HomeBlockchainSicurezzaNessun umano l'ha vista per 15 anni: scoperta AI della vulnerabilità Linux

Nessun umano l’ha vista per 15 anni: scoperta AI della vulnerabilità Linux

Un bug nascosto nel codice di Linux per quindici anni. Un giornalista circondato da quattro volanti della polizia per un errore di battitura. Un contractor che protegge le reti del governo americano e viene bucato da un hacker sconosciuto. La settimana appena trascorsa ha messo in fila una serie di episodi che, presi insieme, raccontano qualcosa di più profondo: i sistemi su cui ci affidiamo ogni giorno sono più fragili di quanto sembri, e spesso ci vuole un evento imprevisto — o un’intelligenza artificiale — per accorgersene.

Punti chiave

  • L’AI VEGA di Nebula Security ha individuato una vulnerabilità Linux rimasta nascosta dal 2011, permettendo a qualsiasi utente di prendere il controllo totale di una macchina.
  • Google ha corrisposto a Nebula Security oltre 92.000 dollari come ricompensa per la scoperta del bug.
  • Il giornalista Joel Feder è stato circondato da quattro auto della polizia a causa di un errore di digitazione in una targa nel sistema Flock.
  • Il Pentagono ha avviato un programma di addestramento hacker con stipendio di 22.500 dollari annui, senza requisiti di laurea né esperienza, ma con obbligo di rimborso in caso di fallimento.
  • Accenture, contractor che protegge le reti governative USA, ha subito un furto di file segreti poi messi in vendita online.

AI scopre una vulnerabilità Linux di 15 anni

La scoperta AI della vulnerabilità Linux è uno di quei casi che fanno riflettere su quanti altri difetti simili possano esistere, silenziosi, nei fondamenti del software globale. Dal 2011, nel codice di Linux — il sistema operativo che gira su milioni di dispositivi in tutto il mondo — si nascondeva un bug che avrebbe potuto consentire a qualsiasi utente di ottenere il controllo completo della macchina. Nessun analista umano l’aveva mai intercettato.

Nebula Security e lo strumento AI VEGA

A scovarlo è stato VEGA, uno strumento di intelligenza artificiale sviluppato da Nebula Security, progettato per analizzare codice sorgente anche molto datato. VEGA ha passato in rassegna strati di codice che gli ingegneri umani avevano semplicemente smesso di guardare, e ha individuato la falla dove nessuno stava cercando.

Il risultato pratico: il bug è stato corretto. Ma la domanda che rimane aperta è quanto tempo ci voglia, senza strumenti simili, prima che qualcuno con cattive intenzioni trovi la prossima vulnerabilità prima dei difensori.

Il premio di Google e la risoluzione del bug

Google ha riconosciuto il valore della scoperta versando a Nebula Security oltre 92.000 dollari attraverso il proprio programma di bug bounty. Una cifra che misura, almeno in parte, la gravità del rischio eliminato. Il bug è ora risolto, ma l’episodio solleva un interrogativo sistemico: quante vulnerabilità analoghe, attive da anni, attendono ancora di essere trovate nel codice su cui si regge l’infrastruttura digitale mondiale?

Errore di identificazione della polizia per un refuso sulla targa

Non tutti i fallimenti della sicurezza informatica riguardano hacker o malware. A volte basta un carattere sbagliato per trasformare un pomeriggio ordinario in un incidente potenzialmente pericoloso.

Il caso del giornalista Joel Feder

Il reporter Joel Feder si trovava seduto in un’auto presa in prestito del valore di 155.000 dollari nel parcheggio di un negozio, quando quattro auto della polizia lo hanno circondato. Gli agenti sono scesi dai veicoli con le mani sulle fondine. Dal loro punto di vista, stavano fermando un’auto rubata.

Dal punto di vista della realtà, era tutto un errore.

Il refuso nel sistema Flock

Il sistema di lettura automatica delle targhe utilizzato dalla polizia si chiama Flock. Qualcuno a Los Angeles aveva denunciato la scomparsa di una targa, ma nel digitare il numero aveva omesso alcuni caratteri. Il sistema aveva abbinato quella targa errata all’auto di Feder, classificandola come veicolo rubato. La tecnologia aveva funzionato esattamente come progettata — ma i dati in ingresso erano sbagliati.

Nessuno si è fatto del male. Ma l’episodio mostra come sistemi di sorveglianza automatizzata, applicati su larga scala senza sufficiente controllo umano, possano trasformare un refuso in una situazione ad alto rischio per persone del tutto innocenti.

Il programma Pentagon di addestramento hacker sottopagato

Il Pentagono ha deciso di costruire una nuova riserva di esperti di sicurezza informatica partendo da zero. Il programma non richiede laurea né esperienza pregressa nel settore: cerca persone motivate e disposte a imparare.

Requisiti e stipendio del programma

La retribuzione offerta è di circa 22.500 dollari annui. Per fare un confronto, si tratta di una cifra ben al di sotto degli standard del settore privato per ruoli equivalenti. L’obiettivo dichiarato è ampliare rapidamente il bacino di talenti disponibili per la difesa informatica del governo americano.

La clausola di rimborso e le preoccupazioni degli esperti

C’è però una condizione che ha fatto alzare più di un sopracciglio: chi non supera il programma di addestramento è tenuto a restituire i costi al governo. Una clausola insolita, che aggiunge pressione economica a un percorso già impegnativo.

Diversi esperti del settore hanno espresso dubbi sull’impostazione complessiva. Il ragionamento è lineare: professionisti della sicurezza informatica sottopagati hanno meno incentivi a restare, meno motivazione a eccellere e più probabilità di essere attratti da offerte esterne — incluse quelle del settore privato o, in scenari estremi, da attori ostili. Affidarsi a personale mal remunerato per proteggere infrastrutture critiche è una scommessa rischiosa.

La violazione grave della sicurezza in Accenture solleva dubbi

Accenture e il furto di file segreti per il governo USA

Accenture è uno dei principali contractor che gestisce e protegge le reti informatiche del governo degli Stati Uniti. È, in altri termini, uno dei guardiani digitali dell’apparato federale. Ebbene, Accenture è stata violata: un hacker non identificato ha sottratto file riservati e li ha poi messi in vendita online.

L’azienda ha comunicato di aver risolto il problema e di aver ripristinato la sicurezza dei propri sistemi. Ma la natura stessa dell’incidente — un contractor pagato per difendere le reti governative che subisce un furto di documenti sensibili — pone domande difficili sulla catena di affidabilità che regge la sicurezza informatica federale americana. Se chi dovrebbe proteggere viene compromesso, chi protegge chi protegge?

I timori sulla privacy per le liste segrete di Madison Square Garden

Liste segrete che etichettano fan e celebrità come “ad alto rischio”

A chiudere questa rassegna di episodi c’è una storia che riguarda non la sicurezza delle infrastrutture, ma quella dei dati personali. Madison Square Garden, la celebre arena di New York, teneva liste riservate su fan e celebrità che frequentavano le sue strutture. Alcuni ospiti venivano classificati con etichette come “high risk” — ad alto rischio — senza che gli interessati ne fossero a conoscenza.

La vicenda tocca un nervo scoperto: la raccolta silenziosa di dati comportamentali da parte di grandi organizzazioni private, con categorie e giudizi che influenzano l’accesso a spazi pubblici senza alcuna trasparenza verso le persone coinvolte. Non è un caso isolato, ma un promemoria di quanto capillarmente la sorveglianza commerciale si sia estesa nella vita quotidiana.

Cinque storie diverse, un filo comune: i sistemi — tecnologici, istituzionali, aziendali — mostrano crepe che emergono quasi sempre in modo inaspettato. L’AI che trova ciò che gli umani non hanno visto per un decennio e mezzo è una buona notizia. Tutto il resto, molto meno.

FAQ

Come è stato scoperto il bug di sicurezza Linux rimasto nascosto così a lungo?

Lo strumento di intelligenza artificiale VEGA, sviluppato da Nebula Security, ha analizzato codice sorgente datato e ha individuato una falla presente nel sistema Linux dal 2011. Nessun analista umano aveva rilevato il difetto nei quindici anni precedenti.

Perché la polizia ha inseguito il giornalista Joel Feder?

La polizia ha erroneamente identificato l’auto di Feder come veicolo rubato a causa di un refuso: qualcuno aveva inserito nel sistema Flock un numero di targa con alcuni caratteri mancanti, e il sistema aveva abbinato quella targa errata all’auto del giornalista.

Quali sono le condizioni del nuovo programma di addestramento hacker del Pentagono?

Il programma non richiede laurea né esperienza precedente nel settore informatico, offre una retribuzione di circa 22.500 dollari annui e prevede l’obbligo di restituire i costi al governo in caso di mancato superamento dell’addestramento.

Qual è stato l’impatto della violazione informatica subita da Accenture?

Un hacker non identificato ha sottratto file riservati da Accenture — contractor responsabile della protezione di reti governative americane — e ha tentato di venderli online. Accenture ha dichiarato di aver risolto il problema, ma l’episodio ha sollevato interrogativi sulla solidità della sicurezza informatica affidata a contractor privati.

Contenuto realizzato con l’assistenza dell’intelligenza artificiale e con revisione editoriale umana.

Francesco Antonio Russo
Francesco Antonio Russo è un analista e divulgatore nel settore delle criptovalute, del Web3 e dell’Intelligenza Artificiale. Da più di 6 anni studia l’evoluzione dei mercati digitali e delle tecnologie decentralizzate, con particolare attenzione all’impatto economico e sociale della blockchain. Su Cryptonomist approfondisce trend, regolamentazioni e innovazioni, offrendo contenuti accurati e comprensibili anche ai non addetti ai lavori.
RELATED ARTICLES

Stay updated on all the news about cryptocurrencies and the entire world of blockchain.

Featured video

LATEST