Che cos’è zero-day?

I 5 principali attacchi che devi conoscere

Zero-Day Exploit

Nessun software è perfetto: anche se svolge alla perfezione il suo compito, potrebbe nascondere nel codice alcune vulnerabilità di sicurezza. Sebbene gli sviluppatori di software lavorino giorno e notte per risolvere eventuali problemi nascosti, gli hacker sono spesso più veloci nell’individuare le falle di sicurezza e approfittarne per sferrare i cosiddetti attacchi zero-day contro computer e reti, che nemmeno le migliori soluzioni di sicurezza informatica possono contrastare.

Sommario: Il termine zero-day identifica un problema IT sconosciuto e/o non documentato. Il termine può riferirsi sia a vulnerabilità software e di sistema, sia a virus, worm, malware e attacchi che sfruttano tali vulnerabilità per assumere il controllo dei computer e delle reti target. Continua a leggere per saperne di più sui maggiori attacchi zero-day rilevati e per scoprire come rimanere al sicuro.

Zero Day Exploit

Che cos’è zero-day?

In informatica, il termine zero-day (o 0-day) fa riferimento al primo giorno in cui si scoprono determinati problemi. Il termine è anche usato come parametro, visto che in genere i team di sicurezza annotano il tempo trascorso tra il giorno in cui è stato scoperto un problema informatico e il giorno in cui è stato risolto. Pertanto, il termine “zero-day” si riferisce al giorno in cui i team iniziano ad affrontare il problema in questione e viene spesso impiegato per descrivere alcune minacce alla sicurezza informatica: virus, vulnerabilità e attacchi.

Un virus zero-day è un virus appena scoperto e che quindi non può essere rilevato e/o rimosso dal software antivirus. Allo stesso modo, un malware zero-day è un software malevolo appena scoperto, da analizzare e affrontare rapidamente. Esistono anche worm zero-day, che possono essere metamorfici (l’intero codice viene modificato in ogni nuova release per evitarne il rilevamento) o polimorfici (cambia solo una parte del codice).

Si può parlare di exploit zero-day per qualsiasi minaccia alla sicurezza informatica scoperta di recente e irrisolta. Come suggerisce il nome, queste minacce identificano e sfruttano le falle di sicurezza in applicazioni, sistemi e reti che non sono state ancora identificate, documentate e segnalate pubblicamente dagli esperti di sicurezza informatica. Molto spesso queste falle si trovano in software appena rilasciati o aggiornati di recente, quindi sono comunemente definite vulnerabilità zero-day.

Molti impiegano indistintamente i termini “exploit zero-day” e “vulnerabilità zero-day”, anche se esiste una grossa differenza tra i due. Poiché è una minaccia informatica, un exploit zero-day è intrinsecamente malevolo: non a caso, viene spesso definito attacco zero-day (nessun attacco informatico è benintenzionato). D’altra parte, il termine vulnerabilità zero-day è neutro, dal momento che può anche riferirsi a vulnerabilità software che gli esperti di sicurezza hanno scoperto e risolto prima che gli hacker abbiano avuto il tempo di identificarle e sfruttarle.

Quali sono i tipi di attacchi zero-day?

Negli ultimi anni, gli attacchi zero-day sono diventati particolarmente comuni. Secondo le statistiche del 2016, gli exploit zero-day costituivano oltre un terzo di tutti gli attacchi malware al mondo. Questa minaccia riguarda tutti i dispositivi connessi a Internet, sia di utenti privati che di aziende. Tra alcuni dei maggiori attacchi zero-day degli ultimi anni:

1. Stuxnet

Scoperto nel 2010, Stuxnet è stato uno dei primi exploit zero-day a comparire nelle notizie tecnologiche. Sfruttando vulnerabilità zero-day trovate nei software Windows, questo worm informatico ha preso di mira in particolare i dispositivi digitali che controllano la produzione di uranio arricchito (utilizzato per alimentare le armi nucleari). Sebbene gli autori di Stuxnet siano ancora sconosciuti, si ritiene che l’attacco sia stato lanciato dalle agenzie di intelligence degli Stati Uniti e di Israele allo scopo di sabotare lo sviluppo di armi nucleari dell’Iran.

2. Attacco zero-day alla Sony

Nel 2014, un gruppo di hacker con presunti legami con la Corea del Nord ha compiuto un attacco zero-day contro la Sony Pictures Entertainment, uno dei sei principali studi cinematografici di Hollywood. L’esatta vulnerabilità sfruttata dagli hacker rimane sconosciuta, ma l’attacco è riuscito a sottrarre migliaia di pagine di contratti, piani aziendali, sceneggiature e perfino copie complete di cinque importanti film inediti. In particolare, gli hacker hanno acquisito migliaia di e-mail private redatte dai massimi dirigenti dello studio.

3. L’attacco zero-day al Comitato Nazionale Democratico

Forse il più famoso attacco zero-day si è verificato nel 2016, quando un gruppo di hacker russi ha sfruttato almeno sei vulnerabilità zero-day in programmi come Flash e Java per hackerare il Comitato Nazionale Democratico degli Stati Uniti. Gli hacker hanno acquisito numerose e-mail private inviate e ricevute da personaggi politici famosi, tra cui l’allora candidata alla presidenza degli Stati Uniti Hillary Clinton. Tutte le informazioni rubate, tra cui una lunga lista di finanziatori del Comitato Nazionale Democratico, sono state pubblicate su Wikileaks e sul un sito web creato appositamente, DCLeaks.

4. Gli exploit zero-day Microsoft del 2017-2018

Nel 2017 e nel 2018, gli hacker hanno identificato numerose vulnerabilità zero-day in Microsoft Office. Nonostante i tentativi di Microsoft di risolvere i problemi, gli hacker hanno continuato a trovare modi per aggirare le patch di sicurezza e lanciare attacchi. Un hacker ha utilizzato la backdoor FELIXROOT, un tipo di malware, per lanciare una campagna di spionaggio informatico contro obiettivi principalmente ucraini. Poiché si diffondeva tramite documenti in formato RTF (.rtf) in lingua russa, si ritiene che il governo russo fosse responsabile dell’attacco.

Pochi mesi dopo l’attacco FELIXROOT, nell’agosto 2018, un utente di Twitter che affermava di essere un analista della sicurezza informatica ha scoperto una vulnerabilità zero-day nella versione a 64 bit di Windows 10. Queste informazioni erano disponibili pubblicamente, quindi gli hacker potevano accedervi e sfruttare la vulnerabilità per colpire i computer con Windows 10 a 64 bit. Inoltre, Microsoft ha rilasciato una patch di sicurezza solo dopo un’intera settimana, quindi gli hacker hanno avuto tutto il tempo necessario per sferrare gli attacchi.

5. La vendita di exploit zero-day di BuggiCorp

Nel 2016, l’utente BuggiCorp ha messo in vendita un’importante exploit zero-day a 90.000 $ su un forum web russo specializzato nella vendita di informazioni sulla sicurezza informatica. L’utente sosteneva che l’exploit era in grado di sfruttare una vulnerabilità di escalation dei privilegi locali in tutte le versioni di Microsoft Windows, tra cui Windows 10, l’ultima versione del sistema operativo rilasciata l’anno precedente.

Il venditore affermava che sarebbe stato possibile colpire fino a 1,5 miliardi di computer in tutto il mondo. Non sappiamo se l’exploit sia stato acquistato da un criminale informatico: tutto quello che sappiamo è che il venditore chiedeva 95.000 $ per l’exploit, per poi ridurre il prezzo a 90.000 $ e infine a 85.000 $: alcuni organi di informazione sulla sicurezza informatica hanno quindi dedotto che il venditore dell’exploit non era riuscito a trovare un acquirente.

Come rilevare un attacco zero-day

Le vulnerabilità zero-day sono essenzialmente problemi software, quindi i comuni utenti non sono in grado di rilevarle, a meno che non possiedano abilità di programmazione straordinarie e decidano di esaminare con attenzione il codice sorgente alla ricerca di falle nella sicurezza. I programmatori, invece, possono utilizzare una delle seguenti tecniche per rilevare gli attacchi zero-day e adottare misure per neutralizzarli:

  • Metodo statistico – Questo metodo si basa principalmente sui dati relativi a exploit precedentemente identificati che hanno preso di mira lo stesso sistema. Gli esperti di sicurezza utilizzano varie tecniche di apprendimento automatico per raccogliere i dati e determinare il normale comportamento di un sistema. Qualsiasi deviazione dal comportamento sicuro è considerato un campanello d’allarme.
  • Metodo comportamentale – Questo metodo si basa sul modo in cui un malware noto interagisce con il suo obiettivo. Piuttosto che osservare l’effettivo contenuto dei file in entrata, questa tecnica esamina la loro interazione con il sistema per cercare di prevedere se tale interazione è normale o al contrario è il risultato di una possibile attività dannosa.
  • Metodo di firma – Ogni singola minaccia informatica – che sia un virus, un worm o un malware – possiede una firma univoca, utilizzata dal software antivirus. Per definizione, gli exploit zero-day sono sconosciuti, quindi non possiedono una firma. Tuttavia, gli esperti di sicurezza possono sfruttare l’apprendimento automatico per sviluppare nuove firme basate su exploit precedentemente identificati e utilizzarle per individuare potenziali attacchi zero-day futuri.
  • Metodo combinato – Come suggerisce lo stesso nome, questo metodo è una combinazione dei tre metodi descritti in precedenza. Sebbene sia più complicato rispetto alle singole tecniche, questo metodo dovrebbe fornire risultati più accurati.

Come proteggerti dagli attacchi zero-day

Non è possibile prevenire gli attacchi zero-day, perché sfruttano vulnerabilità software e di sistema sconosciute in precedenza. Tuttavia, puoi prendere alcuni provvedimenti per evitare di essere vittima di un attacco zero-day. Innanzitutto, dovresti aggiornare regolarmente tutte le applicazioni installate sul tuo computer; se non usi più alcuni programmi, ti conviene rimuoverli dal tuo computer piuttosto che esporre il tuo sistema e i tuoi file a potenziali attacchi degli hacker.

Inoltre, è fondamentale utilizzare i migliori software antivirus per mantenere al sicuro il tuo computer. Come accade per quasi tutte le altre minacce informatiche, gli hacker possono sfruttare gli exploit zero-day per installare spyware, ransomware e altri software malevoli sul tuo computer. Un buon programma antivirus rileverà tutte le minacce sul tuo computer e le rimuoverà. Inoltre, proteggerà il tuo computer in tempo reale contro tutte le altre minacce informatiche ed eseguirà scansioni automatiche in background senza rallentare il tuo sistema.

Anche il tuo firewall svolge un ruolo cruciale per scongiurare gli attacchi zero-day. Sebbene alcuni sistemi operativi dispongano di firewall integrati, alcuni dei migliori programmi antivirus sono dotati di funzionalità firewall avanzate per una protezione continua. Oltre al firewall, ricordati di abilitare aggiornamenti periodici dei database e delle definizioni dei virus: in questo modo il tuo computer sarà protetto dalle minacce più recenti.

Fonti (in inglese)

 

Sei protetto?

Gli hacker possono utilizzare gli exploit zero-day per installare software malevolo sul tuo computer e assumere il controllo dei tuoi file e dei tuoi dati personali. Non dare per scontata la tua sicurezza su Internet.