Un tema centrale e che, dopo i recenti sviluppi, sta assumendo sempre maggior rilievo nel mondo della sicurezza informatica, è quello delle Vulnerabilities. Una vulnerability è definibile come “a weakness which allows an attacker to reduce a system’s information assurance”.
È chiaro, quindi, come nel mondo delle Vulnerabilities (d’ora in poi VV.), siano tre i fattori chiave: la presenza di una VV., l’accesso di un attore ostile al sistema compromesso da una VV, la capacità dell’attore ostile di sfruttare la VV. Quando una VV. è scoperta, essa garantisce all’attore ostile un vero e proprio potere monopolistico nei confronti del sistema target. Nel caso in cui l’attacker sia l’unico a conoscenza della vulnerabilità, la VV. assume il nome di “zero day”, poiché, dal momento in cui viene sfruttata, il responsabile della sicurezza del sistema target ha zero giorni per rimediarvi. Appare, quindi, chiaro come le VV. (e in particolare le 0day) siano oggetto di enorme attenzione da parte di tutti i soggetti attivi nel cyber-spazio (pubblici e privati), poiché permettono, a chi le detiene, un canale privilegiato attraverso il quale perseguire i propri obiettivi. Semplificando, quindi, nel mondo delle 0d esistono due figure: chi scopre la 0d e chi ha la responsabilità della sicurezza del sistema compromesso dalla VV. In genere, quindi, i secondi attori vogliono essere anche i primi (e quindi venire a conoscenza delle “falle” del sistema di cui sono responsabili), mentre i primi fanno di tutto perché questo non avvenga (e per preservare il proprio privilegio).
Per esempio, la capacità di individuare le VV. dei propri prodotti, permette ai produttori di patchare i propri software ed evitare perdite di denaro, prestigio e clienti. Dall’altra parte il monopolio di una 0d garantisce ad un attore ostile un doppio potere: il primo, effettivo, di sfruttare la VV. a proprio vantaggio, il secondo, latente, di minacciare l’utilizzo di una VV. per ottenere un risultato. In questa dinamica, in cui è la conoscenza delle falle dei propri e degli altrui sistemi informatici il catalizzatore del potere, si inseriscono le agenzie di intelligence (in particolare quella USA) che, di volta in volta, possono impersonare entrambi gli attori del gioco. L’attività di ricerca delle VV. da parte della CIA è, infatti, capillare come hanno parzialmente rivelato i leaks del marzo 2017 pubblicati da Wikileaks (Vaul 7 e Dark Matter) e si rivolge tanto all’esterno quanto all’interno (Offesa/Difesa).
Per iniziare a capirlo dobbiamo introdurre un elemento chiave, il Vulnerabilities Equities Process (VEP). Il VEP è “un procedimento interno al Governo USA in base al quale viene valutata la possibilità di tenere riservate o al contrario pubblicare delle vulnerabilità nella sicurezza di un software”. Se la VV. supera le soglie di verifica diventa materiale riservato del Governo e, quindi, della sua Agenzia di Intelligence. Generalmente, la soglia è costituita dalla rilevanza strategica della VV. in esame, anche se, come hanno suggerito gli ultimi leaks, molte VV. non strettamente rilevanti sono state tenute in gran segreto da parte del Comparto americano. Un altro criterio essenziale con cui viene giudicata la rilevanza di una VV. è quello della pubblicità del sistema target. Infatti se è alta la probabilità che un attore indipendente (esterno all’Intelligence) scopra (in realtà riscopra) la VV. del target, alto diventa anche il rischio di continuare a tenerla segreta. Infatti, un monopolio garantisce un potere, una diffusione creerebbe solo problemi, tra gli altri la perdita del vantaggio, il clima di instabilità, i danni agli utenti di un software vulnerabile e, nel caso, non così remoto, di leaks, la perdità di credibilità dell’Agenzia.
A tal proposito, Trey Herr e Bruce Schneier parlano di “tasso di riscoperta delle VV.” e ne illustrano l’andamento crescente degli ultimi anni. La riscoperta delle VV. è quindi fattore chiave nella dinamica di cyber-potere che le VV. creano, poiché annullano il privilegio detenuto da alcuni attori e ri-parificano un vantaggio strategico. È chiaro, quindi, come le Agenzie di Intelligence operino (con la ricerca di VV.) in due sensi: garantirsi una 0d e annullare la 0d di un altro attore (state o non state). Conseguentemente, è facile capire il ruolo giocato dalle 0d nel mercato Cyber, in particolare all’interno del modello di sviluppo conosciuto come CaaS (Crime-as-a-Service), una forma di crimine-business service-based (basato sui servizi) che fa da motore ad un enorme catena di valore globale del Cyber-crime. Il cyber-criminale (singolo o organizzato) diventa, quindi, il produttore e il fornitore di una vasta gamma di prodotti e servizi che inondano il mercato globale e che vengono acquistati da altri soggetti interessati ad aggiungere alle proprie attività (lecite e non) un nuovo investimento. Si è creato così uno 0day-market, oggi sempre più vasto ed importante (Lamanna cita l’esempio di Zerodium).
Per concludere, completo il quadro descritto con un’aggiunta: lo studio di Herr e Schneier rivela come il “tasso di riscoperta delle VV.” sia in costante ascesa e come questo abbia importanti ripercussioni sulla stabilità del mercato informatico legale. Passando da una situazione di monopolio delle VV. ad una di distribuzione periferica di esse (che è il caso di un alto tasso di riscoperta associato ad un grande cyber-mercato criminale), il mercato diventa vittima di un clima di insicurezza generalizzata, in cui l’incertezza su chi e quanti detengano la VV. di un sistema determina l’impossibilità per le aziende produttrici di mettere in sicurezza i propri prodotti e la sfiducia dei consumatori nei confronti di esse.
Di Lorenzo Termine
Related Posts:
