Vulnerabilità “zero-day”

Zero-day (o anche 0-day) è una falla nella sicurezza di un sistema informatico utilizzata principalmente per gli attacchi rivolti agli sviluppatori di software e alle software house. Questo attacco funziona generalmente hackerando il computer dello sviluppatore, prima del rilascio. Si tratta quindi di una minaccia assai pericolosa, perché le aziende di software investono molto per lo sviluppo dei loro programmi e se questi fossero oggetto di un attacco zero-day, finirebbero col buttare via buona parte del denaro investito, perché il software risulterebbe pressoché inutilizzabile, o comunque gravemente compromesso.

Nonostante l’obiettivo degli sviluppatori sia di fornire un prodotto che funzioni perfettamente, quasi tutti i software contengono dei bug, cioè un rischio per la sicurezza del software stesso: in gergo, si chiama vulnerabilità. 

Le vulnerabilità variano moltissimo e possono essere sfruttate in maniera assai diversa da parte degli hacker. L’espressione zero-day è usata per descrivere vulnerabilità della sicurezza che vengono utilizzate dagli hacker per attaccare i sistemi, quando gli stessi sono sul punto di essere pubblicati. 

Il termine si riferisce al fatto che il fornitore (la software house) o lo sviluppatore, una volta venuti a conoscenza della falla, hanno zero giorni di tempo per risolvere il problema. 

Insomma, un attacco di questo tipo viene sferrato quando l’hacker riesce a sfruttare una falla, prima che gli sviluppatori abbiano la possibilità di porvi rimedio.

Come si accennava, un software presenta spesso vulnerabilità della sicurezza che gli hacker possono sfruttare. D’altro canto, gli sviluppatori sono sempre alla ricerca di debolezze da correggere e si impegnano a trovare una soluzione, definita patch (letteralmente, cerotto o toppa), da rilasciare in un nuovo aggiornamento del programma stesso. A volte, però, gli hacker individuano tali vulnerabilità prima degli sviluppatori di software e, mentre le falle sono ancora esposte, riescono a implementare dei codici per sfruttarle: i codici exploit. Grazie a essi è possibile attaccare gli utenti del software (chi ha acquistato il programma o lo adopera), che diventano vittime, ad esempio, di furti di identità o di altre forme di cybercrimine. 

Dopo aver identificato una vulnerabilità zero-day, gli hacker cercano di raggiungere il relativo sistema e a questo scopo si servono di un’email o di un altro tipo di messaggio, fingendo di essere un contatto noto o legittimo: si tratta della tecnica chiamata ingegneria sociale.

Lo scopo del messaggio è convincere un utente a eseguire un’azione, come aprire un file o visitare un sito web dannoso. Il risultato di questa azione è il download del malware dell’autore dell’attacco, che si infiltra nei file dell’utente e ruba i dati riservati.

Molti conoscono, ad esempio, il phishing: una particolare tecnica di ingegneria sociale, che utilizza canali di comunicazione come email, sms o messaggi per ingannare la vittima.

Quando una vulnerabilità diventa nota, gli sviluppatori creano una patch per fermare l’attacco, ma spesso le vulnerabilità della sicurezza non vengono scoperte subito. A volte passano giorni, settimane o addirittura mesi, prima che gli sviluppatori identifichino la vulnerabilità all’origine dell’attacco e anche dopo il rilascio di una patch zero-day, non tutti gli utenti la implementano in tempi brevi. 

Purtroppo, gli hacker diventano sempre più veloci a sfruttare le vulnerabilità, non appena scoperte. Insomma, assai spesso arrivano prima che vi si possa porre rimedio e i codici exploit sono in vendita nel dark web a cifre esorbitanti, anche se una volta individuati e corretti non rappresentano più alcuna minaccia. 

In pratica, gli attacchi zero-day sono pericolosi proprio perché gli unici a esserne a conoscenza sono proprio i loro autori, ovvero gli hacker. In più, questi attacchi sono infidi: dopo essersi infiltrati in una rete, i criminali possono attaccare immediatamente o restare in attesa del momento più vantaggioso per farlo.

Sono molte le categorie di malintenzionati che possono sferrare attacchi zero-day, come i cybercriminali (la cui motivazione è il guadagno economico), gli hacktivist (spinti da motivazioni politiche o sociali, che agiscono per attirare l’attenzione sulla loro causa), lo spionaggio industriale (hacker che spiano le aziende per ottenere informazioni riservate), fino al cyberwarfare, agenti politici che spiano o attaccano l’infrastruttura informatica di un’altra nazione.

Bisogna poi tener conto che un attacco zero-day può sfruttare le vulnerabilità dei sistemi più svariati, dai semplici sistemi operativi alle applicazioni office, dalle componenti open-source all’Internet of Things. 

Esiste quindi un’ampia gamma di potenziali vittime, dai singoli utenti che utilizzano un sistema vulnerabile (come un browser o un sistema operativo), a quelli che accedono a dati aziendali importanti, (ad esempio, una proprietà intellettuale); dai dispositivi hardware, firmware e IoT, fino alle agenzie governative, vittime di obiettivi politici e minacce alla sicurezza nazionale.

È anche utile comprendere la differenza tra attacchi zero-day mirati e non mirati: i primi hanno obiettivi potenzialmente di valore, ad esempio grandi organizzazioni, agenzie governative o persone di alto profilo; i secondi sono invece rivolti contro gli utenti generici di sistemi, come sistemi operativi o browser.

Bisogna tener conto che, anche quando gli autori degli attacchi non prendono di mira utenti specifici, moltissime persone possono rimanere vittime degli attacchi zero-day, come danno collaterale. Gli attacchi non mirati, inoltre, hanno lo scopo di colpire il maggior numero di utenti, e quindi si dirigono dichiaratamente verso l’utente medio, che normalmente è assai meno protetto di un’azienda.

Può essere difficile individuare le vulnerabilità zero-day, dal momento che possono assumere diverse forme: dal criptaggio dei dati, all’assenza di autorizzazioni, dalla violazione di algoritmi ai problemi con la sicurezza delle password, e così via. 

Data la natura di questi tipi di vulnerabilità, le informazioni dettagliate sugli exploit zero-day sono disponibili solo dopo che gli stessi sono stati identificati. È anche possibile che siano esplicitamente esclusi dalle coperture assicurative.

Non parliamo di una questione lontana dalla nostra vita quotidiana: alcuni ricorderanno che Apple ha recentemente rilasciato aggiornamenti di emergenza per iOS e iPadOS, per correggere una vulnerabilità zero-day che l’azienda ritiene sia stata sfruttata in attacchi altamente sofisticati. La società di Cupertino non ha fornito dettagli sugli attacchi né sulle identità dei presunti attori malevoli coinvolti. Tuttavia, la falla è stata scoperta da un componente del gruppo di ricerca interdisciplinare Citizen Lab dell’Università di Toronto e si teme che la stessa sia stata sfruttata in offensive mirate contro giornalisti, dissidenti e oppositori politici. 

Attacchi di questo tipo si basano spesso su exploit zero-day, in grado di compromettere i dispositivi, senza richiedere alcuna interazione da parte della vittima (sono anche definiti attacchi zero-click).

In sintesi, dunque, questo tipo di attacco può davvero coinvolgere tutti, ed è importante che l’utente medio sia al corrente dei pericoli a esso collegati.