Con il termine zero-day viene generalmente identificata un'attività da parte di hacker e cracker che individuano falle in alcuni software e che le sfruttano per intrufolarsi al suo interno. Nello specifico, questi si verificano proprio "zero giorni" dall'identificazione del potenziale exploit e, dunque, ad insaputa degli sviluppatori che hanno realizzato il programma sotto attacco.
Alla prova pratica, si tratta di un'arma molto pericolosa nelle mani dei criminali informatici visto che la conoscenza di bug e problemi simili permette loro di avere un vantaggio strategico notevole rispetto agli sviluppatori lasciati completamente allo scuro. Chi utilizza questi software, di fatto, è dunque alla mercé degli hacker che ne hanno scoperto le debolezze .
Questo fenomeno sembra in aumento e, a dispetto delle tante precauzioni prese dai chi lavora nel settore, non sembra facile arginarlo efficacemente.
Indice dei contenuti
Zero-day e pericoli annessi
Quando si parla di zero-day, non si fa riferimento a una novità del 2021. Ciò che invece rappresenta un fatto recente è la loro diffusione così capillare visto che quest'ultimo anno, per esempio, i casi registrati sono raddoppiati rispetto a quello precedente.
I numeri finali sono ancora in fase di raccolta per quanto riguarda il 2021, ma le indicazioni ci dicono che circa 60-70 vulnerabilità zero-day sono state rilevate nel corso degli ultimi 12 mesi. A rendere così appetibile questo tipo di azioni per i criminali informatici, vi è la facilità di poter poi ottenere il controllo della macchina vittima dell'attacco. In alcuni casi, come con i ransomware, gli hacker possono poi "monetizzare" le loro azioni criminose attraverso l'estorsione di denaro.
Il mercato sotterraneo degli zero-day
Gli exploit zero-day, in molti casi, hanno un concreto valore economico. Sono merci vendibili e possono valere ingenti somme di denaro. Il valore del mercato nero del giusto tipo di exploit zero-day può facilmente raggiungere molte centinaia di migliaia di dollari e, in alcuni casi, hanno superato il milione di dollari.
I broker zero-day compreranno e venderanno exploit zero-day, per un commercio sotterraneo dalle dimensioni sempre più vaste.
Le vulnerabilità zero-day sono molto difficili da scoprire. Un tempo venivano trovati e utilizzati solo da team di hacker ben dotati e altamente qualificati. Al giorno d'oggi, soprattutto in aree come Cina e Russia, esistono molti hacker che potenzialmente possono individuare falle molto pericolose per i nostri computer.
In questo ambiente, esistono hacker definiti "white hat" ovvero propensi ad individuare le falle per poi segnalarle agli sviluppatori del software coinvolto. In questo contesto, consegnano le informazioni sul bug alla software house competente, che lavorerà con l'hacker che ha trovato il problema per eliminarlo.
Dunque, vengono poi create, testate e rese disponibili nuove patch di sicurezza. Vengono lanciati come aggiornamenti di sicurezza. Lo zero-day viene annunciato solo una volta che tutte le azioni correttive sono state attuate. Quando diventa pubblico, la correzione è già disponibile. Il potenziale pericolo è dunque stato eliminato.
Come puoi proteggerti?
A volte, a sfruttare gli zero-day, sono proprio i governi. Un chiaro esempio è stato il controverso prodotto spyware del gruppo NSO, Pegasus, utilizzato dai governi per combattere il terrorismo e mantenere la sicurezza nazionale.
Può installarsi su dispositivi mobili con poca o nessuna interazione da parte dell'utente. Uno scandalo è scoppiato nel 2018 quando Pegasus sarebbe stato utilizzato da diversi stati autorevoli per condurre la sorveglianza contro i propri cittadini. Dissidenti, attivisti e giornalisti sono stati presi di mira.
Di recente, nel settembre 2021, è stato rilevato e analizzato dal Citizen Lab dell'Università di Toronto uno zero-day che interessava Apple iOS, macOS e watchOS, che veniva sfruttato da Pegasus. Apple ha rilasciato una serie di patch il 13 settembre 2021.
A cosa è dovuta l'impennata improvvisa di questi attacchi?
Una patch di emergenza è in genere la prima indicazione che un utente riceve che è stata scoperta una vulnerabilità zero-day. I fornitori di software hanno pianificazioni per il rilascio di patch di sicurezza, correzioni di bug e aggiornamenti.
Ma poiché le vulnerabilità zero-day devono essere corrette il prima possibile, l'attesa per il prossimo rilascio di patch pianificato non è un'opzione. Sono le patch di emergenza fuori ciclo che si occupano delle vulnerabilità zero-day.
Tutti i sistemi operativi tradizionali, molte applicazioni come browser, app per smartphone e sistemi operativi mobile hanno ricevuto almeno una patch di emergenza nel 2021.
Ci sono diverse ragioni per l'aumento. Sotto il punto di vista positivo, importanti fornitori di software hanno implementato politiche e procedure migliori per lavorare con ricercatori che individuano più frequentemente le prove di una vulnerabilità zero-day. Oggi più facile per il ricercatore di sicurezza segnalare questi difetti e le vulnerabilità vengono prese sul serio immediatamente.
Inoltre visto che la sicurezza viene riconosciuta come una funzione business-critical e come tale viene trattata con budget e risorse, gli attacchi devono essere sempre più raffinati per riuscire nel loro intento. Sappiamo che non tutte le vulnerabilità zero-day vengono sfruttate: contare tutte le falle di sicurezza zero-day non è lo stesso che contare le vulnerabilità zero-day che sono state scoperte e corrette prima che i criminali informatici le sfruttassero effettivamente.
Tuttavia, gruppi di hacker potenti, organizzati e ben finanziati stanno lavorando a pieno ritmo per cercare di scoprire questo tipo di vulnerabilità. Spesso, un gruppo venderà uno zero-day dopo averlo giù sfruttato, poiché sospetta che questo sta per essere scoperto e non vuole perdere una possibile fonte di guadagno in quanto, anche in caso di scoperta e correzione, lo zero day può comunque far male: questo perchè moltissime aziende non applicano patch di sicurezza e aggiornamenti in modo tempestivo, pertanto non sarà molto difficile trovare sistemi vulnerabili.
Le stime suggeriscono che un terzo di tutti gli exploit zero-day viene utilizzato per i già citati ransomware. Si tratta di un vero e proprio business criminale visto che le bande di ransomware fanno soldi e dispongono di fondi per finanziare l'operatore dei "ricercatori" malevoli di falle zero-day.
Un'altra scuola di pensiero dice che i gruppi di criminali informatici hanno sempre cercato di scoprire questi tipi di falle e stiamo vedendo cifre più alte perché ci sono sistemi di rilevamento migliori al lavoro, oltre a normative che obbligano le aziende a segnalare tempestivamente il breach dei loro sistemi. Il Threat Intelligence Center di Microsoft e il Threat Analysis Group di Google insieme ad altri hanno competenze e risorse che rivaleggiano con le capacità delle agenzie di intelligence nel rilevare le minacce sul campo.
Con il graduale aumento della tecnologia cloud, è più facile per questi tipi di gruppi di monitoraggio identificare comportamenti potenzialmente dannosi coinvolgendo un numero enorme di clienti. I colossi del settore dunque, stanno migliorando le proprie sinergie per scovare questo tipo di problema e di conseguenza l'individuazione di questi attacchi è continuata a crescere negli ultimi anni.
La qualità del softwareè calata?
Gli autori di software stanno diventando più "svogliati"? La qualità del codice sta calando? Semmai dovrebbe essere in aumento con l'adozione di pipeline CI/CD, test di unità automatizzati e una maggiore consapevolezza che la sicurezza deve essere pianificata fin dall'inizio della progettazione software e non "imbullonata" poco prima di un lancio.
Librerie e toolkit open source sono utilizzati da molti sviluppatori che, seppur volenterosi, non hanno i mezzi economici per integrarsi in questo mercato. Questo può portare all'introduzione di vulnerabilità nel progetto. Sono in corso diverse iniziative per cercare di affrontare il problema delle falle di sicurezza nel software open source e dunque limitare l'insorgere di zero-day.
Come puoi difenderti efficacemente?
Il software di protezione degli endpoint può aiutare con gli attacchi zero-day. Anche prima che l'attacco zero-day sia stato individuato e gli antivirus e anti-malware aggiornati, il comportamento anomalo e software di alcuni programmi può attivare le routine di rilevamento euristico nel software di protezione, intrappolando e mettendo in quarantena i file potenzialmente dannosi.
Un altro buon consiglio è mantenere tutti i software e i sistemi operativi aggiornati. Ricorda di patchare anche i dispositivi di rete, inclusi router e dispositivi simili, in modo da ridurre la tua superficie d'attacco. In tal senso può essere utile fare un audit dei software, closed e open source, che utilizzi per vedere se seguono tutti gli standard di buona programmazione. In tal senso cerca di favorire le applicazioni open source che hanno aderito a programmi in ottica sicurezza, come l'iniziativa Secure Open Source.
Infine formarei membri del personale è un'altra priorità, visto che molti attacchi zero-day sfruttano un momento di disattenzione umana: fornire sessioni di formazione sulla consapevolezza della sicurezza informatica e aggiornare il personale frequentemente è un ottimo modo per prevenire o mitigare incidenti di questo tipo.