Negli ultimi anni, la cybersecurity ha vissuto un’accelerazione impressionante non solo sul fronte difensivo, ma soprattutto su quello offensivo. Un’area in particolare continua a sollevare interrogativi, fascino e inquietudine allo stesso tempo: il mercato degli exploit zero-day. Non parlo solo della caccia ai bug nei bug bounty o nei CVE pubblici, ma di quell’ecosistema parallelo, chiuso e silenzioso, dove le vulnerabilità più preziose vengono vendute a peso d’oro prima ancora che vengano rese note. Un mercato dove la trasparenza non è prevista e i clienti non si annunciano. In questo spazio vivono aziende come Crowdfense, Zerodium, NSO Group, Cytrox e altri operatori meno noti ma altrettanto incisivi.
Crowdfense, per chi mastica già questo ambiente, è uno dei nomi più rispettati. Ha sede a Dubai, ma è tutto fuorché un semplice broker. È una piattaforma che compra vulnerabilità zero-day su sistemi complessi – parliamo di exploit per iOS, Android, Windows, macOS, router, firmware, browser, baseband. Ciò che la distingue è una certa volontà di legittimazione: pubblica i suoi listini, dichiara quanto è disposta a pagare, ed è una delle poche a comunicare apertamente le proprie regole di ingaggio. Le cifre sono surreali per il mercato tradizionale: fino a tre milioni di dollari per una full chain Android zero-click. E non sono promesse. Chi ha avuto modo di interagire con loro sa che dietro c’è un'infrastruttura seria, con revisione tecnica e pagamento tracciabile per chi consegna materiale di qualità.
Zerodium invece è il lupo solitario del settore. Ha base negli Stati Uniti e si rivolge esplicitamente a "clienti governativi". Anche qui parliamo di zero-day ad alto valore, con preferenza per vulnerabilità che permettano accessi remoti o privilege escalation senza interazione dell’utente. La sua fama è cresciuta grazie alle famigerate "price lists", rese pubbliche quasi per marketing: un modo per dire "noi possiamo permetterci di pagare questo, perché i nostri clienti ci pagano molto di più". Dietro non c’è solo il business, ma anche una forma implicita di competizione tra fornitori: chi arriva primo con la chain più efficace, vince.
Diverso è il discorso per realtà come NSO Group, l’azienda israeliana diventata celebre – o famigerata – per Pegasus. Non è un broker di exploit nel senso stretto, ma un vendor completo: sviluppa, mantiene e vende spyware chiavi in mano, già integrati con exploit zero-day per l’installazione invisibile su smartphone. Il prodotto finale non è una vulnerabilità, ma un’intera piattaforma di sorveglianza. La differenza è sottile, ma fondamentale. Il cliente non acquista il tool tecnico, acquista il potere di entrare nella vita di una persona senza che questa lo sappia. Pegasus è stato usato (e abusato) da governi di tutto il mondo, anche in contesti dove la parola "democrazia" suona stonata. È stato trovato nei telefoni di giornalisti, attivisti, oppositori politici. NSO si è difesa dicendo che il controllo sull’uso è responsabilità del cliente finale. Ma la linea etica, qui, è un campo minato.
Cytrox è un nome meno noto ma simile a NSO per approccio. Il loro spyware, Predator, è emerso dopo diverse inchieste giornalistiche e analisi forensi. Fa parte di un consorzio più ampio chiamato Intellexa Alliance, che unisce varie società di cyber intelligence sparse tra Israele, Macedonia del Nord e altri paesi. Il punto comune è sempre lo stesso: vendita di software intrusivo a governi, spesso in mancanza di controlli democratici effettivi.
Poi c’è Grayshift, americana, con un profilo un po’ diverso. Il suo prodotto di punta è GrayKey, un dispositivo di sblocco per iPhone che viene venduto a forze dell’ordine e agenzie federali. Non si tratta di spyware, ma comunque di strumenti che sfruttano vulnerabilità sconosciute a Apple. Il fatto che siano usati per scopi forensi non elimina la questione centrale: anche qui c’è una catena di exploit non divulgati che vengono mantenuti in segreto. La differenza tra "offensivo" e "forense", in certi casi, è solo nella destinazione d’uso.
Un tempo c’erano anche Vupen, in Francia, e Hacking Team, in Italia. Entrambe sono cadute vittima della propria segretezza. La prima ha cessato l’attività nel silenzio, la seconda è stata colpita da un leak devastante nel 2015 che ha svelato vendite a regimi repressivi. Hacking Team oggi esiste ancora sotto un altro nome, Memento Labs, ma ha perso la centralità che aveva un tempo. Il mercato si è spostato verso nuovi attori, più discreti e meno europei.
Qualcuno potrebbe pensare che tutto questo sia illegale. Ma non lo è, almeno non sempre. In molti paesi, vendere un exploit a un governo non viola alcuna legge. Ci sono restrizioni sull’export (soprattutto dopo il Wassenaar Arrangement), ma se l’acquirente è interno o amico, il problema non si pone. Il vero nodo è etico e geopolitico. A chi stiamo consegnando queste armi digitali? Chi controlla che non vengano usate contro cittadini, oppositori, giornalisti?
Intanto, chi scrive codice per mestiere e si occupa di sicurezza sa bene che una vulnerabilità non patchata vale oro. Non solo per chi vuole risolverla, ma anche – e soprattutto – per chi vuole usarla. Il dilemma di fondo è questo: se trovi una falla grave, la vendi a chi ti promette più soldi, o la segnali per il bene comune? È facile giudicare da fuori. Ma quando ti offrono centinaia di migliaia di dollari, e la legge ti copre le spalle, la tentazione diventa concreta.
Personalmente credo che conoscere queste realtà sia necessario. Perché finché restano nell’ombra, continueranno a operare senza scrupoli, al riparo da ogni discussione pubblica. Parlarne non significa approvarle, ma accettare che il mondo cyber non è solo protezione e patch: è anche armi, soldi, intelligence. E chi lo ignora, spesso è già in ritardo.
Commenti
Posta un commento