Non penserete mai al software che utilizzate per far funzionare i vostri computer e dispositivi, ma dietro l'interfaccia c'è un codice molto complesso che potrebbe aver richiesto anni di lavoro a un grande team di sviluppatori per essere scritto e messo a punto. Nonostante i loro sforzi, gli sviluppatori possono non notare i difetti del software. Mentre alcuni di essi influiscono solo sull'esperienza dell'utente, altri sono molto più gravi.
Una falla zero-day è una vulnerabilità del software sfruttabile dagli hacker che non ha ancora una patch. Gli sviluppatori del software potrebbero non essere a conoscenza della debolezza, oppure stanno sviluppando una correzione o ancora la stanno ignorando. Come si può immaginare, una vulnerabilità di questo tipo può portare a una violazione critica della sicurezza informatica.
Perché si chiama zero-day?
Molti vogliono sapere perché gli esperti chiamano questo tipo di exploit informatico "vulnerabilità zero-day" e non altro. È vero che dietro questo nome c'è un po' di sarcasmo. Nel mondo dell'informatica ci si riferisce a questo tipo di attacco come a un attacco zero-day, perché i creatori del software hanno zero giorni per rispondere dopo che gli hacker ne hanno approfittato. È un po' come chiudere la porta della stalla dopo che il lupo è già entrato. Certo, si possono prevenire gli attacchi futuri, ma questo è poco confortante per le pecore scomparse.
Dopo che la vulnerabilità zero-day è stata resa pubblica, non è più una falla zero-day, ma solo una vulnerabilità. Di solito, i produttori fanno le ore piccole per sviluppare una patch che corregga la debolezza non appena ne vengono a conoscenza.
Come vengono scoperti i bug zero-day?
Con i produttori che fanno gli straordinari per ridurre al minimo le vulnerabilità, gli aggiornamenti del software vengono effettuati con una certa regolarità. A volte gli aggiornamenti di sicurezza vengono rilasciati addirittura lo stesso giorno del debutto del software. Sebbene gli sviluppatori amino trovare le falle di sicurezza internamente, non disdegnano un aiuto esterno.
Hacker bianchi
White hat hacker è un termine arcaico per indicare un hacker etico. Le aziende assumono questi specialisti per migliorare la sicurezza delle reti. L'identificazione di potenziali bug zero-day può far parte del lavoro.
Hacker grigi
Gli hacker grey hat sono come i white hat, solo che non lavorano in veste ufficiale. Questi hacker possono cercare di trovare bug zero-day nella speranza di ottenere un lavoro con l'azienda, di guadagnare notorietà o semplicemente per divertimento. Un hacker grey hat non sfrutta mai le falle che scopre. Un esempio è dato da un hacker che ha sfruttato una vulnerabilità della piattaforma di criptovalute Poly Network per appropriarsi di 600 milioni di dollari di token prima di restituire la somma.
Concorsi
Molte aziende di software ospitano eventi di hacking e pagano agli hacker denaro e premi per trovare gli exploit. Qui gli hacker trovano falle nei sistemi operativi, nei browser web e nelle app per dispositivi mobili e computer. Un esempio recente è quello di due specialisti di sicurezza olandesi che si sono portati a casa 200.000 dollari per la scoperta di uno Zoom zero-day al Pwn2Own.
Ricercatori
I ricercatori di aziende di sicurezza informatica come Malwarebytes cercano gli exploit come parte del loro lavoro. Quando i ricercatori trovano un exploit prima dei criminali informatici, di solito lo segnalano ai produttori prima di renderlo pubblico. Dando ai produttori un vantaggio, i ricercatori possono ridurre al minimo le possibilità che gli hacker lancino attacchi zero-day.
Come vengono scoperti gli attacchi zero-day?
Un utente di software si accorge di essere il bersaglio di un attacco zero-day quando il suo sistema si comporta in modo insolito o quando un hacker utilizza l'exploit per lanciare un malware minaccioso come un ransomware. I ricercatori possono anche scoprire un attacco zero-day dopo un evento. Ad esempio, dopo l'attacco Stuxnet, sponsorizzato dallo Stato, all'Iran, i ricercatori di tutto il mondo hanno capito che si trattava di un attacco worm zero-day. A volte, un attacco zero-day viene riconosciuto da un produttore dopo che un cliente ha segnalato un'attività insolita.
Gli attacchi zero-day sono comuni?
Gli attacchi zero-day, come il worm Stuxnet, hanno obiettivi specifici e non colpiscono i normali utenti di computer. Nel frattempo, le aziende affidabili come Microsoft, Apple e Google sono solite correggere gli attacchi zero-day il prima possibile per proteggere la loro reputazione e i loro utenti. Spesso la correzione è disponibile prima che l'utente medio ne sia colpito. Tuttavia, gli zero-day non dovrebbero essere presi alla leggera perché il loro impatto può essere seriamente dannoso.
Come avviene un attacco zero-day?
- Identificazione: Gli hacker trovano vulnerabilità non segnalate nel software attraverso i test o acquistando sui mercati neri nel ventre di Internet, come Dark Web.
- Creazione: Gli attori delle minacce creano kit, script o processi in grado di sfruttare le vulnerabilità appena scoperte.
- Intelligenza: Gli aggressori hanno già in mente un obiettivo o utilizzano strumenti come bot, probing o scanner per trovare obiettivi redditizi con sistemi sfruttabili.
- Pianificazione: Gli hacker valutano la forza e le debolezze del loro obiettivo prima di sferrare un attacco. Possono utilizzare l'ingegneria sociale, le spie o qualsiasi altra tattica per infiltrarsi in un sistema.
- Esecuzione: Una volta che tutto è pronto, gli aggressori distribuiscono il loro software dannoso e sfruttano la vulnerabilità.
Come mitigare gli attacchi zero-day
Impedire agli aggressori di sfruttare vulnerabilità sconosciute per violare il vostro sistema è senza dubbio una sfida. È fondamentale chiudere i vettori di minaccia che un attore può utilizzare per infiltrarsi nella vostra rete con livelli di protezione e pratiche più sicure. Ecco alcuni suggerimenti che possono aiutarvi a rilevare e prevenire le minacce sconosciute:
- Non utilizzate software vecchio. Gli hacker possono creare più facilmente exploit per i software che il fornitore non supporta più.
- Utilizzate strumenti antivirus avanzati con funzioni di apprendimento automatico, rilevamento comportamentale e mitigazione degli exploit. Queste funzioni possono aiutare gli strumenti di cybersecurity a bloccare le minacce con firme sconosciute.
- Nelle aziende:
- Formare i dipendenti a identificare gli attacchi di social engineering, come lo spear-phishing, che gli hacker possono utilizzare come vettore di attacco.
- Adottate le soluzioni EDR (Endpoint Detection and Response) per monitorare e proteggere i vostri endpoint.
- Migliorare la sicurezza della rete con firewall, VPN private e IPsec.
- Segmentate le vostre reti con solidi controlli di accesso alla rete.
Notizie sui giorni zero
- Log4j zero-day "Log4Shell" arriva giusto in tempo per rovinare il vostro weekend
- Windows La vulnerabilità dell'installatore diventa uno zero-day sfruttato attivamente
- Applicate subito la patch! Sfruttato attivamente lo zero-day di FatPipe VPN
- Applicate subito la patch! Microsoft blocca gli zero-days sfruttati attivamente e altri aggiornamenti
- Google ha risolto una vulnerabilità zero-day, e altre ancora, in Android
- Applicate subito la patch! Apache risolve una vulnerabilità zero-day nel server HTTP
- Aggiornamento immediato! Google Chrome corregge due "zero-days" in-the-wild
- Apple rilascia un aggiornamento di emergenza: patch, ma niente panico
- Lo zero-day HiveNightmare permette a chiunque di essere SISTEMA su Windows 10 e 11
- PrintNightmare 0-day può essere usato per prendere il controllo dei controller di dominio Windows
- Microsoft corregge sette zero-days, tra cui due obiettivi di PuzzleMaker, Google corregge una grave falla di Android
- La scoperta dello zero-day di Zoom rende le chiamate più sicure, gli hacker più ricchi di 200.000 dollari