“Zero-day” o “0-day” è un termine generico che descrive vulnerabilità della sicurezza scoperte di recente e utilizzate dagli hacker per attaccare i sistemi. Il termine “zero-day” si riferisce al fatto che il fornitore o lo sviluppatore è appena venuto a conoscenza della falla e quindi ha “zero giorni” di tempo per risolvere il problema.
Un “exploit zero-day” è il metodo utilizzato dagli hacker per attaccare i sistemi con una vulnerabilità non identificata in precedenza.
Il “codice exploit” è il codice che permette di attaccare gli utenti del software, che diventano vittime, ad esempio, di furti di identità o di altre forme di cybercrimine.
Quando una vulnerabilità diventa nota, gli sviluppatori creano una patch per cercare di fermare l’attacco, ma spesso le vulnerabilità della sicurezza non vengono scoperte subito. A volte passano giorni, settimane o addirittura mesi prima che gli sviluppatori identifichino la vulnerabilità all’origine dell’attacco. E anche dopo il rilascio di una “patch zero-day”, non tutti gli utenti la implementano in tempi brevi.
Gli exploit sono in vendita sul Dark Web a cifre esorbitanti fino a quando non vengono scoperti e risolti.
Come identificare gli attacchi zero-day
Può essere difficile individuare le vulnerabilità zero-day, dal momento che possono assumere diverse forme, ad esempio assenza di criptaggio dei dati, assenza di autorizzazioni, violazione di algoritmi, bug, problemi con la sicurezza delle password e così via. Data la natura di questi tipi di vulnerabilità, le informazioni dettagliate sugli exploit zero-day sono disponibili solo dopo che sono stati identificati.
Le organizzazioni vittime di un exploit zero-day potrebbero notare traffico imprevisto o un’attività sospetta di scansione originata da un client o un servizio.
ALCUNI ESEMPI
Heartbleed – Questa vulnerabilità, scoperta nel 2014, ha permesso agli aggressori di estrarre informazioni dai server che utilizzano le librerie di crittografia OpenSSL. La vulnerabilità è stata introdotta nel 2011, ma è stata scoperta solo due anni dopo, quando i ricercatori hanno scoperto che alcune versioni di OpenSSL erano suscettibili ai battiti cardiaci inviati dagli aggressori. Gli hacker potevano quindi ottenere le chiavi private dai server che utilizzavano questa libreria di crittografia, consentendo loro di decifrare i dati trasmessi dagli utenti.
Shellshock – Questa vulnerabilità è stata scoperta nel 2014 e ha permesso agli aggressori di accedere ai sistemi che eseguono un sistema operativo vulnerabile agli attacchi attraverso l’ambiente di shell Bash. Shellshock colpisce tutte le distribuzioni Linux e Mac OS X 10.4 e versioni precedenti. Sebbene siano state rilasciate patch per questi sistemi operativi, alcuni dispositivi non sono ancora stati patchati contro questo exploit.
Violazione dei dati Equifax – La violazione dei dati di Equifax è stato un grave attacco informatico del 2017. L’attacco è stato perpetrato da un gruppo sconosciuto di hacker che ha violato il sito web di Equifax e ha rubato circa 145 milioni di informazioni personali dei clienti, tra cui numeri di previdenza sociale e date di nascita.
Ransomware WannaCry – WannaCry è un virus ransomware che colpisce i sistemi operativi Microsoft Windows; cripta i file degli utenti e richiede il pagamento di un riscatto tramite Bitcoin per decriptarli. Si diffonde attraverso le reti utilizzando EternalBlue. Un exploit di Windows trapelato dall’NSA nell’aprile 2017. Il worm ha colpito oltre 300.000 computer in tutto il mondo dal suo rilascio il 12 maggio 2017.