- Gli attacchi zero-day rappresentano una minaccia seria per la sicurezza informatica, sfruttando falle sconosciute nei software per causare danni potenzialmente gravi.
- Non esiste una soluzione univoca per difendersi dagli attacchi zero-day, ma adottando diverse misure è possibile ridurre significativamente il rischio di subire danni.
- Ricorda, la sicurezza informatica è un processo continuo che richiede impegno e attenzione costante. Adottando un approccio proattivo e collaborativo, puoi aumentare le tue difese contro gli attacchi zero-day e proteggere i dati e le infrastrutture.
Quando tutti i tentativi di attacco falliscono, gli aggressori tentano l’ultima spiaggia: gli exploit zero-day, ovvero software che permettono di sfruttare le falle non note dei sistemi IT con finalità malevole. Sono tecniche sofisticate e ancora relativamente poco diffuse (nonostante l’impennata degli ultimi anni) che tuttavia hanno impatti significativi e stanno guadagnando popolarità mediatica.
Nel 2014, Google ha istituito Zero Project, una squadra di esperti dedicata allo studio delle vulnerabilità zero-day. Qui ha lavorato anche la ricercatrice Maddie Stone, passata recentemente al nuovo Threat Analysis Group (TAG) di Big G.
Durante un’intervista esclusiva rilasciata a ZeroUno, Stone ha condiviso alcune riflessioni interessanti sul panorama zero-day, condensando i risultati delle attività di ricerca e l’expertise personale maturata in Google.
Numeri e tendenze dello scenario zero-day
Stone esordisce chiarendo le finalità del TAG. Oltre ad occuparsi di Advanced Persistent Threat, il team di ricerca ha una forte specializzazione sugli exploit zero-day rilevati in-the-wild (ovvero nel mondo reale e non in ambiente di test) e sul monitoraggio dei vendor di spyware commerciali (attualmente sono circa una quarantina le società sotto osservazione). Gli spyware commerciali sono applicazioni legittime che, installate su un dispositivo, permettono di raccogliere e trasmettere informazioni sul comportamento dell’utente. Utilizzati a scopi malevoli, in operazioni criminali o nel cyber espionage, gli spyware ricorrono spesso alle vulnerabilità zero-day per forzare l’installazione illecita.
La ricercatrice di Google ammette che le offensive zero-day e le vittime di spyware commerciali non fanno grandi numeri: sono casi rari, soprattutto in proporzione allo scenario globale delle minacce, ma comunque hanno impatti drastici sull’intera società. “Ad esempio – prosegue – la paura di diventare un bersaglio degli spyware potrebbe inibire la libertà di espressione di un giornalista o di un oppositore politico”. Dunque, le limitazioni dei diritti umani sono un problema che riguarda la collettività, non solo la vittima diretta.
Nel corso degli ultimi anni, il volume di attacchi zero-day rilevati in-the-wild è altalenante: 25 nel 2020, 69 nel 2021, 41 nel 2022 con una previsione al rialzo per la chiusura dell’anno in corso.
Tuttavia, come dichiara Stone, il numero di casi registrati, se preso singolarmente, non è un parametro indicativo rispetto allo stato effettivo della cybersecurity. Innanzitutto, perché i dati si riferiscono agli attacchi scoperti e resi noti. Inoltre, perché la crescita delle segnalazioni può essere indice di fattori positivi, come l’aumento dei professionisti focalizzati su attività di detection.
Contro le minacce, serve la collaborazione dei vendor
Nonostante il maggiore impegno, la sensazione di Stone però è che ci sia ancora da fare. “Alcuni vendor – afferma – non dichiarano quando è in corso un attacco zero-day e nemmeno comunicano le vulnerabilità nelle note di release. Penso che tutti noi dovremmo condividere maggiori dettagli tecnici sugli exploit rilevati, perché potremmo imparare molto sulle tecniche utilizzate, oltre che sulle vulnerabilità”.
Così aumenterebbero le opportunità di intervenire ad ampio raggio, non solo per sanare il bug specifico. Con la distribuzione di patch più tempestive e complete, gli aggressori non potrebbero più contare sullo sviluppo delle varianti per mantenere le capacità zero-day, ma piuttosto dovrebbero riscrivere la tecnica di attacco ex-novo.
“Ormai da anni, – sottolinea Stone – Google pubblica sul sito web le vulnerabilità dei propri prodotti scoperte in-the-wild e ultimamente diversi vendor stanno facendo altrettanto. Ci auspichiamo siano sempre di più”.
L’importanza di condividere i dettagli tecnici
La disponibilità di informazioni dettagliate serve infatti per migliorare la capacità e la velocità di intervento dei difensori, riducendo lo svantaggio (temporale e conoscitivo) nei confronti degli attaccanti.
Quando viene pubblicata la patch di sicurezza, i difensori devono risalire al bug originario attraverso il processo di binary diffing. La versione “corretta” appena rilasciata viene comparata alla precedente affetta da vulnerabilità. Così si possono capire le cause all’origine della falla, i vettori di attacco utilizzati, la possibilità di sviluppare e sfruttare varianti, gli strumenti che hanno permesso la scoperta della vulnerabilità da parte degli aggressori.
Conoscendo il bug, inoltre,è possibile ipotizzare che lo stesso errore di programmazione sia stato commesso in altre parti del codice. Dopotutto, gli sviluppatori sono esseri umani e non esenti dall’eventualità di sbagliare. Quindi si cerca di applicare la correzione dove necessario, prima che gli attaccanti possano sfruttare nuovamente la vulnerabilità, utilizzando lo stesso exploit con poche modifiche e sforzo minimo.
Più sono i dettagli tecnici disponibili, più rapidamente e profondamente si interviene. “Ecco perché – ammonisce Stone – la trasparenza all’interno del settore, la ricchezza di informazioni condivise e la volontà di collaborare sono fondamentali”.
I ricercatori di Google TAG incoraggiano quindi un approccio mentale proattivo: bisogna sfruttare i report sulle vulnerabilità non solo per risolvere l’errore specifico, ma piuttosto per apprendere quante più nozioni sugli aggressori e sulle loro modalità operative, sulle tecniche utilizzate nella catena di attacco, sui potenziali rischi ad ampio raggio, in una prospettiva decisamente più estesa e lungimirante.
L’ntelligenza artificiale non è ancora matura
Se, nella battaglia tra difensori e attaccanti, la capacità di sfruttare le informazioni è decisiva, l’intelligenza artificiale può rappresentare un’arma a doppio taglio. Sul lato della difesa, Stone ritiene tuttavia che ci troviamo ancora a uno stadio tecnologico immaturo, nonostante la lunga esperienza alle spalle.
“L’artificial intelligence – dichiara – è entrata nella discussione pubblica solo recentemente, ma nel mondo della cybersecurity è largamente utilizzata da anni. In Google ad esempio, il machine learning è utilizzato per scansionare tutte le app dell’ecosistema Android alla ricerca di malware. Un’impresa impossibile se condotta manualmente”.
Tuttavia, come racconta Stone che cinque anni fa militava nel team Android, le tecniche di apprendimento automatico fallivano quando si trattava di intercettare le app legittime, che però contenevano un piccolissimo pezzo di codice malevolo. “In ogni caso – sostiene – arriverà il momento in cui la tecnologia sarà pronta e avrà imparato a riconoscere anche queste anomalie. Attualmente, però non credo che l’intelligenza artificiale possa già essere efficace nel campo degli exploit zero-day o nel rilevamento delle vulnerabilità. Sono problemi complessi, tra i più difficili da affrontare, e come esseri umani, stiamo ancora prendendo le misure”.
Cosa fare contro gli attacchi zero-day
Stone conclude con una serie di consigli per le organizzazioni, al fine di attrezzarsi contro le minacce zero-day. “Innanzitutto – sintetizza – le aziende dovrebbero interrogarsi sulla loro cybersecurity hygiene, domandandosi se sono già adeguatamente protette contro le altre minacce, se stanno aggiornando le patch di sicurezza, se hanno attivato l’autenticazione multifattore e così via. Infatti, il numero di organizzazioni e persone effettivamente a rischio di attacco zero-day è esiguo. Per raggiungere l’obiettivo, gli aggressori prediligono sempre la via più semplice: perché dovrebbero impegnarsi in un’offensiva zero-day, se possono violare i sistemi sfruttando banalmente il mancato aggiornamento delle patch? Insomma, gli attaccanti ricorreranno agli exploit zero-day solo se costretti, solo se l’azienda ha implementato una difesa efficace contro tutte le alternative”.
Secondo Stone, molte imprese devono ancora concentrarsi sui fondamentali della sicurezza. Chi invece ha un livello di maturità superiore e potrebbe essere vittima di attacchi zero-day, dovrebbe spostare l’attenzione sul monitoraggio della propria organizzazione per riuscire a rilevare la violazione in tempi brevi. Infatti, sarebbe irrealistico pensare di prevenire e bloccare tutti i tentativi di attacco zero-day, proprio perché è difficile tenere sotto controllo qualcosa che non si conosce a priori. “Il vero successo – asserisce Stone – è forzare gli attaccanti a utilizzare gli exploit zero-day, le loro armi più sofisticate e costose, dimostrando di poterli catturare entro le 24 ore”.
