In media ci vogliono sette anni prima che venga scoperto un exploit zero day. Quindi per sette anni gli ag­gres­so­ri possono spiare in­di­stur­ba­ta­men­te aziende e or­ga­niz­za­zio­ni, ottenendo in­for­ma­zio­ni tramite le falle di sicurezza nelle ap­pli­ca­zio­ni. Il danno economico che ne può derivare è enorme.

È molto im­por­tan­te che le aziende prendano sul serio la propria sicurezza IT e che mettano in atto misure pre­cau­zio­na­li per pro­teg­ger­si al meglio da questi attacchi.

Che cos’è un exploit zero day?

Il termine “exploit zero day” allude al fatto che l’azienda non ha il tempo ne­ces­sa­rio (zero day) per risolvere una lacuna di sicurezza prima che la danneggi. Questo perché la vul­ne­ra­bi­li­tà del software è scoperta solo dopo che il danno si è già ve­ri­fi­ca­to. Nel frattempo gli ag­gres­so­ri hanno avuto tutto il tempo di in­di­vi­dua­re e uti­liz­za­re le falle di sicurezza per in­fil­tra­re spyware o malware uti­liz­zan­do rootkits, trojan &co.

De­fi­ni­zio­ne

Exlpoit zero day: Gli exploit zero day sono attacchi in­for­ma­ti­ci in cui gli ag­gres­so­ri sfruttano una vul­ne­ra­bi­li­tà della sicurezza nel software prima che le aziende possano rilevarla e pro­gram­ma­re una patch apposita.

Come si svolge un exploit zero day:

  1. Se pro­gram­man­do il software aziendale lo svi­lup­pa­to­re scrive un codice che contiene inav­ver­ti­ta­men­te una vul­ne­ra­bi­li­tà (vul­ne­ra­bi­li­tà zero day), gli ag­gres­so­ri hanno la pos­si­bi­li­tà di in­fil­trar­vi­si per estrarre in­for­ma­zio­ni o ma­ni­po­la­re i sistemi.
  2. Un ag­gres­so­re trova la vul­ne­ra­bi­li­tà prima che l’azienda ne sia a co­no­scen­za. Invece di allertare l’azienda, l’hacker scrive un codice (il co­sid­det­to exploit) per sfruttare tale vul­ne­ra­bi­li­tà. Il cy­ber­cri­mi­na­le non si serve per­so­nal­men­te dell’exploit, ma lo vende sul mercato nero persino a diverse migliaia di euro.
  3. L’azienda viene a co­no­scen­za dell’exploit zero day per puro caso at­tra­ver­so una nota del cliente o la se­gna­la­zio­ne di danno. Solo in questo momento gli svi­lup­pa­to­ri possono svi­lup­pa­re un patch di sicurezza per colmare la lacuna. Molto pro­ba­bil­men­te, però, il danno si è già ve­ri­fi­ca­to.

Chi è par­ti­co­lar­men­te a rischio?

Gli oggetti di mira più frequenti sono so­li­ta­men­te le ap­pli­ca­zio­ni di grandi aziende digitali come Google, Apple e Microsoft. So­prat­tut­to Microsoft è un bersaglio frequente di exploit zero day. Pertanto in linea di principio tutte le aziende che uti­liz­za­no software di questi fornitori sono a rischio.

Il rischio di diventare vittima di un “exploit zero day” è in aumento anche per le aziende in crescita, che suscitano mag­gior­men­te interesse anche per i criminali in­for­ma­ti­ci. Ma persino le imprese più piccole in settori altamente com­pe­ti­ti­vi possono essere vittime di exploit am­pia­men­te uti­liz­za­ti per lo spio­nag­gio in­du­stria­le.

Consiglio

Google ha stilato un elenco degli attacchi zero day più eclatanti dal 2014. Nella lista “0day – in the Wild” figurano, tra gli altri, Microsoft, Apple, Facebook, Adobe e Mozilla.

Cosa rende un exploit zero day par­ti­co­lar­men­te pe­ri­co­lo­so?

Gli attacchi in­for­ma­ti­ci zero day sono par­ti­co­lar­men­te pe­ri­co­lo­si perché gli hacker hanno un vantaggio di tempo sulle proprie vittime. Possono passare mesi e anni prima che gli ag­gres­so­ri siano scoperti.

Il software antivirus non riconosce questi exploit, perché gli schemi di attacco scritti non sono noti e non sono rin­trac­cia­bi­li nel database. Quando la vul­ne­ra­bi­li­tà è fi­nal­men­te scoperta, le aziende po­ten­zial­men­te in­te­res­sa­te non possono reagire subito, ma devono aspettare che gli svi­lup­pa­to­ri dell’ap­pli­ca­zio­ne in­te­res­sa­ta rilascino un patch di sicurezza. Solo dopo che il patch è stato in­stal­la­to la sicurezza può essere ri­pri­sti­na­ta.

Se un fornitore di software rilascia un patch che, per qualsiasi motivo, non è in­stal­la­to dall’azienda, la vul­ne­ra­bi­li­tà persiste.

N.B.

Alcuni hacker for­ni­sco­no exploit zero day non solo al mercato nero, ma anche a fornitori di software che possono pro­teg­ge­re in questo modo i propri prodotti.

Come pro­teg­ger­si ef­fi­ca­ce­men­te dagli attacchi zero day

Pro­teg­ger­si dagli exploit zero day è difficile. Ci sono, tuttavia, alcune misure di sicurezza che possono ridurre al minimo la pro­ba­bi­li­tà di danni anche in caso di attacco.

Mentre il software antivirus tra­di­zio­na­le non funziona a causa di virus ancora non iden­ti­fi­ca­bi­li, le soluzioni di sicurezza basate sui com­por­ta­men­ti possono fornire un rimedio efficace. L’Intrusion Detection Systeme (IDS) e l’Intrusion-Pre­ven­tion-Systeme (IPS) uti­liz­za­no algoritmi ed euristica per mo­ni­to­ra­re il movimento e l’accesso ai dati in tutta l’azienda e avvisano o adottano con­tro­mi­su­re au­to­ma­ti­che quando sono ri­scon­tra­te delle anomalie.

Le or­ga­niz­za­zio­ni possono inoltre mi­glio­ra­re il rischio di uso improprio dei dati im­ple­men­tan­do la crit­to­gra­fia, i sistemi di au­to­riz­za­zio­ne e i controlli.

Poiché qualsiasi software può essere po­ten­zial­men­te l’oggetto di mira di un exploit zero day, il numero di ap­pli­ca­zio­ni in­stal­la­te dovrebbe essere ridotto al minimo. Il software deve essere sempre uti­liz­za­to ed eseguito nella versione più recente, compresi tutti gli ag­gior­na­men­ti di sicurezza di­spo­ni­bi­li. Le ap­pli­ca­zio­ni non uti­liz­za­te devono essere rimosse dai computer.

Queste misure non per­met­to­no una sicurezza al cento per cento, ma possono ridurre no­te­vol­men­te il pericolo di subire un danno economico.

Vai al menu prin­ci­pa­le