Exploit zero day: spiegazione e opportunità di protezione

In media ci vogliono sette anni prima che venga scoperto un exploit zero day. Quindi per sette anni gli aggressori possono spiare indisturbatamente aziende e organizzazioni, ottenendo informazioni tramite le falle di sicurezza nelle applicazioni. Il danno economico che ne può derivare è enorme.

È molto importante che le aziende prendano sul serio la propria sicurezza IT e che mettano in atto misure precauzionali per proteggersi al meglio da questi attacchi.

Il termine “exploit zero day” allude al fatto che l’azienda non ha il tempo necessario (zero day) per risolvere una lacuna di sicurezza prima che la danneggi. Questo perché la vulnerabilità del software è scoperta solo dopo che il danno si è già verificato. Nel frattempo gli aggressori hanno avuto tutto il tempo di individuare e utilizzare le falle di sicurezza per infiltrare spyware o malware utilizzando rootkits, trojan &co.

Come si svolge un exploit zero day:

1. Se programmando il software aziendale lo sviluppatore scrive un codice che contiene inavvertitamente una vulnerabilità (vulnerabilità zero day), gli aggressori hanno la possibilità di infiltrarvisi per estrarre informazioni o manipolare i sistemi.
2. Un aggressore trova la vulnerabilità prima che l’azienda ne sia a conoscenza. Invece di allertare l’azienda, l’hacker scrive un codice (il cosiddetto exploit) per sfruttare tale vulnerabilità. Il cybercriminale non si serve personalmente dell’exploit, ma lo vende sul mercato nero persino a diverse migliaia di euro.
3. L’azienda viene a conoscenza dell’exploit zero day per puro caso attraverso una nota del cliente o la segnalazione di danno. Solo in questo momento gli sviluppatori possono sviluppare un patch di sicurezza per colmare la lacuna. Molto probabilmente, però, il danno si è già verificato.

Gli oggetti di mira più frequenti sono solitamente le applicazioni di grandi aziende digitali come Google, Apple e Microsoft. Soprattutto Microsoft è un bersaglio frequente di exploit zero day. Pertanto in linea di principio tutte le aziende che utilizzano software di questi fornitori sono a rischio.

Il rischio di diventare vittima di un “exploit zero day” è in aumento anche per le aziende in crescita, che suscitano maggiormente interesse anche per i criminali informatici. Ma persino le imprese più piccole in settori altamente competitivi possono essere vittime di exploit ampiamente utilizzati per lo spionaggio industriale.

Gli attacchi informatici zero day sono particolarmente pericolosi perché gli hacker hanno un vantaggio di tempo sulle proprie vittime. Possono passare mesi e anni prima che gli aggressori siano scoperti.

Il software antivirus non riconosce questi exploit, perché gli schemi di attacco scritti non sono noti e non sono rintracciabili nel database. Quando la vulnerabilità è finalmente scoperta, le aziende potenzialmente interessate non possono reagire subito, ma devono aspettare che gli sviluppatori dell’applicazione interessata rilascino un patch di sicurezza. Solo dopo che il patch è stato installato la sicurezza può essere ripristinata.

Se un fornitore di software rilascia un patch che, per qualsiasi motivo, non è installato dall’azienda, la vulnerabilità persiste.

Proteggersi dagli exploit zero day è difficile. Ci sono, tuttavia, alcune misure di sicurezza che possono ridurre al minimo la probabilità di danni anche in caso di attacco.

Mentre il software antivirus tradizionale non funziona a causa di virus ancora non identificabili, le soluzioni di sicurezza basate sui comportamenti possono fornire un rimedio efficace. L’Intrusion Detection Systeme (IDS) e l’Intrusion-Prevention-Systeme (IPS) utilizzano algoritmi ed euristica per monitorare il movimento e l’accesso ai dati in tutta l’azienda e avvisano o adottano contromisure automatiche quando sono riscontrate delle anomalie.

Le organizzazioni possono inoltre migliorare il rischio di uso improprio dei dati implementando la crittografia, i sistemi di autorizzazione e i controlli.

Poiché qualsiasi software può essere potenzialmente l’oggetto di mira di un exploit zero day, il numero di applicazioni installate dovrebbe essere ridotto al minimo. Il software deve essere sempre utilizzato ed eseguito nella versione più recente, compresi tutti gli aggiornamenti di sicurezza disponibili. Le applicazioni non utilizzate devono essere rimosse dai computer.

Queste misure non permettono una sicurezza al cento per cento, ma possono ridurre notevolmente il pericolo di subire un danno economico.