Si parla molto in questi giorni delle vulnerabilità “0-day”, ossia quelle minacce informatiche che sfruttano vulnerabilità di applicazioni software che non sono ancora state divulgate e per cui non è ancora stata trovata una soluzione. Il pericolo concreto delle vulnerabilità 0-day è dato dal fatto che sfruttano falle di sicurezza per le quali non è al momento disponibile nessuna risoluzione. L’argomento è tornato a balzare agli onori della cronaca grazie ad una nuova ricerca dello studio RAND che ha esaminato e analizzato 200 vulnerabilità zero-day in alcuni software a livello mondiale, dimostrando che quasi il 40% di queste sono ancora sconosciute al pubblico e quindi pericolose.
Le vulnerabilità 0-day del software, falle di sicurezza che gli sviluppatori non hanno ancora fissato o di cui non sono a conoscenza, possono annidarsi inosservate per anni, lasciando gli utenti del software particolarmente suscettibili agli attacchi hacker. Un nuovo studio della RAND Corporation, basato sull'accesso a un set di dati di oltre 200 vulnerabilità, fornisce intuizioni su ciò che enti e società dovrebbero fare quando li scoprono. Fino ad ora alla grande domanda, se i governi o chiunque dovrebbe rendere pubbliche o tacere sulle vulnerabilità, è stato difficile rispondere perché così poco si sa su come lunghe vulnerabilità zero-day rimangono inosservate o che percentuale di queste vengono infine trovate da altri.
Lo studio RAND è la prima ricerca a disposizione del pubblico per esaminare le vulnerabilità che sono ancora oggi sconosciute al grande pubblico. La ricerca stabilisce i parametri iniziali che hanno fatto affidamento sui dati repertati solo da vulnerabilità note al pubblico. Sulla base del set di dati, i ricercatori RAND hanno determinato che vulnerabilità zero-day hanno una speranza di vita media, il tempo tra la scoperta privata iniziale e la comunicazione al pubblico, di 6,9 anni. Le persone che conoscono queste debolezze possono creare “exploit” o codici che sfruttano questi per accedere ad altre parti di un sistema, eseguire il proprio codice, agire come un amministratore o eseguire qualche altra azione.
Un esempio famoso è il worm Stuxnet, modello più visibile di una cyber-guerra, che si basava su quattro vulnerabilità 0-day di Microsoft per compromettere il programma nucleare iraniano. Positive Technologies, produttore leader nella fornitura di soluzioni di sicurezza aziendale, gestione delle vulnerabilità, analisi delle minacce e protezione delle applicazioni, ha così commentato i risultati dello studio RAND, tranquillizzando gli utenti che le vulnerabilità zero-day non sono poi così comuni e pericolose. Il numero di vulnerabilità 0-day rivelate di per sé non dice nulla circa i livelli di rischio. Ogni giorno vengono scoperte nuove vulnerabilità zero-day a volte per motivi economici, a volte soltanto per divertimento.
Ad esempio, in uno dei dibattiti sulla sicurezza tenuti durante i Positive Hack Days, in soli 2 giorni sono state trovate 10 vulnerabilità nei software dei Sistemi di Controllo Industriale (Scada). Alcune di queste sono state già risolte, altre no, ma è quasi impossibile fare qualsiasi previsione a riguardo. L’informazione più interessante riguarda come le vulnerabilità 0-day vengono gestite. Si tratta di un lavoro complicato e costoso. Per quanti sono preoccupati dell’impatto che queste vulnerabilità possono avere sulla sicurezza degli utenti, Positive Technologies dà una buona notizia: solo alcune di queste sono davvero di tipo 0-day. Nella maggior parte dei casi, invece, si tratta di bug meno aggressivi, economici e ben noti.
Un’indagine di Positive Technologies relativa agli incidenti digitali nel 2016 ha rivelato che la maggior parte dei cyber-criminali utilizza metodi semplici ed economici per attaccare, compresi exploit pronti all’uso per vulnerabilità note. Come dire, prima di preoccuparsi che una folata di vento possa spalancare le porte, è necessario appurare che le porte siano chiuse a chiave! Il che significa che password troppo semplici, software obsoleti e l’apertura di qualsiasi mail che arriva nella propria posta elettronica possono essere i problemi principali. Se desidera avere maggiori informazioni, o approfondire la tematica della vulnerabilità 0-day, gli esperti di Positive Technologies sono a completa disposizione per fornire ulteriori dettagli.
Nessun commento:
Posta un commento