Probabilmente non pensi due volte al software che usi per far funzionare computer e dispositivi, ma dietro l'interfaccia c'è un codice estremamente complesso che potrebbe aver richiesto anni di lavoro e rifiniture da parte di un vasto team di sviluppatori. Nonostante i migliori sforzi, gli sviluppatori possono trascurare dei difetti software. Mentre alcuni difetti riguardano solo l'esperienza utente, altri sono molto più seri.
Una falla zero-day è qualsiasi vulnerabilità software sfruttabile dagli hacker che non ha ancora una patch. Gli sviluppatori del software potrebbero non aver ancora scoperto la debolezza, stanno sviluppando una correzione o la stanno ignorando. Come puoi immaginare, una tale vulnerabilità può risultare in una grave violazione della sicurezza informatica.
Perché si chiama zero-day?
Molte persone vogliono sapere perché gli esperti chiamano questo tipo di exploit informatico una vulnerabilità zero-day invece di qualsiasi altra cosa. Ammettiamolo, c'è un po' di sarcasmo dietro il nome. In ambito informatico si riferiscono a questo come un attacco zero-day perché i creatori del software hanno zero giorni per rispondere dopo che gli hacker ne hanno approfittato. È un po' come chiudere il recinto dopo che il lupo è già entrato. Certo, puoi prevenire futuri attacchi, ma è di poco conforto per le pecore mancanti.
Dopo che la vulnerabilità zero-day è resa pubblica, non è più un difetto zero-day, ma semplicemente una vulnerabilità. Di solito, i produttori faranno i salti mortali per sviluppare una patch per correggere la debolezza appena la conoscono.
Come vengono scoperti i bug zero-day?
Con i produttori che lavorano straordinario per ridurre al minimo le vulnerabilità, noterai che il tuo software si aggiorna abbastanza regolarmente. A volte, i aggiornamenti di sicurezza vengono rilasciati lo stesso giorno del debutto del software. Anche se agli sviluppatori piace trovare i buchi di sicurezza internamente, non disdegnano un po' di aiuto esterno.
Hacker con cappello bianco
Hacker etico è un termine un po' obsoleto per indicare un hacker etico. Le aziende assumono tali specialisti per migliorare la sicurezza della rete. Identificare potenziali bug zero-day può far parte del lavoro.
Hacker con cappello grigio
Gli hackers grey hat sono come i white hat, solo che non lavorano in veste ufficiale. Questi hackers possono cercare di trovare bug zero-day nella speranza di ottenere un lavoro con l'azienda, di guadagnare notorietà o semplicemente per divertimento. Un hacker grey hat non sfrutta mai le falle che scopre. Un esempio è dato da un hacker che ha sfruttato una vulnerabilità della piattaforma di criptovalute Poly Network per appropriarsi di 600 milioni di dollari di token prima di restituire la somma.
Competizioni
Molte aziende di software ospitano eventi di hacking e pagano hackers denaro e premi per trovare gli exploit. Qui gli hackers trovano falle nei sistemi operativi, nei browser web e nelle app per dispositivi mobili e computer. Un esempio recente è quello di due specialisti di sicurezza olandesi che si sono portati a casa 200.000 dollari per la scoperta di uno Zoom zero-day al Pwn2Own.
Ricercatori
I ricercatori di aziende di cybersecurity come Malwarebytes cercano exploit come parte integrante del loro lavoro. Quando i ricercatori trovano un exploit prima dei cybercriminali, di solito lo segnalano ai produttori prima di renderlo pubblico. Dando ai produttori un vantaggio, i ricercatori possono ridurre al minimo le possibilità che gli hacker lancino attacchi zero-day.
Come vengono scoperti gli attacchi zero-day?
Un utente di software si accorge di essere il bersaglio di un attacco zero-day quando il suo sistema si comporta in modo insolito o quando un hacker utilizza l'exploit per lanciare un malware minaccioso come un ransomware. I ricercatori possono anche scoprire un attacco zero-day dopo un evento. Ad esempio, dopo l'attacco Stuxnet, sponsorizzato dallo Stato, all'Iran, i ricercatori di tutto il mondo hanno capito che si trattava di un attacco worm zero-day. A volte, un attacco zero-day viene riconosciuto da un produttore dopo che un cliente ha segnalato un'attività insolita.
Gli attacchi zero-day sono comuni?
Gli attacchi zero-day come quello del worm Stuxnet hanno bersagli specifici e non colpiscono gli utenti normali di computer. Nel frattempo, aziende rispettabili come Microsoft, Apple e Google, di solito risolvono gli zero-day il più rapidamente possibile per proteggere la loro reputazione e i loro utenti. Spesso, una soluzione è disponibile prima che l'utente medio ne venga colpito. Tuttavia, gli zero-day non dovrebbero essere presi alla leggera perché il loro impatto può essere seriamente dannoso.
Come avviene un attacco zero-day?
- Identificazione: Hackers trovano vulnerabilità non segnalate nel software attraverso i test o acquistando sui mercati neri nel ventre di Internet come il Dark Web.
- Creazione: Gli attori di minacce creano kit, script o processi che possono sfruttare le vulnerabilità appena scoperte.
- Intelligence: Gli attaccanti hanno già un bersaglio in mente o usano strumenti come bot, sondaggi o scanner per trovare bersagli redditizi con sistemi sfruttabili.
- Pianificazione: Gli hacker valutano la forza e le debolezze del loro bersaglio prima di lanciare un attacco. Possono utilizzare l'ingegneria sociale, spie o qualsiasi altro tattico per infiltrarsi in un sistema.
- Esecuzione: Con tutto pronto, gli attaccanti distribuiscono il loro software dannoso e sfruttano la vulnerabilità.
Come mitigare gli attacchi zero-day
Impedire che gli attacchi sfruttino vulnerabilità sconosciute per violare il tuo sistema è senza dubbio difficile. È fondamentale chiudere i vettori di minaccia che un attore di minacce può usare per infiltrarsi nella tua rete con strati di protezioni e pratiche più sicure. Ecco alcuni suggerimenti che potrebbero aiutarti a rilevare e prevenire minacce sconosciute:
- Non usare software vecchio. Gli hacker possono più facilmente creare exploit per software che il fornitore non supporta più.
- Utilizzate strumenti antivirus avanzati con funzioni di apprendimento automatico, rilevamento comportamentale e mitigazione degli exploit. Queste funzioni possono aiutare gli strumenti di cybersecurity a bloccare le minacce con firme sconosciute.
- Nelle aziende:
- Formare i dipendenti a identificare gli attacchi di social engineering, come lo spear-phishing, che hackers possono utilizzare come vettore di attacco.
- Adotta soluzioni di Rilevamento e Risposta agli Endpoint (EDR) per monitorare e proteggere i tuoi endpoint.
- Rafforza la sicurezza della rete con firewall, VPN privati e IPsec.
- Segmenta le tue reti con controlli di accesso alla rete robusti.
Novità sugli zero-day
- La zero-day Log4j “Log4Shell” arriva giusto in tempo per rovinarti il weekend
- La vulnerabilità di Windows Installer diventa una zero-day attivamente sfruttata
- Patch ora! FatPipe VPN zero-day sfruttato attivamente
- Patch ora! Microsoft risolve zero-day sfruttati attivamente e altri aggiornamenti
- Google risolve una vulnerabilità zero-day, e altre, su Android
- Patch ora! Apache risolve una vulnerabilità zero-day nel server HTTP
- Aggiorna ora! Google Chrome risolve due zero-day all'aria aperta
- Apple rilascia un aggiornamento d'emergenza: Effettua l'update, ma non andare nel panico
- Il zero-day HiveNightmare permette a chiunque di diventare SYSTEM su Windows 10 e 11
- PrintNightmare zero-day può essere usato per prendere il controllo dei controller di dominio Windows
- Microsoft corregge sette zero-day, inclusi due bersagli di PuzzleMaker, Google risolve un grave difetto di Android
- Scoperta una zero-day in Zoom rende le chiamate più sicure e regala ai hacker $200,000