Zero-Day Attack
Cos’è un attacco zero-day?
Un attacco zero-day (noto anche come Day Zero) è un attacco che sfrutta una debolezza della sicurezza del software potenzialmente grave di cui il fornitore o lo sviluppatore potrebbe non essere a conoscenza. Lo sviluppatore del software deve affrettarsi a risolvere il punto debole non appena viene scoperto per limitare la minaccia agli utenti del software. La soluzione è chiamata patch software. Gli attacchi zero-day possono essere utilizzati anche per attaccare l’ Internet delle cose (IoT).
Un attacco zero-day prende il nome dal numero di giorni in cui lo sviluppatore del software è a conoscenza del problema.
Punti chiave
- Un attacco zero-day è un attacco relativo al software che sfrutta una debolezza di cui un fornitore o uno sviluppatore non era a conoscenza.
- Il nome deriva dal numero di giorni in cui uno sviluppatore di software è a conoscenza del problema.
- La soluzione per risolvere un attacco zero-day è nota come patch software.
- Gli attacchi zero-day possono essere prevenuti, anche se non sempre, tramite software antivirus e aggiornamenti di sistema regolari.
- Esistono diversi mercati per gli attacchi zero-day che vanno da quelli legali a quelli illegali. Includono il mercato bianco, il mercato grigio e il mercato oscuro.
Capire un attacco zero-day
Un attacco zero-day può coinvolgere malware, adware, spyware o accesso non autorizzato alle informazioni degli utenti. Gli utenti possono proteggersi dagli attacchi zero-day impostando il proprio software, inclusi sistemi operativi, software antivirus e browser Internet, in modo che si aggiorni automaticamente e installando tempestivamente eventuali aggiornamenti consigliati al di fuori degli aggiornamenti pianificati regolarmente.
Detto questo, l’aggiornamento del software antivirus non proteggerà necessariamente un utente da un attacco zero-day, perché fino a quando la vulnerabilità del software non sarà nota pubblicamente, il software antivirus potrebbe non essere in grado di rilevarla. I sistemi di prevenzione delle intrusioni host aiutano anche a proteggere dagli attacchi zero-day prevenendo e difendendosi dalle intrusioni e proteggendo i dati.
Pensa a una vulnerabilità zero-day come una portiera sbloccata che il proprietario pensa sia bloccata ma che un ladro scopre sia sbloccata. Il ladro può entrare inosservato e rubare oggetti dal vano portaoggetti o dal bagagliaio del proprietario dell’auto che potrebbero non essere notati fino a giorni dopo, quando il danno è già stato fatto e il ladro è scomparso da tempo.
Sebbene le vulnerabilità zero-day siano note per essere sfruttate da hacker criminali, possono anche essere sfruttate dalle agenzie di sicurezza governative che desiderano utilizzarle per la sorveglianza o gli attacchi. In effetti, c’è così tanta richiesta di vulnerabilità zero-day da parte delle agenzie di sicurezza governative che aiutano a guidare il mercato per l’acquisto e la vendita di informazioni su queste vulnerabilità e su come sfruttarle.
Gli exploit zero-day possono essere divulgati pubblicamente, divulgati solo al fornitore del software o venduti a terzi. Se vengono venduti, possono essere venduti con o senza diritti esclusivi. La migliore soluzione a un difetto di sicurezza, dal punto di vista della società di software responsabile, è che un hacker etico o un white hat divulga privatamente il difetto all’azienda in modo che possa essere risolto prima che gli hacker lo scoprano. Ma in alcuni casi, più di una parte deve affrontare la vulnerabilità per risolverla completamente, quindi una divulgazione privata completa potrebbe essere impossibile.
Mercati per gli attacchi zero-day
Nel mercato oscuro delle informazioni zero-day, gli hacker criminali si scambiano dettagli su come sfondare software vulnerabile per rubare informazioni preziose. Nel mercato grigio, i ricercatori e le aziende vendono informazioni ai militari, alle agenzie di intelligence e alle forze dell’ordine. Nel mercato bianco, le aziende pagano hacker white hat o ricercatori di sicurezza per rilevare e divulgare le vulnerabilità del software agli sviluppatori in modo che possano risolvere i problemi prima che gli hacker criminali possano trovarli.
A seconda dell’acquirente, del venditore e dell’utilità, le informazioni zero-day potrebbero valere da poche migliaia a diverse centinaia di migliaia di dollari, rendendolo un mercato potenzialmente redditizio a cui partecipare. Prima che una transazione possa essere completata, il venditore deve fornire un proof-of-concept (PoC) per confermare l’esistenza dell’exploit zero-day. Per coloro che desiderano scambiare informazioni zero-day senza essere rilevati, la rete Tor consente di condurre transazioni zero-day in modo anonimo utilizzando Bitcoin.
Gli attacchi zero-day possono essere meno pericolosi di quanto sembrano. I governi possono avere modi più semplici per spiare i propri cittadini e lo zero-day potrebbe non essere il modo più efficace per sfruttare aziende o individui. Un attacco deve essere schierato strategicamente e all’insaputa del bersaglio per avere il massimo effetto. Scatenare un attacco zero-day su milioni di computer contemporaneamente potrebbe rivelare l’esistenza della vulnerabilità e ottenere una patch rilasciata troppo rapidamente per consentire agli aggressori di raggiungere il loro obiettivo finale.
Esempio del mondo reale
Nell’aprile 2017, banchiere Dridex per sfruttare una versione vulnerabile e priva di patch del software. Il trojan ha consentito agli aggressori di incorporare codice dannoso nei documenti di Word che si attivava automaticamente all’apertura dei documenti. L’attacco è stato scoperto dal fornitore di antivirus McAfee che ha notificato a Microsoft il suo software compromesso. Sebbene l’attacco zero-day sia stato scoperto ad aprile, milioni di utenti erano già stati presi di mira da gennaio.