Vulnerabilità zero-day: quali sono i rischi e come fare per identificarli e mitigarli

Ogni azienda dovrebbe applicare soluzioni di cybersecurity in grado di mitigare le problematiche dovute alle vulnerabilità zero-day, potenzialmente presenti nel software. Le vulnerabilità rappresentano un bug di un software, non ancora noto ai loro sviluppatori e per questo molto pericoloso. Diventa fondamentale capire come possono operare le vulnerabilità zero-day, in modo da identificarle e limitarle, grazie a sistemi di protezione efficaci e congiunti.

Vulnerabilità zero-day: cosa sono

Una vulnerabilità zero-day è una vulnerabilità del software, scoperta dagli autori di un attacco, prima ancora che dagli sviluppatori stessi. Potrebbe essere sfruttata, nelle mani sbagliate, per generare attacchi hacker e causare gravi conseguenze.

Le vulnerabilità zero-day sono altamente time-sensitive e hanno un valore molto alto fino a quando non vengono rese pubbliche. A volte passano addirittura mesi, prima che gli sviluppatori riescano a identificare la vulnerabilità all'origine dell'attacco. Ciò rappresenta un grande vantaggio per i malintenzionati, che potranno godere di più tempo. Si definiscono zero-day proprio per indicare che gli sviluppatori, una volta venuti a conoscenza del bug, hanno zero giorni di tempo per intervenire a porvi rimedio. Nelle realtà, per quanto l’intervento possa essere tempestivo, potrà essere solo raramente immediato.

Mentre la vulnerabilità è ancora presente, gli autori di attacchi potranno utilizzare la tecnica nota come codice exploit, cioè sviluppare un codice ad-hoc per sfruttare la falla. Sarà possibile attaccare gli utenti del software, che potrebbero diventare vittime inconsapevoli di furti di identità o di altre forme di cyber-crimine. Dopo che un exploit è stato individuato e corretto, non costituisce più una minaccia zero-day e perde di ogni valore.

Differenza tra vulnerabilità e malware zero day

Esistono principalmente due tipi di minacce: la vulnerabilità zero-day e il malware zero-day.

La vulnerabilità zero-day, come abbiamo già detto, è una qualunque vulnerabilità di un software, che non è stata intercettata durante la fase di testing e non è quindi nota ai suoi sviluppatori. I programmi che sfruttano la vulnerabilità sono definiti zero-day exploit e hanno lo scopo di causare effetti indesiderati.

Il malware zero-day è invece un virus non pubblicamente conosciuto. Si tratta quindi di virus nuovo oppure profondamente modificato, tanto da risultare difficilmente identificabile dalle soluzioni antivirus. Non si potrà quindi risalire alle sue “firme”, rendendo complesso, se non impossibile, un riconoscimento mediante “signature analysis” da parte degli antivirus.

Il mercato nero delle vulnerabilità zero day

Le dinamiche di mercato della vendita di zero-day sono complesse. Si tratta di market virtuali, dove vengono vendute le specifiche delle vulnerabilità zero-day o direttamente gli exploit, cioè i codici malevoli in grado di sfruttarle.

Da una parte troviamo i mercati ufficiali diretti, in cui i produttori di software trattano direttamente con i ricercatori e offrono una ricompensa per eventuali segnalazioni, e quelli intermediati, in cui operano broker, che si occupano di convalidare e retribuire le vulnerabilità scoperte dai diversi ricercatori di cybersecurity.

Dall’altra parte, il commercio delle vulnerabilità zero-day ha dato vita a un fiorente mercato nero, in cui i venditori offrono i loro zero-day ai possibili compratori in un mercato non ufficiale, su siti privati o semi-privati, quasi sempre accessibili esclusivamente sul dark web. Le valute e le modalità di pagamento sono scelte per garantire l'anonimato e la sicurezza delle transazioni, come WebMoney e Bitcoin e i sistemi di comunicazione sono spesso criptati da una VPN e/o da una rete onion, come ad esempio Tor che, pur non essendo una tecnologia emergente, rimane costantemente utilizzata a fronte della sua efficienza.

Sul mercato nero sta avvenendo un fenomeno interessante. L’hacker non vende più lo zero-day, ovvero la vulnerabilità che ha individuato, ma l’accesso ottenuto attraverso l’utilizzo dello stesso. In questo modo preserva l’esistenza dello zero-day, che non viene mai diffuso e l’hacker assume il ruolo strategico di gatekeeper.

Come identificare le minacce legate agli zero-day e dove può supportarti un partner in sicurezza

Per intervenire con tempestività, è importante tenere presente alcuni elementi, che aiutano nell’identificazione delle vulnerabilità zero-day:

• il rilevamento di un traffico imprevisto o un'attività sospetta di scansione originata da un client o un servizio;
• l’utilizzo di nuove tecniche di analisi, che esaminano le caratteristiche dei malware zero-day in base a come si relazionano con il sistema, per determinare se le interazioni sono il risultato di azioni dannose;
• il machine learning è utile per rilevare i dati dagli exploit registrati in precedenza e poter stabilire un riferimento per il comportamento di un sistema sicuro;
• l’utilizzo di un database di malware esistente potrebbe essere un aiuto, anche se limitato, poiché gli exploit zero-day sono nuovi e sconosciuti.

Diventa indispensabile affidarsi ad un partner nella protezione del sistema dalle minacce zero-day, in grado di metterlo nelle condizioni più sicure, mediante:

• l’aggiornamento di tutti i software e i sistemi operativi, incluse le nuove patch o l’applicazione immediata di workaround resi disponibili dagli sviluppatori;
• la scelta del giusto firewall e antivirus;
• la pulizia delle applicazioni in modo da avere solo quelle necessarie.