Attacco Zero Day

Che cos'è un attacco zero-day?

Un attacco zero-day (denominato anche Day Zero) è un attacco che sfrutta una debolezza della sicurezza del software potenzialmente grave di cui il fornitore o lo sviluppatore potrebbero non essere a conoscenza. Lo sviluppatore del software deve affrettarsi a risolvere il punto debole non appena viene scoperto per limitare la minaccia agli utenti del software. La soluzione si chiama patch software. Gli attacchi zero-day possono essere utilizzati anche per attaccare l' Internet delle cose (IoT).

Un attacco zero-day prende il nome dal numero di giorni che lo sviluppatore di software ha saputo del problema.

Capire un attacco zero-day

Un attacco zero-day può coinvolgere malware, adware,. spyware o l'accesso non autorizzato alle informazioni degli utenti. Gli utenti possono proteggersi dagli attacchi zero-day impostando il proprio software, inclusi sistemi operativi, software antivirus e browser Internet, in modo che si aggiorni automaticamente e installando tempestivamente tutti gli aggiornamenti consigliati al di fuori degli aggiornamenti regolarmente pianificati.

Detto questo, l'aggiornamento del software antivirus non proteggerà necessariamente un utente da un attacco zero-day, perché fino a quando la vulnerabilità del software non sarà pubblicamente nota, il software antivirus potrebbe non avere un modo per rilevarlo. I sistemi di prevenzione delle intrusioni host aiutano anche a proteggere dagli attacchi zero-day prevenendo e difendendo dalle intrusioni e proteggendo i dati.

Pensa a una vulnerabilità zero-day come a una portiera dell'auto sbloccata che il proprietario pensa sia chiusa ma un ladro scopre che è sbloccata. Il ladro può entrare inosservato e rubare oggetti dal vano portaoggetti o dal bagagliaio del proprietario dell'auto che potrebbero non essere notati fino a giorni dopo, quando il danno è già stato fatto e il ladro è scomparso da tempo.

Sebbene le vulnerabilità zero-day siano note per essere sfruttate da hacker criminali, possono anche essere sfruttate dalle agenzie di sicurezza governative che desiderano utilizzarle per la sorveglianza o gli attacchi. In effetti, c'è così tanta richiesta di vulnerabilità zero-day da parte delle agenzie di sicurezza governative che aiutano a guidare il mercato per l'acquisto e la vendita di informazioni su queste vulnerabilità e su come sfruttarle.

Gli exploit zero-day possono essere divulgati pubblicamente, divulgati solo al fornitore del software o venduti a terzi. Se vengono venduti, possono essere venduti con o senza diritti esclusivi. La migliore soluzione a un difetto di sicurezza, dal punto di vista della società di software responsabile, è che un hacker etico o cappello bianco riveli privatamente il difetto all'azienda in modo che possa essere corretto prima che gli hacker criminali lo scoprano. Ma in alcuni casi, più di una parte deve affrontare la vulnerabilità per risolverla completamente, quindi una completa divulgazione privata potrebbe essere impossibile.

Mercati per gli attacchi zero-day

Nell'oscuro mercato delle informazioni zero-day, gli hacker criminali si scambiano dettagli su come sfondare il software vulnerabile per rubare informazioni preziose. Nel mercato grigio,. ricercatori e aziende vendono informazioni a militari, agenzie di intelligence e forze dell'ordine. Nel mercato bianco, le aziende pagano hacker white hat o ricercatori di sicurezza per rilevare e divulgare le vulnerabilità del software agli sviluppatori in modo che possano risolvere i problemi prima che gli hacker criminali possano trovarli.

A seconda dell'acquirente, del venditore e dell'utilità, le informazioni zero-day potrebbero valere da poche migliaia a diverse centinaia di migliaia di dollari, rendendolo un mercato potenzialmente redditizio in cui partecipare. Prima che una transazione possa essere completata, il venditore dovrebbe fornire un proof-of-concept (PoC) per confermare l'esistenza dell'exploit zero-day. Per coloro che desiderano scambiare informazioni zero-day senza essere scoperti, la rete Tor consente di condurre transazioni zero-day in modo anonimo utilizzando Bitcoin.

Gli attacchi zero-day possono essere meno pericolosi di quanto sembrino. I governi potrebbero avere modi più semplici per spiare i propri cittadini e gli zero-day potrebbero non essere il modo più efficace per sfruttare le imprese o gli individui. Un attacco deve essere schierato strategicamente e all'insaputa del bersaglio per avere il massimo effetto. Sferrare un attacco zero-day su milioni di computer contemporaneamente potrebbe rivelare l'esistenza della vulnerabilità e ottenere una patch rilasciata troppo rapidamente perché gli aggressori possano raggiungere il loro obiettivo finale.

Esempio del mondo reale

Nell'aprile 2017, Microsoft è stata informata di un attacco zero-day al suo software Microsoft Word. Gli aggressori hanno utilizzato un malware chiamato Dridex banker trojan per sfruttare una versione vulnerabile e priva di patch del software. Il trojan ha consentito agli aggressori di incorporare codice dannoso nei documenti di Word che si attivavano automaticamente all'apertura dei documenti. L'attacco è stato scoperto dal fornitore di antivirus McAfee che ha notificato a Microsoft il suo software compromesso. Sebbene l'attacco zero-day sia stato portato alla luce ad aprile, milioni di utenti erano già stati presi di mira da gennaio.

Mette in risalto

• La soluzione per correggere un attacco zero-day è nota come patch software.

• Gli attacchi zero-day possono essere prevenuti, anche se non sempre, tramite software antivirus e aggiornamenti regolari del sistema.

• Il nome deriva dal numero di giorni in cui uno sviluppatore di software ha saputo del problema.

• Esistono diversi mercati per gli attacchi zero-day che vanno dal legale all'illegale. Includono il mercato bianco, il mercato grigio e il mercato oscuro.

• Un attacco zero-day è un attacco relativo al software che sfrutta una debolezza di cui un fornitore o uno sviluppatore non era a conoscenza.