Le competenze di hacking in Cina sono aumentate negli ultimi anni, sostenute dal forte sostegno del governo e dal crescente interesse pubblico, sollevando allarme negli Stati Uniti, dove i funzionari avvertono che il crescente divario di competenze informatiche sta ponendo gli Stati Uniti in una posizione di svantaggio strategico e ponendo rischi per la sicurezza nazionale. .
La Cina ha fatto grandi passi avanti da quando, dieci anni fa, il presidente Xi Jinping ha chiesto alla nazione di diventare una “potenza informatica”. I programmi universitari di sicurezza informatica sono stati standardizzati, è stata istituita una base nazionale per i talenti e l’innovazione in materia di sicurezza informatica in grado di certificare 70.000 esperti di sicurezza informatica all’anno e sono proliferate le competizioni di hacking, molte delle quali pubblicizzano il loro allineamento con l’ambizione del “potere” di Xi.
“La Cina ha costruito l’ecosistema più completo al mondo per le competizioni capture-the-flag (CTF), la forma predominante di competizioni di hacking, che vanno dai giochi squadra contro squadra alle sfide di conoscenza in stile Jeopardy”, ha riferito Atlantic, con sede a Washington, DC Lo ha sottolineato il gruppo di esperti del Consiglio in un recente rapporto.
Nella sicurezza informatica, le competizioni CTF sono giochi in cui i partecipanti risolvono sfide di sicurezza per acquisire dati nascosti (i “flag”) su sistemi, siti Web o applicazioni. Forniscono un ambiente controllato in cui gli hacker possono esercitarsi nella risoluzione dei problemi, nel reverse engineering e nella codifica sicura.
Wuttipong Charoensub/Getty Images
Il Consiglio Atlantico ha osservato che la Cina ha organizzato più di 120 concorsi CTF unici dal 2004, 54 dei quali si ripetono ogni anno.
Alcuni di questi eventi, sostenuti da ministeri cinesi come il Ministero della Sicurezza dello Stato, il Ministero della Pubblica Sicurezza e l’Esercito Popolare di Liberazione, fungono da pool di talenti per le agenzie governative di sicurezza informatica. Il più grande di questi concorsi, quello del Ministero della Pubblica Sicurezza Coppa WangdingHa una media di oltre 35.000 partecipanti.
“L’ecosistema CTF cinese non ha eguali per dimensioni e portata: qualcosa di simile a quattro associazioni atletiche collegiali nazionali sovrapposte, ciascuna con uno sponsor governativo primario solo per consentire agli studenti di sicurezza informatica di esercitare le proprie capacità”, ha affermato l’Atlantic Council. “Molti di questi importanti concorsi includono meccanismi di selezione dei talenti per il reclutamento”.
Fusione civile-militare
Jessica Ruzic, vicedirettrice associata per la politica presso l’Agenzia per la sicurezza informatica e le infrastrutture (CISA) del Dipartimento per la sicurezza nazionale, ha osservato durante un evento del Consiglio Atlantico trasmesso sabato che l’approccio a lungo termine del modello statale autoritario e monopartitico cinese ha consentito maggiore continuità rispetto all’approccio a breve termine visto in democrazie come gli Stati Uniti.
“La mentalità della Cina è che stanno costruendo qualcosa di strutturale, e la mentalità degli Stati Uniti è che stiamo cercando di risolvere un problema che è proprio di fronte a noi”, ha detto Ruzic durante un evento online ospitato dal Global China Hub dell’Atlantic Council. “Il governo degli Stati Uniti nel suo insieme non è preparato per una riflessione strategica a lungo termine. Non è proprio così che funzionano i limiti di durata, vero?”
“Francamente, 20 anni fa era giunto il momento di stabilire una strategia fondamentale per contrastare l’attività informatica dannosa della Repubblica popolare cinese”, ha aggiunto.
Ha osservato che anche la Cina trae vantaggio dalla sua strategia di fusione civile-militare, sfumando il confine tra risorse civili e militari per integrare tecnologia e competenze a vantaggio di entrambi i settori. Tuttavia, ha osservato che Washington non può “copiare e incollare” questa strategia visti i “guardrail” degli Stati Uniti e la sua enfasi sull’innovazione del settore privato.
Colmare il divario nella sicurezza informatica
Un punto di forza su cui gli Stati Uniti possono fare leva è la loro rete globale di partnership, sia con governi amici che con aziende del settore privato, per “finanziare programmi di ricostruzione delle capacità, condividere informazioni e sviluppare soluzioni”.
Ruzic ha affermato che ciò richiede che il governo adotti un approccio nuovo, più collaborativo di quello attuale, che ha descritto come: “Voi, il settore privato
Dacci, governo, le informazioni. La fine.”
Il governo degli Stati Uniti sta già adottando alcune misure per ridurre il divario, ha osservato, come la strategia di 60 pagine elaborata dall’Ufficio del Direttore nazionale informatico per potenziare la forza lavoro informatica del paese.
“Include obiettivi come rendere l’educazione informatica più aperta e disponibile e facilitare l’apprendimento applicato o esperienziale nello stile delle competizioni di hacking cinesi”, ha affermato.
L’abilità della Cina nel catturare la bandiera
Eugenio Benincasa, coautore del rapporto del Consiglio Atlantico e ricercatore senior presso il Centro per gli studi sulla sicurezza dell’ETH di Zurigo, ha fatto eco alle preoccupazioni sull’ecosistema CTF in rapida espansione della Cina.
“Sono rimasto sorpreso non solo dalle dimensioni dell’ecosistema CTF ma, cosa ancora più importante, dalla sua integrazione nei programmi accademici e nel settore professionale, con una forte attenzione alle competizioni CTF di attacco-difesa”, ha affermato Benincasa. settimana delle notizie.
Ha notato che la prima competizione di attacco e difesa della Cina, Baidu CTF, è stata ispirata dalla competizione CTF tenutasi all’annuale competizione DEF CON a Las Vegas.
“Da allora, l’ecosistema CTF di difesa e attacco della Cina è cresciuto fino a diventare più ampio e completo del nostro”, ha affermato. “Dovremmo dare priorità ai finanziamenti ed espandere l’accesso a competizioni simili per rafforzare il nostro ecosistema.”
Ha osservato che ciò non solo creerebbe una comunità di sicurezza informatica più forte negli Stati Uniti, ma aumenterebbe anche la consapevolezza delle minacce emergenti.
Benincasa ha anche sottolineato i rischi di fusione civile-militare delle competizioni di exploit, che differiscono dalle competizioni “cattura la bandiera” in quanto si concentrano sulla ricerca e sulla dimostrazione delle vulnerabilità del mondo reale in software o sistemi specifici.
Queste vulnerabilità “verranno probabilmente incanalate verso le agenzie di sicurezza cinesi per un potenziale utilizzo in operazioni offensive”, ha affermato Benincasa, che ha anche lavorato presso il Dipartimento di Politica di New York City come analista criminale.
Benincasa ha affermato che si potrebbe imparare molto dai CTF cinesi, che si concentrano sulle sfide specifiche di un determinato settore, ad esempio le forze dell’ordine, l’assistenza sanitaria, le app e le criptovalute.
“In particolare, le competizioni CTF di difesa dagli attacchi hanno stimolato l’innovazione e la crescita del mercato nelle capacità informatiche offensive incoraggiando la creazione di nuove società di sicurezza informatica in settori quali la scansione delle vulnerabilità e le gamme informatiche, oltre a contribuire allo sviluppo di laboratori di ricerca sulle vulnerabilità, “ha detto. .
Gli Stati Uniti restano indietro?
Dakota Cary, coautore e membro non residente presso il Global China Hub e coautore del rapporto dell’Atlantic Council, ha notato una differenza di approccio tra le competizioni CTF cinesi e americane.
“L’ecosistema CTF statunitense ospita tipicamente competizioni orientate alla difesa progettate per valutare la capacità dei partecipanti di proteggere i propri sistemi dagli attacchi. Per molti dei CTF cinesi, le abilità orientate all’offensiva vengono testate e viene data la priorità”, ha affermato.
Alla domanda sulle capacità informatiche dell’America da quando l’informatore Edward Snowden ha rivelato i programmi di sorveglianza globale della National Security Agency, Cary ha affermato che la percezione del dominio americano è obsoleta.
“La raccolta back-end su larga scala è ora incredibilmente difficile a causa della crittografia diffusa”, ha affermato. “Il sistema statunitense in precedenza non aveva eguali, ma molti nel settore ora ammettono che la Cina è l’attore più capace. La portata della sua comunità di ricerca fa impallidire altre nazioni, sia per le dimensioni della Cina che per i suoi sforzi concentrati nell’ultimo decennio”.
L’ascesa di questi poteri ha accompagnato l’aumento delle campagne di gruppi di hacking associati allo stato, come Flax Typhoon, che l’FBI ha bloccato a settembre dopo aver compromesso più di 200.000 router domestici, fotocamere e altri dispositivi di consumo a livello nazionale.
Il direttore dell’FBI Christopher Wray e altri funzionari dell’intelligence hanno avvertito che gli hacker cinesi cercano di gettare le basi affinché il Paese possa distruggere le infrastrutture critiche quando sarà il momento giusto, oltre a impegnarsi quotidianamente in furti di proprietà intellettuale.
“La Repubblica popolare cinese ha un programma di hacking più vasto di qualsiasi altra grande nazione messa insieme”, ha detto Wray in un’udienza al Congresso all’inizio di quest’anno. Ha avvertito che gli hacker stanno gettando le basi per “devastare” le infrastrutture americane quando ciò andrebbe a vantaggio della Cina.
Pechino ha respinto tali avvertimenti come non validi e ipocriti, citando i propri rapporti sulle campagne informatiche statunitensi.
settimana delle notizie ha contattato la National Security Agency, la Cybersecurity and Infrastructure Security Agency e l’ambasciata cinese a Washington, DC, per un commento scritto.
