Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime e Analisi Vulnerabilità
Il caso Glasswing di Anthropic evidenzia come i rischi legati all’utilizzo delle AI nella scoperta di vulnerabilità zero-day siano attenzionati. L’azienda ha limitato l’accesso allo strumento per evitare abusi in ambito cyber warfare. Gli zero-day rappresentano asset strategici per stati e gruppi avanzati, utilizzati in operazioni di spionaggio e sabotaggio. La crescente automazione nella ricerca di exploit accelera la corsa agli armamenti digitali, rendendo il cyberspazio più instabile e competitivo.
Negli ultimi mesi, il caso Glasswing ha attirato molta attenzione della comunità della cybersecurity. Anthropic ha deciso di limitare l’accesso alla sua AI avanzata Mythos, rendendola disponibile solo ai ricercatori di sicurezza selezionati tramite il progetto Glasswing. Questa decisione è arrivata dopo una serie di preoccupazioni su potenziali utilizzi malevoli della tecnologia, la quale potrebbe facilitare un utilizzo di bug zeroday su larga scala.
Glasswing promette di individuare bug e relativi exploit con un livello di efficienza e velocità mai visto prima. Non è la prima AI a mostrare i denti su questo ambito, infatti stiamo assistendo a forti cambiamenti nell’approccio al classico bug hunting, cosa trattata già la scorsa settimana suq ueste pagine. Tuttavia, questa capacità rendeva estremamente pericoloso un utilizzo malevolo di queste capacità soprattutto in un contesto globale caratterizzato da tensioni informatiche crescenti e da guerra ibrida.
La scelta di Anthropic evidenzia una tendenza evidente: le aziende stanno iniziando a riconoscere il “ruolo geopolitico” delle proprie innovazioni e anche l’hacktivismo le sta colpendo proprio per questo.
Nel mentre l’accesso a strumenti potenti non è solo una questione etica, ma sta diventando una “necessità strategica” per evitare che capacità offensive vengano diffuse senza controllo. Ma cerchiamo di analizzare tutto questo con calma.
Nel panorama di oggi, le armi cyber (cyberweapons) sono tra le armi più sofisticate e meno visibili della guerra contemporanea. A differenza delle armi convenzionali, i cyberweapons operano nell’ombra e sfruttando vulnerabilità sconosciute (quelli che chiamiamo zero-day), per infiltrarsi nei sistemi nemici senza che i vendor dei rispettivi prodotti conoscano tali bug di sicurezza e senza lasciare tracce immediate. Il loro valore è enorme a livello strategico perché permettono accessi privilegiati evitando, il più delle volte, di essere scoperti.
Sul panorama degli zero-day ci sarebbe da parlarne per ore. Sono preziosi perché non sono noti ai produttori di software e non ci sono patch di sicurezza o difese efficaci contro di essi. Questo li rende strumenti ideali per operazioni di spionaggio, sabotaggio o raccolta di intelligence. Pertanto gli stati nazionali li conservano come armi e investono ingenti risorse per scoprirli o acquistarli dal mercato nero.
Questo ha portato nel tempo ad un ecosistema di prodotti avanzati, capaci di infiltrarsi nei dispositivi personali, monitorare comunicazioni e raccogliere dati sensibili (i famosi spyware). Questi strumenti sono spesso usati per operazioni di sorveglianza mirata, rendendo sempre più labile il confine tra sicurezza nazionale e violazione della privacy.
Le guerre informatiche moderne fanno spesso uso di zero-day, i quali sono considerati degli asset strategici di altissimo valore. EternalBlue, ad esempio, era un exploit sviluppato dalla NSA e mantenuto segreto per ben cinque anni prima di essere reso pubblico a seguito di una fuga di dati. Una volta che venne divulgato, è stato utilizzato in attacchi devastanti come il ransomware WannaCry, dimostrando quanto possa essere pericolosa la diffusione incontrollata di tali strumenti.
Possiamo citare ancora prima Stuxnet, probabilmente la prima vero cyber-arma progettata per causare danni fisici. Questo malware aveva integrati in esso ben 4 vulnerabilità zero-day per colpire le infrastrutture nucleari. Questo malware segnò una svolta storica nella guerra digitale e dimostrò che il cyberspazio può portare a conseguenze catastrofiche nel mondo reale.
Anche Flame è stato un malware progettato per operazioni di intelligence su larga scala. Flame faceva leva su un approccio modulare e altamente stealth, e sfruttò almeno uno zero-day critico nel sistema di certificazione di Windows che gli consentiva di falsificare patch Microsoft e diffondersi come software legittimo. Questo uso di zero-day ha reso le infezioni particolarmente difficili da rilevare, mentre ha garantito un accesso prolungato ai sistemi compromessi.
Questi sono solo degli esempi noti, ma che evidenziano un pattern molto chiaro. I bug zero-day non sono vulnerabilità tecniche, ma strumenti geopolitici. La loro gestione, conservazione e utilizzo, diventano una parte integrante delle strategie di difesa e offesa degli stati nazionali, pertanto sono da considerarsi armi strategiche.
Nuovi exploit zero-day, consentono una inevitabile accelerazione nelle attività di guerra, Ogni nuova vulnerabilità è un’opportunità per un vantaggio sull’avversario, sia in termini di intelligence che di capacità offensiva. La conoscenza di uno zero-day può quindi fare la differenza tra il successo e il fallimento in un’operazione militare.
Per questo motivo, gli stati che controllano aziende altamente innovative che producono teconlogie di “accelerazione” nella scoperta degli zero-day, diventano riluttanti a condividere queste capacità con il resto del mondo. Rendere pubblica una Ai che rileva con facilità bug altamente critici, significa perderne il valore strategico, poiché una volta divulgato questa “arma” verrà rapidamente corrette e risulterà non più sfruttabile in operazioni militari.
Si tratta quindi di un equilibrio tra sicurezza collettiva e interesse nazionale e strumenti come Glasswing, consentono di accelerare la catena di ricerca dei bug non documentati e quindi rappresentano uno snodo critico.
Se da un lato (e se utilizzati con etica) possono aiutare a migliorare la sicurezza globale, dall’altro rischiano di “democratizzare la capacità di bug hunting” che fino ad oggi erano riservate a pochi attori altamente specializzati.
Glasswing dimostra che la strategia di “democratizzare” tutto, non funziona. Ora gli stati iniziano a pensare che l'”accelerazione“, sia un potere strategico e la vogliono cavalcare loro prima degli altri.
Ma questo di fatto non è altro che la rincorsa all’AGI (che non è la super intelligenza e che probabilmente non arriverà mai), ma è sempre un punto di svolta che consente di realizzare in brevissimo tempo cose altamente complesse che svolgevano gli essere umani.
E tra queste cose accelerate dalle AI, la conoscenza degli zero-day si sta muovendo ad un ritmo senza precedenti. Lo abbiamo visto con il rilascio di una montagna di zero-day emessi a seguito dell’utilizzo di cloude code su software open source (vedi Mozilla). Questo aumento nelle capacità di scoperta, rende il cyberspazio ancora più instabile e competitivo rispetto a prima, accelerando le capacità di gruppi di individui che prima non le avevano affatto.
Possedere queste tecnologie e non condividerle con gli altri, diventa un vantaggio strategico enorme. Gli stati che riusciranno a scoprire e mantenere segreti tali exploit possono beneficiare di nuove armi che possono utilizzare in operazioni silenti ed estremamente efficaci, influenzando scenari globali senza ricorrere a conflitti tradizionali.
Dicevamo un tempo: nella zona grigia fanno tutti il bello e il cattivo tempo. Ma sembrerebbe che anche questo stia “accelerando”.
