Il mercato delle vulnerabilità zero-day sta evolvendo rapidamente sotto la pressione di forze tecnologiche e geopolitiche convergenti. L’intelligenza artificiale sta cambiando radicalmente sia la scoperta che lo sfruttamento delle vulnerabilità. Ecco come.
Nel novembre 2018, quando il ricercatore di sicurezza cinese Qixun Zhao ha dimostrato come violare iOS con una catena di exploit che bypassava tutte le protezioni di un iPhone al Tianfu Cup di Chengdu, la sua presentazione non era solo una sfida tecnica.
Quello che stava mostrando – l’exploit “Chaos” che permetteva di prendere il controllo completo di qualsiasi iPhone semplicemente visitando una specifica pagina web – valeva potenzialmente milioni di dollari sul mercato grigio delle vulnerabilità zero-day. Il premio di $200,000 che Zhao ha ricevuto per la sua dimostrazione era solo l’inizio: quell’exploit è poi finito nelle mani dell’intelligence cinese e utilizzato contro la minoranza uigura prima che Apple rilasciasse una patch.
In pochi minuti, Zhao aveva dimostrato come la ricerca accademica sulla sicurezza sia diventata il nuovo campo di battaglia dell’intelligence internazionale.
L’economia invisibile delle vulnerabilità
Il mercato delle vulnerabilità zero-day rappresenta uno degli aspetti più affascinanti e opachi dell’economia digitale contemporanea. A differenza del cybercrime tradizionale, dove il valore si misura in dati rubati o sistemi compromessi, qui la merce di scambio è la conoscenza pura: il sapere come sfruttare una falla di sicurezza che nessun altro conosce.
I prezzi di queste vulnerabilità riflettono la loro importanza strategica e sono aumentati drammaticamente negli ultimi anni. Aziende come Crowdfense offrono oggi fino a $7 milioni per vulnerabilità iOS zero-click e $5 milioni per Android, mentre Zerodium paga fino a $2 milioni per exploit iOS completi. Questo aumento dei prezzi riflette il fatto che aziende come Apple, Google e Microsoft stanno rendendo sempre più difficile hackerare i loro dispositivi e applicazioni.
I nuovi broker del potere digitale
Tra il ricercatore che scopre una vulnerabilità e l’agenzia governativa che la utilizza si è sviluppato un ecosistema complesso di intermediari. Aziende come Zerodium, Exodus Intelligence e Vupen sono diventate i nuovi broker del potere digitale, mediando tra il mondo accademico della security research e quello opaco dell’intelligence internazionale.
Questi broker operano in una zona grigia legale che ricorda quella dei gruppi ransomware analizzati precedentemente. Formalmente sono aziende private che offrono servizi di sicurezza, ma di fatto sono diventati bracci operativi delle strategie di intelligence nazionali. La francese Vupen, ad esempio, vende esclusivamente a governi alleati della NATO, mentre altri operatori hanno clientele più diversificate che includono regimi autoritari.
La competizione tra questi broker riflette le tensioni geopolitiche più ampie. Quando nel 2021 l’amministrazione Biden ha imposto restrizioni all’export di tecnologie cyber offensive, molte aziende americane si sono trovate in difficoltà nel competere con broker basati in giurisdizioni meno regolamentate. È emerso così un mercato globale dove la geografia della ricerca sulla sicurezza coincide sempre più con la geografia del potere geopolitico.
La diplomazia delle conferenze hacker e l’arsenale digitale delle nazioni
Le conferenze di sicurezza informatica sono diventate i nuovi salotti della diplomazia internazionale, dove le vulnerabilità zero-day fungono da equivalente digitale degli arsenali nucleari. Eventi come Pwn2Own non sono più semplici raduni di appassionati, ma veri e propri mercati dove si scambiano informazioni che possono alterare gli equilibri di potere globali. La partecipazione di ricercatori cinesi agli eventi occidentali è stata progressivamente limitata dal 2017, mentre molti talenti russi si sono trovati esclusi dopo l’invasione dell’Ucraina, riflettendo la più ampia frammentazione del mondo tecnologico lungo linee geopolitiche.
In questo contesto, università come MIT, Stanford e Tsinghua sono diventate vivai strategici per il reclutamento di talenti da parte di agenzie governative. Gli Stati Uniti mantengono il più grande arsenale noto di vulnerabilità zero-day attraverso il Vulnerabilities Equities Process (VEP), sviluppato tra il 2008-2009, che decide se rivelare o mantenere segrete le vulnerabilità per uso operativo. La Cina ha sviluppato un approccio complementare, incentivando massicciamente la ricerca interna attraverso programmi governativi che premiano la scoperta di falle in software occidentali. Come dimostrato dal caso dell’exploit “Chaos”, la legge cinese obbliga cittadini e organizzazioni a fornire supporto all’intelligence quando richiesto, trasformando ogni ricercatore in un potenziale asset geopolitico.
Il paradosso della disclosure responsabile e le infrastrutture critiche
Il concetto di “responsible disclosure” è diventato un campo di battaglia diplomatico che nasconde profonde implicazioni geopolitiche sotto l’apparenza di un dibattito tecnico. Quando un ricercatore scopre una vulnerabilità critica, la sua decisione di rivelarla pubblicamente, venderla a un broker, o trasferirla al proprio governo può avere conseguenze strategiche enormi. Il caso della vulnerabilità EternalBlue della NSA, rubata dai Shadow Brokers e utilizzata negli attacchi WannaCry e NotPetya del 2017, ha dimostrato come le armi cyber possano sfuggire al controllo causando danni globali per miliardi di dollari.
Le infrastrutture critiche rappresentano un obiettivo particolarmente vulnerabile, utilizzando spesso software e sistemi di controllo industriale che non possono essere facilmente aggiornati, creando finestre di opportunità permanenti per attacchi mirati. Gli attacchi alle infrastrutture energetiche ucraine hanno evidenziato come le vulnerabilità zero-day possano essere utilizzate per preparare il terreno digitale in vista di operazioni militari, trasformando queste falle in armi di preparazione del campo di battaglia.
Questa realtà ha spinto sia i governi che gli operatori privati a rivoluzionare l’approccio alla sicurezza. L’Unione Europea sta sviluppando framework che obbligano i ricercatori a notificare prima alle autorità nazionali le vulnerabilità in infrastrutture critiche, nazionalizzando di fatto la ricerca sulla sicurezza. Parallelamente, aziende energetiche, idriche e di telecomunicazioni stanno creando programmi di bug bounty proprietari per intercettare le vulnerabilità prima che finiscano sul mercato grigio, bypassando i tradizionali canali commerciali.
Il mercato delle vulnerabilità zero-day: il futuro della security intelligence
Il mercato delle vulnerabilità zero-day sta evolvendo rapidamente sotto la pressione di forze tecnologiche e geopolitiche convergenti. L’intelligenza artificiale sta cambiando radicalmente sia la scoperta che lo sfruttamento delle vulnerabilità, mentre la crescente tensione geopolitica sta frammentando la community globale della security research.
La proliferazione di strumenti di AI per la ricerca di vulnerabilità potrebbe democratizzare la capacità di scoprire zero-day, riducendo il vantaggio competitivo delle nazioni con i migliori ricercatori. Parallelamente, lo sviluppo di sistemi di difesa basati su AI potrebbe accorciare drasticamente la vita utile delle vulnerabilità, modificando l’economia del mercato.
Quello che è certo è che le vulnerabilità zero-day continueranno a essere un elemento centrale dell’intelligence moderna. In un mondo sempre più digitale, la capacità di accedere segretamente ai sistemi informatici degli avversari è diventata cruciale quanto la capacità di intercettare le comunicazioni lo era durante la Guerra Fredda.
