più “prudente” e sicura e cercando di circoscrivere il più possibile vulnerabilità che potrebbero essere sfruttate per fini politici o di sorveglianza.

WHITEPAPER
Come proporre soluzioni di Unified Communications: una guida per System Integrator
Cloud
Networking
@RIPRODUZIONE RISERVATA

Speciale PNRR

Tutti
Incentivi
Salute digitale
Formazione
Analisi
Sostenibilità
PA
Sostemibilità
Sicurezza
Digital Economy
CODICE STARTUP
Imprenditoria femminile: come attingere ai fondi per le donne che fanno impresa
DECRETI
PNRR e Fascicolo Sanitario Elettronico: investimenti per oltre 600 milioni
IL DOCUMENTO
Competenze digitali, ecco il nuovo piano operativo nazionale
STRUMENTI
Da Istat e RGS gli indicatori per misurare la sostenibilità nel PNRR
STRATEGIE
PNRR – Piano nazionale di Ripresa e Resilienza: cos’è e novità
FONDI
Pnrr, ok della Ue alla seconda rata da 21 miliardi: focus su 5G e banda ultralarga
GREEN ENERGY
Energia pulita: Banca Sella finanzia i progetti green incentivati dal PNRR
TECNOLOGIA SOLIDALE
Due buone notizie digitali: 500 milioni per gli ITS e l’inizio dell’intranet veloce in scuole e ospedali
INNOVAZIONE
Competenze digitali e InPA cruciali per raggiungere gli obiettivi del Pnrr
STRATEGIE
PA digitale 2026, come gestire i fondi PNRR in 5 fasi: ecco la proposta
ANALISI
Value-based healthcare: le esperienze in Italia e il ruolo del PNRR
Strategie
Accordi per l’innovazione, per le imprese altri 250 milioni
Strategie
PNRR, opportunità e sfide per le smart city
Strategie
Brevetti, il Mise mette sul piatto 8,5 milioni
Strategie
PNRR e opere pubbliche, la grande sfida per i Comuni e perché bisogna pensare digitale
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
CODICE STARTUP
Imprenditoria femminile: come attingere ai fondi per le donne che fanno impresa
DECRETI
PNRR e Fascicolo Sanitario Elettronico: investimenti per oltre 600 milioni
IL DOCUMENTO
Competenze digitali, ecco il nuovo piano operativo nazionale
STRUMENTI
Da Istat e RGS gli indicatori per misurare la sostenibilità nel PNRR
STRATEGIE
PNRR – Piano nazionale di Ripresa e Resilienza: cos’è e novità
FONDI
Pnrr, ok della Ue alla seconda rata da 21 miliardi: focus su 5G e banda ultralarga
GREEN ENERGY
Energia pulita: Banca Sella finanzia i progetti green incentivati dal PNRR
TECNOLOGIA SOLIDALE
Due buone notizie digitali: 500 milioni per gli ITS e l’inizio dell’intranet veloce in scuole e ospedali
INNOVAZIONE
Competenze digitali e InPA cruciali per raggiungere gli obiettivi del Pnrr
STRATEGIE
PA digitale 2026, come gestire i fondi PNRR in 5 fasi: ecco la proposta
ANALISI
Value-based healthcare: le esperienze in Italia e il ruolo del PNRR
Strategie
Accordi per l’innovazione, per le imprese altri 250 milioni
Strategie
PNRR, opportunità e sfide per le smart city
Strategie
Brevetti, il Mise mette sul piatto 8,5 milioni
Strategie
PNRR e opere pubbliche, la grande sfida per i Comuni e perché bisogna pensare digitale
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr

Articoli correlati