Probabilmente non pensi due volte al software che usi per far funzionare computer e dispositivi, ma dietro l'interfaccia c'è un codice estremamente complesso che potrebbe aver richiesto anni di lavoro e rifiniture da parte di un vasto team di sviluppatori. Nonostante i migliori sforzi, gli sviluppatori possono trascurare dei difetti software. Mentre alcuni difetti riguardano solo l'esperienza utente, altri sono molto più seri.
Una falla zero-day è qualsiasi vulnerabilità software sfruttabile dagli hacker che non ha ancora una patch. Gli sviluppatori del software potrebbero non aver ancora scoperto la debolezza, stanno sviluppando una correzione o la stanno ignorando. Come puoi immaginare, una tale vulnerabilità può risultare in una grave violazione della sicurezza informatica.
Perché si chiama zero-day?
Molte persone vogliono sapere perché gli esperti chiamano questo tipo di exploit informatico una vulnerabilità zero-day invece di qualsiasi altra cosa. Ammettiamolo, c'è un po' di sarcasmo dietro il nome. In ambito informatico si riferiscono a questo come un attacco zero-day perché i creatori del software hanno zero giorni per rispondere dopo che gli hacker ne hanno approfittato. È un po' come chiudere il recinto dopo che il lupo è già entrato. Certo, puoi prevenire futuri attacchi, ma è di poco conforto per le pecore mancanti.
Dopo che la vulnerabilità zero-day è resa pubblica, non è più un difetto zero-day, ma semplicemente una vulnerabilità. Di solito, i produttori faranno i salti mortali per sviluppare una patch per correggere la debolezza appena la conoscono.
Come vengono scoperti i bug zero-day?
Con i produttori che lavorano straordinario per ridurre al minimo le vulnerabilità, noterai che il tuo software si aggiorna abbastanza regolarmente. A volte, i aggiornamenti di sicurezza vengono rilasciati lo stesso giorno del debutto del software. Anche se agli sviluppatori piace trovare i buchi di sicurezza internamente, non disdegnano un po' di aiuto esterno.
Hacker con cappello bianco
Hacker etico è un termine un po' obsoleto per indicare un hacker etico. Le aziende assumono tali specialisti per migliorare la sicurezza della rete. Identificare potenziali bug zero-day può far parte del lavoro.
Hacker con cappello grigio
Gli hacker grey hat sono simili ai white hat, ma non lavorano in veste ufficiale. Questi hacker potrebbero cercare di trovare bug zero-day nella speranza di ottenere un lavoro con l'azienda, guadagnare notorietà o semplicemente per divertimento. Un hacker grey hat non approfitta mai dei difetti che scopre. Un esempio è quando un hacker ha sfruttato una vulnerabilità nella piattaforma di criptovalute Poly Network per prendere token per un valore di 600 milioni di dollari prima di restituire la somma.
Competizioni
Molte aziende di software organizzano eventi di hacking e pagano hacker con denaro e premi per trovare exploit. Qui, gli hacker trovano difetti nei sistemi operativi, nei browser web e nelle app per dispositivi mobili e computer. Un esempio recente è quello di due specialisti di sicurezza olandesi che hanno vinto 200.000 dollari per una scoperta zero-day su Zoom al Pwn2Own.
Ricercatori
I ricercatori di aziende di cybersecurity come Malwarebytes cercano exploit come parte integrante del loro lavoro. Quando i ricercatori trovano un exploit prima dei cybercriminali, di solito lo segnalano ai produttori prima di renderlo pubblico. Dando ai produttori un vantaggio, i ricercatori possono ridurre al minimo le possibilità che gli hacker lancino attacchi zero-day.
Come vengono scoperti gli attacchi zero-day?
Un utente del software si rende conto di essere il bersaglio di un attacco zero-day quando il suo sistema si comporta in modo strano o quando un hacker utilizza l'exploit per rilasciare malware minacciosi come i ransomware. I ricercatori possono anche scoprire un attacco zero-day dopo un evento. Ad esempio, dopo l'attacco sponsorizzato dallo stato di Stuxnet in Iran, i ricercatori di tutto il mondo hanno capito che era un attacco zero-day con un worm. A volte, un attacco zero-day viene riconosciuto da un produttore dopo che un cliente segnala attività insolite.
Gli attacchi zero-day sono comuni?
Gli attacchi zero-day come quello del worm Stuxnet hanno bersagli specifici e non colpiscono gli utenti normali di computer. Nel frattempo, aziende rispettabili come Microsoft, Apple e Google, di solito risolvono gli zero-day il più rapidamente possibile per proteggere la loro reputazione e i loro utenti. Spesso, una soluzione è disponibile prima che l'utente medio ne venga colpito. Tuttavia, gli zero-day non dovrebbero essere presi alla leggera perché il loro impatto può essere seriamente dannoso.
Come avviene un attacco zero-day?
- Identificazione: Gli hacker trovano vulnerabilità non segnalate nel software attraverso test o facendo acquisti nei mercati neri nel cuore del web, come il Dark Web.
- Creazione: Gli attori di minacce creano kit, script o processi che possono sfruttare le vulnerabilità appena scoperte.
- Intelligence: Gli attaccanti hanno già un bersaglio in mente o usano strumenti come bot, sondaggi o scanner per trovare bersagli redditizi con sistemi sfruttabili.
- Pianificazione: Gli hacker valutano la forza e le debolezze del loro bersaglio prima di lanciare un attacco. Possono utilizzare l'ingegneria sociale, spie o qualsiasi altro tattico per infiltrarsi in un sistema.
- Esecuzione: Con tutto pronto, gli attaccanti distribuiscono il loro software dannoso e sfruttano la vulnerabilità.
Come mitigare gli attacchi zero-day
Impedire che gli attacchi sfruttino vulnerabilità sconosciute per violare il tuo sistema è senza dubbio difficile. È fondamentale chiudere i vettori di minaccia che un attore di minacce può usare per infiltrarsi nella tua rete con strati di protezioni e pratiche più sicure. Ecco alcuni suggerimenti che potrebbero aiutarti a rilevare e prevenire minacce sconosciute:
- Non usare software vecchio. Gli hacker possono più facilmente creare exploit per software che il fornitore non supporta più.
- Usa strumenti antivirus avanzati che includano apprendimento automatico, rilevamento comportamentale e mitigazione degli exploit. Tali funzionalità possono aiutare i tuoi strumenti di cybersecurity a fermare minacce con firme sconosciute.
- Nelle aziende:
- Forma i dipendenti a identificare attacchi di ingegneria sociale come lo spear-phishing che gli hacker possono usare come vettore di attacco.
- Adotta soluzioni di Rilevamento e Risposta agli Endpoint (EDR) per monitorare e proteggere i tuoi endpoint.
- Rafforza la sicurezza della rete con firewall, VPN privati e IPsec.
- Segmenta le tue reti con controlli di accesso alla rete robusti.
Novità sugli zero-day
- La zero-day Log4j “Log4Shell” arriva giusto in tempo per rovinarti il weekend
- La vulnerabilità di Windows Installer diventa una zero-day attivamente sfruttata
- Patch ora! FatPipe VPN zero-day sfruttato attivamente
- Patch ora! Microsoft risolve zero-day sfruttati attivamente e altri aggiornamenti
- Google risolve una vulnerabilità zero-day, e altre, su Android
- Patch ora! Apache risolve una vulnerabilità zero-day nel server HTTP
- Aggiorna ora! Google Chrome risolve due zero-day all'aria aperta
- Apple rilascia un aggiornamento d'emergenza: Effettua l'update, ma non andare nel panico
- Il zero-day HiveNightmare permette a chiunque di diventare SYSTEM su Windows 10 e 11
- PrintNightmare zero-day può essere usato per prendere il controllo dei controller di dominio Windows
- Microsoft corregge sette zero-day, inclusi due bersagli di PuzzleMaker, Google risolve un grave difetto di Android
- Scoperta una zero-day in Zoom rende le chiamate più sicure e regala ai hacker $200,000