Business

Cybersecurity, cosa sono gli attacchi “zero day” e perché sono sempre più diffusi


Le cosiddette vulnerabilità “zero-day precedentemente sconosciute all’interno dei software program sono un concetto misterioso e intrigante. Sono però ancora più degne di nota quando vengono individuati criminali informatici che sfruttano le nuove falle di un software program prima che chiunque altro ne sia a conoscenza. Dal momento che i ricercatori hanno aumentato gli sforzi per rilevarli e studiarli, gli attacchi di questo tipo stanno venendo alla luce con maggiore frequenza. Questa settimana due rapporti realizzati dalla società di cybersecurity Mandiant e dal crew di Google che si occupa di scovare i bug, Project Zero, cercano di fornire un quadro più preciso su quanto esattamente gli attacchi zero-day siano cresciuti negli ultimi anni.

Aumento document

Mandiant e Project Zero si focalizzano su aspetti diversi nelle vulnerabilità zero-day che tracciano. Project Zero, per esempio, al momento non si concentra sull’analisi delle falle presenti nei dispositivi dell’web delle cose. Di conseguenza i numeri assoluti nei due rapporti non sono comparabili in maniera diretta. Ciononostante entrambi i crew hanno riscontrato un numero document di vulnerabilità zero-day sfruttate nel 2021. Mandiant ne ha rilevate ottanta per il 2021, rispetto alle trenta del 2020, mentre Project Zero ne ha rintracciate 58 nel 2021 rispetto alle 25 dell’anno precedente. L’aspetto fondamentale per entrambi i gruppi, tuttavia, è come contestualizzare i risultati dei rapporti, dal momento che nessuno ha una visione completa della portata di questa attività clandestina.

Abbiamo iniziato a notare un picco all’inizio del 2021, e per tutto l’anno molte delle domande che ho ricevuto erano fondamentalmente: ‘Che cavolo sta succedendo?’ – racconta Maddie Stone, una ricercatrice di cybersecurity di Project Zero –. La mia prima reazione è stata: ‘Oh mio Dio, sono tantissime’. Ma quando ho fatto un passo indietro e ho guardato il fenomeno nel contesto degli anni precedenti, [ho capito, ndr] che un salto così grande, quella crescita, in realtà è più probabilmente dovuta all’aumento dell’attività di rilevamento, della trasparenza e della conoscenza pubblica degli zero-day“.

Prima che la sua esistenza diventi di dominio pubblico, una vulnerabilità di un software viene definita “zero-day” perché il produttore e chi si occupa di difesa dai cyberattacchi non hanno avuto giorni a disposizione per, rispettivamente, sviluppare e rilasciare una patch e iniziare a monitorare la vulnerabilità. A loro volta, gli strumenti che gli aggressori utilizzano per sfruttare queste vulnerabilità sono noti come exploit zero-day. Una volta che un bug è noto al pubblico, una correzione potrebbe comunque non essere rilasciata immediatamente (o mai), ma gli aggressori sono consapevoli che la loro attività potrebbe essere rilevata e che la falla potrebbe essere sistemata in qualsiasi momento. Di conseguenza, le vulnerabilità zero-day sono particolarmente ambite, e rappresentano un business notevole per i cybercriminali, specialmente quelli finanziati dai governi e intenzionati a condurre sia campagne di massa che singoli attacchi mirati.

Generalmente le vulnerabilità e gli exploit zero-day sono considerati strumenti poco comuni negli attacchi informatici. Tuttavia, è stato dimostrato ripetutamente come i governi accumulino zero-day, mentre l’intensificazione delle attività di rilevamento ha evidenziato quanto spesso siano utilizzati dai criminali informatici. Negli ultimi tre anni, colossi tecnologici come Microsoft, Google e Apple hanno iniziato a evidenziare con più frequenza quando stanno divulgando e correggendo una vulnerabilità che è stata sfruttata prima del rilascio di una patch.

Uno strumento sempre più diffuso

Nonostante la consapevolezza e gli sforzi di rilevamento sono aumentati, il ricercatore di Mandiant James Sadowski sottolinea che ci sono segnali di un cambiamento nel panorama.



Source hyperlink

Leave a Reply

Your email address will not be published.