Leaderboards
Leaderboards
Direttore responsabile Raffaella Zelia Ruscitto
Skyscraper 1
Skyscraper 1
Skyscraper 2
Skyscraper 2

Perchè dobbiamo preoccuparci degli 0-day

sono le vulnerabilità non ancora scoperte, che si aggiungono alle oltre 169.000 già pubblicate e di pubblico dominio

di Michele Pinassi*

E’ un piacere nascondersi, ma è una catastrofe non essere trovati.”
Donald W. Winnicott

SIENA. Mai come nell’anno appesa passato – anche il 2022 si preannuncia “bollente” – gli 0-day sono stati protagonisti di attacchi informatici mirati e particolarmente insidiosi.

Esattamente, cosa sono questi “0-day”? Gli 0-day sono vulnerabilità ancora non note e non pubbliche, dei veri e propri passepartout digitali per i sistemi vulnerabili, che hanno un valore direttamente proporzionale alla loro potenza e alla diffusione della vulnerabilità stessa.

Facciamo un passo indietro e chiariamo subito un aspetto: le vulnerabilità hanno un “valore”. E il valore dipende da quanto la vulnerabilità è grave (esistono degli indici che determinano la gravità in modo analitico, come il CVSS – Common Vulnerability Scoring System) e quanto è importante il suo impatto. Altri fattori sono, ad esempio, la facilità di sfruttamento della vulnerabilità (“exploitability“) e la possibilità di eseguire codice da remoto (RCE – Remote Code Exploit).

Di seguito, una mappa della “famosa” cyber kill-chain, la sequenza di azioni che un attaccante compie in un attacco. La prima fase, la ricognizione: capire cosa c’è sul sistema bersaglio e quale vulnerabilità possono essere sfruttate per accedervi, preparando l’arsenale necessario (“weaponizing“). Si lancia poi l’attacco (“exploitation“) e, una volta andato a buon fine e conquistato l’accesso al sistema, si procede con l’installazione dell’impianto malevolo necessario a garantirsi la permanenza nel sistema stesso per poterlo sfruttare per i propri scopi (es. esfiltrazione dei dati).

Giusto per chiarire, siamo lontanissimi dallo stereotipo del ragazzino nerd: oggi parliamo di vere e proprie organizzazioni, che vanno dagli state-actors (attori governativi) alla cybercriminalità organizzata, passando per i ricercatori indipendenti che, per fama o profitto, sono costantemente alla ricerca di vulnerabilità nei sistemi informatici.

Per dare qualche cifra del fenomeno, il database CVE –Common Vulnerabilities and Exposures-, gestito dal MITRE, che raccoglie e cataloga con l’anno e un numero univoco progressivo le vulnerabilità scoperte, nell’aprile 2018 ha superato i 100.000 records. E negli ultimi anni abbiamo assistito a una vera e propria “impennata” delle vulnerabilità scoperte e pubblicamente rilasciate.

Sono 21957 le vulnerabilità pubblicate nel 2021, il numero più alto degli ultimi anni (18362 nel 2020, 17382 nel 2019 e 17252 nel 2018), e il numero totale supera ormai i 169 mila.

Di queste, circa l’11% è una vulnerabilità grave/critica, punteggio CVSS compreso tra 9 e 10, e la maggioranza delle restanti, circa il 77%, ha un punteggio tra 4 e 8 (criticità media).

Attenzione: parliamo delle vulnerabilità note, pubblicamente descritte in database disponibili a chiunque, di cui non sempre esistono exploit/PoC disponibili pubblicamente.

Impossibile sapere quante vulnerabilità siano state scoperte e non ancora pubblicate, magari sfruttate per violare in segretezza sistemi informatici in giro per il mondo. Questi sono gli 0-day, e sul darkweb c’è un vero e proprio mercato degli stessi (anche se, dicono, una bella percentuale è truffa). Il valore di una vulnerabilità 0-day, quindi non ancora pubblicamente diffusa, secondo i criteri che ho descritto prima, può oscillare da pochi dollari a centinaia di migliaia. Non sono affatto pochi i potenziali acquirenti, tra cui ci sono anche agenzie governative e servizi segreti, pronti a servirsene per le loro attività di spionaggio e sabotaggio.

Inoltre, anche se nell’80% dei casi la realizzazione degli exploit avviene più rapidamente della loro pubblicazione sul database CVE (almeno secondo PaloAlto), non tutti i CVE sono facilmente sfruttabili. Alcuni richiedono competenze tecniche davvero elevate e spesso l’investimento di tempo per orchestrare un attacco supera il valore del “bottino” che un cybercriminale può recuperare dai sistemi della vittima.

Altri, invece, come ad esempio il famigerato CVE-2021-44228 “Log4Shell”, è stato un CVE talmente diffuso e facilmente sfruttabile da aver rappresentato,  nei due mesi appena passati, una delle minacce che ha maggiormente preoccupato la comunità mondiale, con un “picco” di tentativi di sfruttamento proprio nei giorni successivi alla pubblicazione della vulnerabilità.

Secondo diversi esperti, durante il 2022 e anche nei prossimi anni gli attacchi che sfruttano 0-day saranno sempre più utilizzati, complice probabilmente l’aumento globale dell’attenzione – e degli investimenti – alla cybersecurity. Sono attacchi insidiosi, poiché difficilmente individuabili attraverso i consueti strumenti (XDR, SOAR…) e, quindi, rappresentano una minaccia tangibile, soprattutto per quei contesti dove il valore del “bottino” è elevata (o ci sono interessi politico/economici tali da giustificare gli investimenti).

Se, quindi, il cittadino comune deve preoccuparsi relativamente poco di queste minacce (anche se, come abbiamo visto, sono potenzialmente sfruttate anche per “impiantare” i cosiddetti “captatori informatici” sui sistemi degli indagati), sicuramente i CISO di tutto il mondo difficilmente potranno dormire sonni tranquilli, con la paura che sui loro dispositivi di sicurezza possa essere presente una “falla”, ancora non nota al grande pubblico, ma sfruttabile da pochi, determinati, malintenzionati.

Anche se, giusto per concludere in bellezza, secondo il Cyber Security Report 2021 della CheckPointoltre il 70% degli attacchi avvenuti nel 2020 ha utilizzato vulnerabilità note da almeno due anni prima…

*www.zerozone.it

[banner_mobile]
Are you looking for Krnl this is best Roblox executor this is one of the finest roblox executor.
Download Rapid Streamz for Android, this app will help you stream over 800+ TV channels! Watch free Live TV on Android using the best live tv app for Android. Rapid Streamz application is specially designed for those people who want to enjoy their favorite television shows and movies on the go.
Are you looking for Openiv which is one of the best modding toolset for the PC Versions of GTA 5, GTA 4, Episodes From Liberty City (EFLC) and Max Payne 3, etc. Latest version of the app supports Red Dead Redemption 2 as well. The toolset allows the users to view and alter the game files.
This is CodeX Executor which is a potent application designed to empower Roblox players by allowing them to run scripts within popular Roblox games such as Blox Fruits, Pet Simulator X, Project Slayers, Murder Mystery 2, Adopt Me, Arsenal, and many more.
Enhance your Roblox experience with BTRoblox which is extension that aims to enhance Roblox's website by modifying the look and adding to the core website functionality by adding a plethora of new features.
Winlator is a powerful tool that allows you to run Windows applications and games on your Android device. With Winlator, you can enjoy your favorite PC games on the go, all without the need for a high-end gaming PC. This opens up a whole new world of gaming possibilities, as you can now play your favorite titles anywhere and anytime.
You can download the latest version of Sportzfy TV Apk from our website. We offer a safe and secure download link that ensures you get the latest version of the app without any hassle.
Sportsfire is a free live-streaming application that focuses on sporting events and is available for installation on Firestick, Fire TV Cube, Fire TV, and Android TV/Google TV Boxes.
You can download the latest version of Sportzfy TV Apk from our website. We offer a safe and secure download link that ensures you get the latest version of the app without any hassle.
In the age of digital streaming, inat tv Inat TV APK is one of the most video streaming free application. Finding a reliable and feature-rich application to access your favorite TV shows, movies, and live channels has become crucial.
Krira TV is a free sports streaming app that allows fans around the world to watch their favorite sports events in HD quality.
Experience endless entertainment with blink streamz the top Free Live TV App for Android, offering free live sports streaming and more. Enjoy a vast selection of TV channels on your Android device.
krnl
cinema hd
beetv
inat tv
spotiflyer
aniyomi
saikou
scipt hook v
fluxus executor
flix vision
egg ns
fs23 mods
strato emulator
gacha nebula