Hacking Competitions e Obiettivi Segreti
Le competizioni di hacking, come i contest di Capture the Flag (CTF), sono generalmente organizzate per fornire ai partecipanti un’opportunità di sviluppare e dimostrare le proprie competenze nel campo della sicurezza informatica, oltre a servire come strumento per le aziende e le agenzie governative per scoprire nuovi talenti. Tuttavia, un evento in Cina solleva interrogativi su possibili obiettivi segreti, suggerendo che il contest potrebbe aver avuto finalità di spionaggio. Secondo due ricercatori occidentali, la documentazione relativa alla Zhujian Cup—noto anche come la Competizione Nazionale di Cybersecurity Attack and Defense—presenta caratteristiche insolite che suggeriscono un uso inusuale della competizione.
Le competizioni hacking di solito si svolgono all’interno di reti chiuse o “cyber ranges”, ambienti simulati progettati per prevenire l’interferenza con reti reali. Questi range forniscono un contesto che simula configurazioni del mondo reale, nel quale i partecipanti devono trovare vulnerabilità, ottenere accesso a parti specifiche della rete o catturare dati. Due compagnie principali in Cina si occupano dell’allestimento di tali cyber ranges per competizioni. Tuttavia, la Zhujian Cup non ha menzionato alcun fornitore di cyber range nella sua documentazione, portando i ricercatori a ritenere che la competizione si sia svolta in un contesto reale piuttosto che simulato.
Il contest ha previsto che gli studenti firmassero un documento con termini particolarmente restrittivi, tra cui il divieto di discutere le attività svolte durante la competizione e l’obbligo di non distruggere o interrompere il sistema bersaglio. Al termine della competizione, gli studenti erano tenuti a eliminare qualsiasi backdoor piantata nel sistema e i dati acquisiti, evidenziando un aspetto da manuale di operazioni di hacking clandestine piuttosto che un normale esercizio accademico. Gli studenti che partecipano al contest sono stati avvertiti che per qualsiasi violazione delle regole avrebbero potuto essere ritenuti legalmente responsabili.
Il Ruolo delle Università nell’Intelligence
Il contest Zhujian Cup è stato ospitato dalla Northwestern Polytechnical University, un’università di scienze e ingegneria di Xi’an, Shaanxi, con collegamenti diretti al Ministero dell’Industria e dell’Informazione della Cina e al governo militare. Quest’istituzione, che posee un’autorizzazione di massima segretezza per condurre lavori per il governo cinese e l’Esercito Popolare di Liberazione, rappresenta una peculiarità nelle università cinesi, data la sua storia di coinvolgimento diretto in attività di intelligence.
Le università cinesi, in particolare quelle con legami con il governo, giocano un ruolo cruciale nel formare e sviluppare talenti nel settore della cybersecurity, ma potrebbe esserci un’influenza di carattere militare o di intelligence nei programmi accademici. La Zhujian Cup, in questo contesto, può rappresentare un mezzo per reclutare e formare studenti in attività che potrebbero non essere immediatamente evidenti, ma che sono integrate nel più ampio panorama delle operazioni di cyberspionaggio del paese.
La connessione tra università e operazioni di intelligence non è nuova; infatti, le istituzioni di istruzione superiore sono spesso la fonte di talents che vengono successivamente assunti in capacità operative delicate. La preparazione pratica offerta attraverso competizioni di hacking può far sì che gli studenti escano da questi programmi con competenze applicabili direttamente a scenari di attacco e difesa in contesti reali, ampliando così il pool di competenze a disposizione della nazione in termini di capacità offensive e difensive nel cyberspazio.
Da notare che ogni anno, le competizioni di hacking in Cina attirano una grande quantità di studenti, creando un ambiente fertile per la scoperta e lo sviluppo di talenti che potrebbero essere utilizzati per obiettivi strategici. L’assenza di trasparenza riguardo agli scopi reali di eventi come la Zhujian Cup alimenta la speculazione sulla possibile strumentalizzazione degli studenti per fini di spionaggio, un modo per dare forma a una nuova generazione di esperti informatici con legami con le operazioni governative.
Termini e Restrizioni Insoliti
Durante la competizione Zhujian Cup, agli studenti è stato richiesto di firmare un documento contenente termini particolarmente restrittivi e insoliti. Tra questi, spiccava il divieto di discutere con chiunque la natura e i dettagli delle attività svolte durante il concorso. Inoltre, era espressamente vietato distruggere o interrompere il sistema bersaglio, una restrizione che suona anomala per un contest di hacking tradizionale.
Al termine della competizione, i partecipanti erano obbligati a eliminare qualsiasi backdoor piantata nel sistema e a distruggere dati acquisiti. Questa procedura riflette un aspetto più simile a operazioni clandestine piuttosto che a un esercizio accademico tipico. Gli studenti, dunque, si trovavano in una posizione di responsabilità legale per qualsiasi violazione delle regole, come evidenziato nel documento di impegno che stipulava che, in caso di divulgazione di informazioni, avrebbero potuto essere ritenuti responsabili per eventuali danni all’organizzatore o al paese.
La specifica condizione di cancellare i dati e le backdoor piantate solleva interrogativi significativi su quale fosse il vero obiettivo della competizione. Con queste limitazioni, i ricercatori hanno sollevato dubbi su come tale setup sarebbe appropriato per un normale contest di CTF, che di solito non include restrizioni di questo tipo. La mancanza di riferimenti a questo tipo di esercizio, denominato in Cina “crowd-testing”, nella documentazione della Zhujian Cup, ha ulteriormente aumentato i sospetti sull’intento della competizione.
Inoltre, gli studenti erano vincolati dall’impossibilità di copiare dati, documenti o materiali stampati relativi alla competizione, così come a non divulgare informazioni riguardo alle vulnerabilità individuate. Tali stipulazioni rafforzano la sensazione che l’evento fosse progettato con finalità specifiche, potenzialmente legate a operazioni di intelligence o spionaggio, piuttosto che solo a scopi educativi o competivi.
Prove Circostanziali e Alternative Possibili
Secondo i ricercatori Dakota Cary ed Eugenio Benincasa, non ci sono prove concrete che il concorso Zhujian Cup abbia coinvolto un obiettivo reale, ma le circostanze e le caratteristiche delle competizioni sollevano interrogativi significativi. Essi affermano di essere “85% sicuri” che la competizione mirasse a colpire un target del mondo reale, sostenendo che non ci siano spiegazioni alternative plausibili. Cary, esperto di cyber security, sottolinea che molte competizioni di hacking prevedono esplicitamente l’uso di reti simulate o “cyber ranges”, ma in questo caso, l’assenza di un fornitore di cyber range nella documentazione è particolarmente sospetta.
Una delle spiegazioni alternative suggerite dai ricercatori è che il bersaglio potesse essere un’azienda o un’organizzazione domestica che collaborava con il concorso, offrendo agli studenti l’opportunità di esercitarsi nel trovare vulnerabilità in un ambiente reale. Tuttavia, Cary osserva che tali esercizi sono di solito definiti “crowd-testing” in Cina, e tale terminologia non appare nella descrizione della Zhujian Cup. Questo porta a chiedersi: “Se si trattava di un vero esercizio CTF, perché gli studenti dovevano cancellare dati e backdoor?”
Inoltre, le implicazioni legali della competizione sono un altro fattore inquietante. Se gli studenti stavano semplicemente testando un sistema in un ambiente controllato, come potrebbe la divulgazione di dati o materiali portare a “perdite o danni” per gli organizzatori e per il paese? Questo aspetto rende l’intero quadro ancora più complesso, insinuando che la competizione potrebbe aver avuto come vero scopo il reclutamento di talenti per attività di hacking non autorizzate.
La tempistica della competizione è da considerare: svolta durante il weekend del Capodanno, un periodo in cui le squadre di sicurezza possono essere sotto organico o meno vigili, potrebbe aver rappresentato un’opportunità per attaccare un bersaglio nel momento in cui fosse più vulnerabile. Inoltre, con circa 200 partecipanti provenienti da 29 istituzioni, il grande numero di studenti coinvolti dà risalto al potenziale di arruolamento di futuri professionisti del settore, il cui talento potrebbe essere utilizzato in operazioni di spionaggio o hacking strategico.
Implicazioni e Riflessioni sul Futuro
Le implicazioni di quanto emerso dalla Zhujian Cup sono molteplici e sollevano domande cruciali riguardo all’influenza che competizioni come questa possono avere sul panorama della cybersecurity e sull’etica nell’istruzione. Se la competizione avesse effettivamente come obiettivo un attacco a un bersaglio reale, ciò potrebbe rappresentare un cambiamento significativo nel modo in cui le università e le istituzioni educative in Cina operano nel contesto della formazione e dello sviluppo delle competenze nel settore della sicurezza informatica.
In un contesto in cui la Cina sta puntando sempre più a rafforzare le proprie capacità di hacking e cyber difesa, il reclutamento di talenti attraverso strumenti non convenzionali come competizioni di hacking segrete potrebbe diventare un modello standard. Questo potrebbe portare a una cultura di approcci più aggressivi e sottili nel reclutamento di futuri professionisti della cybersecurity, con giovani studenti istruiti a operare in ambiti grigi o addirittura illegali, minando i principi etici della professione.
Inoltre, la solidità del sistema delle competizioni di hacking in Cina, che include non solo eventi generali ma anche contest specifici per settori, suggerisce un investimento continuo nella formazione di un esercito di esperti capaci di rispondere alle esigenze di sicurezza nazionale e di intelligence. Questo approccio potrebbe essere scambiato per la creazione di una generazione di hackers giovane e istruita, pronta a essere implementata in operazioni di cyberspionaggio e attacco informatico e con un impegno diretto al servizio del governo.
Se la Zhujian Cup si rivela essere un esperimento di reclutamento per operazioni di intelligence, è probabile che altri eventi di hacking simili possano seguire lo stesso modello, evidenziando la necessità di maggiore monitoraggio e regolamentazione di tali attività da parte della comunità internazionale. La questione solleva anche preoccupazioni sulla sicurezza globale, poiché il rafforzamento delle capacità di hacking della Cina potrebbe tradursi in una maggiore aggressività di cyber-attacchi su scala internazionale.
