DVKi/Shutterstock. com
I cybercriminali utilizzano le vulnerabilità zero-day per entrare in computer e reti. Gli exploit zero-day sembrano essere in aumento, ma è davvero così? E puoi difenderti? Guardiamo i dettagli.
Vulnerabilità zero-day
Una vulnerabilità zero-day è un bug in un software. Ovviamente, tutti i software complicati hanno dei bug, quindi perché un giorno zero dovrebbe avere un nome speciale? Un bug zero-day è stato scoperto dai criminali informatici, ma gli autori e gli utenti del software non ne sono ancora a conoscenza. E, soprattutto, uno zero-day è un bug che dà origine a una vulnerabilità sfruttabile.
RELATEDChe cos'è un “bug del computer” e da dove viene Il termine viene da?
Questi fattori si combinano per rendere uno zero-day un'arma pericolosa nelle mani dei criminali informatici. Conoscono una vulnerabilità di cui nessun altro è a conoscenza. Ciò significa che possono sfruttare tale vulnerabilità incontrastata, compromettendo tutti i computer che eseguono quel software. E poiché nessun altro è a conoscenza dello zero-day, non ci saranno correzioni o patch per il software vulnerabile.
Quindi, per il breve periodo tra i primi exploit che si verificano—e il rilevamento 8212; e gli editori di software rispondono con correzioni, i criminali informatici possono sfruttare tale vulnerabilità senza controllo. Qualcosa di palese come un attacco ransomware è imperdibile, ma se il compromesso è una sorveglianza nascosta potrebbe passare molto tempo prima che venga scoperto il giorno zero. Il famigerato attacco SolarWinds è un ottimo esempio.
CORRELATO: SolarWinds Hack: cosa è successo e come proteggersi
Zero-Days ha trovato il suo momento
Gli zero-day non sono nuovi. Ma ciò che è particolarmente allarmante è il significativo aumento del numero di zero-day scoperti. Nel 2021 sono stati trovati più del doppio rispetto al 2020. I numeri finali sono ancora in fase di raccolta per il 2021—abbiamo ancora qualche mese da fare, dopotutto—-ma le indicazioni sono che circa 60 a Entro la fine dell'anno saranno state rilevate 70 vulnerabilità zero-day.
Per i criminali informatici, gli zero-day hanno un valore come mezzo di accesso non autorizzato a computer e reti. Possono monetizzarli eseguendo attacchi ransomware ed estorcendo denaro alle vittime.
RELAZIONATOChe cos'è un attacco Zero-Click?
Ma gli stessi zero-day hanno un valore. Sono merci vendibili e possono valere ingenti somme di denaro per chi le scopre. Il valore del mercato nero del giusto tipo di exploit zero-day può facilmente raggiungere molte centinaia di migliaia di dollari e alcuni esempi hanno superato il milione di dollari. I broker zero-day compreranno e venderanno exploit zero-day.
Le vulnerabilità zero-day sono molto difficili da scoprire. Un tempo venivano trovati e utilizzati solo da team di hacker ben dotati e altamente qualificati, come i gruppi di minacce persistenti avanzate (APT) sponsorizzati dallo stato. La creazione di molti degli zero-day armati in passato è stata attribuita agli APT in Russia e Cina.
Naturalmente, con sufficiente conoscenza e dedizione, qualsiasi hacker o programmatore sufficientemente esperto può trovare gli zero-day . Gli hacker con cappello bianco sono tra i buoni acquisti che cercano di trovarli prima dei criminali informatici. Consegnano i loro risultati alla software house competente, che collaborerà con il ricercatore sulla sicurezza che ha riscontrato il problema per risolverlo.
Vengono create, testate e rese disponibili nuove patch di sicurezza. Vengono implementati come aggiornamenti di sicurezza. Lo zero-day viene annunciato solo una volta che tutte le azioni correttive sono state attuate. Quando diventa pubblico, la correzione è già disponibile. Il giorno zero è stato annullato.
RELATED Che cos'è un exploit “Zero-Day” e come puoi proteggerti?
I giorni zero vengono talvolta utilizzati nei prodotti. Il controverso prodotto spyware del gruppo NSO, Pegasus, viene utilizzato dai governi per combattere il terrorismo e mantenere la sicurezza nazionale. Può installarsi su dispositivi mobili con poca o nessuna interazione da parte dell'utente. Uno scandalo è scoppiato nel 2018 quando Pegasus sarebbe stato utilizzato da diversi stati autorevoli per condurre la sorveglianza contro i propri cittadini. Dissidenti, attivisti e giornalisti sono stati presi di mira.
Pubblicità
Di recente, nel settembre 2021, un giorno zero che interessava Apple iOS, macOS e watchOS—che veniva sfruttato da Pegasus—è stato rilevato e analizzato dal Citizen Lab dell’Università di Toronto. Apple ha rilasciato una serie di patch il 13 settembre 2021.
Perché The Sudden Surge in Zero-Days?
Una patch di emergenza è in genere la prima indicazione che un utente riceve che è stata scoperta una vulnerabilità zero-day. I fornitori di software hanno pianificazioni per il rilascio di patch di sicurezza, correzioni di bug e aggiornamenti. Ma poiché le vulnerabilità zero-day devono essere corrette il prima possibile, attendere il prossimo rilascio della patch pianificato non è un'opzione. Sono le patch di emergenza fuori ciclo che si occupano delle vulnerabilità zero-day.
Se ti sembra di averne visti di più di recente, è perché li hai visti. Tutti i sistemi operativi tradizionali, molte applicazioni come browser, app per smartphone e sistemi operativi per smartphone hanno ricevuto patch di emergenza nel 2021.
Ci sono diverse ragioni per l'aumento. Sul lato positivo, importanti fornitori di software hanno implementato politiche e procedure migliori per lavorare con ricercatori di sicurezza che si avvicinano a loro con prove di una vulnerabilità zero-day. È più facile per il ricercatore di sicurezza segnalare questi difetti e le vulnerabilità vengono prese sul serio. È importante sottolineare che la persona che segnala il problema viene trattata in modo professionale.
C'è anche più trasparenza. Sia Apple che Android ora aggiungono ulteriori dettagli ai bollettini sulla sicurezza, incluso se un problema è stato un giorno zero e se esiste una probabilità che la vulnerabilità sia stata sfruttata.
Forse perché la sicurezza viene riconosciuta come una funzione business-critical—e viene trattata come tale con budget e risorse—gli attacchi devono essere più intelligenti per entrare nelle reti protette. Sappiamo che non tutte le vulnerabilità zero-day vengono sfruttate. Contare tutte le falle di sicurezza zero-day non è lo stesso che contare le vulnerabilità zero-day che sono state scoperte e corrette prima che i criminali informatici le scoprissero.
Pubblicità
Ma comunque, potente , gruppi di hacker organizzati e ben finanziati, molti dei quali APT, stanno lavorando a pieno ritmo per cercare di scoprire le vulnerabilità zero-day. O li vendono o li sfruttano da soli. Spesso, un gruppo venderà uno zero-day dopo averlo munto da solo, poiché si sta avvicinando alla fine della sua vita utile.
Poiché alcune aziende non applicano patch di sicurezza e aggiornamenti in modo tempestivo, lo zero-day può godere di una vita più lunga anche se sono disponibili le patch che lo contrastano.
RELATEDChe cos'è RansomCloud e come ti proteggi?
Le stime suggeriscono che un terzo di tutti gli exploit zero-day viene utilizzato per ransomware. I grandi riscatti possono facilmente pagare nuovi zero-day per i criminali informatici da utilizzare nel loro prossimo round di attacchi. Le bande di ransomware fanno soldi, i creatori del giorno zero fanno soldi, e gira e rigira.
Un'altra scuola di pensiero dice che i gruppi di criminali informatici hanno sempre cercato di scoprire i giorni zero, stiamo solo vedendo cifre più alte perché ci sono sistemi di rilevamento migliori al lavoro. Il Threat Intelligence Center di Microsoft e il Threat Analysis Group di Google insieme ad altri hanno competenze e risorse che rivaleggiano con le agenzie di intelligence’ capacità di rilevare le minacce sul campo.
Con la migrazione dall'on-premise al cloud, è più facile per questi tipi di gruppi di monitoraggio identificare comportamenti potenzialmente dannosi tra più clienti contemporaneamente. Questo è incoraggiante. Potremmo migliorare nel trovarli, ed è per questo che stiamo vedendo più zero-day e all'inizio del loro ciclo di vita.
Gli autori di software stanno diventando più sciatti? La qualità del codice sta calando? Semmai dovrebbe essere in aumento con l'adozione di pipeline CI/CD, test di unità automatizzati e una maggiore consapevolezza che la sicurezza deve essere pianificata fin dall'inizio e non imbullonata come un ripensamento.
RELATEDPerché il programma Secure Open Source supportato da Google è così importante
Librerie e toolkit open source sono utilizzati in quasi tutti i progetti di sviluppo non banali. Ciò può portare all'introduzione di vulnerabilità nel progetto. Sono in corso diverse iniziative per cercare di affrontare il problema delle falle di sicurezza nel software open source e per verificare l'integrità delle risorse software scaricate.
How To Defend Te stesso
Il software di protezione degli endpoint può aiutare con gli attacchi zero-day. Anche prima che l'attacco zero-day sia stato caratterizzato e le firme antivirus e anti-malware aggiornate e inviate, il comportamento anomalo o preoccupante del software di attacco può attivare le routine di rilevamento euristico nel software di protezione degli endpoint leader di mercato, intrappolando e mettendo in quarantena l'attacco software.
Mantieni tutti i software e i sistemi operativi aggiornati e aggiornati. Ricorda di applicare la patch anche ai dispositivi di rete, inclusi router e switch.
Riduci la tua superficie di attacco. Installa solo i pacchetti software richiesti e controlla la quantità di software open source che utilizzi. Considera di favorire le applicazioni open source che hanno aderito a programmi di firma e verifica degli artefatti, come l'iniziativa Secure Open Source.
Inutile dire che usa un firewall e usa la sua suite di sicurezza del gateway se ne ha uno.
Se sei un amministratore di rete, limita il software che gli utenti possono installare sui loro computer aziendali. Educare i membri del personale. Molti attacchi zero-day sfruttano un momento di disattenzione umana. fornire sessioni di formazione sulla consapevolezza della sicurezza informatica e aggiornarle e ripeterle frequentemente.
RELAZIONI: Windows Firewall: la migliore difesa del tuo sistema
LEGGI SUCCESSIVO < ul id="nextuplist">