Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

SICUREZZA INFORMATICA

Vulnerabilità zero-day: cosa sono e come funziona il mercato nero degli exploit

Il commercio delle vulnerabilità zero-day è un fenomeno interessante e complesso che dà vita ad un fiorente mercato nero. Prima di analizzare nel dettaglio le dinamiche, però, è necessario definirlo con precisione. Ecco cosa sono gli zero-day e come funziona il supermarket dei cyber attacchi

29 Nov 2019
F

Francesco Ferazza

CISSP, Consulente IT


Prima di addentrarci tra le dinamiche di mercato della vendita di zero-day, è importante sottolineare che esistono principalmente due famiglie di questa particolare minaccia: quella delle vulnerabilità zero-day e quella dei malware zero-day.

Una vulnerabilità zero-day è una qualunque vulnerabilità di un software non nota ai suoi sviluppatori o da essi conosciuta ma non gestita.

Uno zero-day exploit è un qualunque programma che sfrutti una vulnerabilità zero-day per causare effetti indesiderati.

Queste vulnerabilità sono estremamente importanti ed hanno un forte impatto sul mondo della sicurezza informatica. La loro criticità è evidente: chiunque sia a conoscenza della debolezza di un software, ignota ai suoi stessi creatori, potrà utilizzarla a proprio favore sicuro di portare a buon fine i propri attacchi.

Un malware zero-day è invece un virus non pubblicamente conosciuto in quanto nuovo o in quanto drastica variazione di un programma preesistente e quindi molto difficilmente identificabile dalle soluzioni antivirus.

Essendo sconosciuto non saranno ad esempio note le sue “firme”, rendendo complessa, se non impossibile, una signature analysis da parte degli antivirus.

Proprio sulla capacità di identificare e mitigare gli effetti di virus e malware zero-day si è concentrata la competizione commerciali delle principali case produttrici di sistemi di sicurezza informatica.

Nel seguito dell’articolo tratteremo principalmente la famiglia delle vulnerabilità zero-day, la seconda verrà affrontata solo brevemente per motivi di chiarezza e completezza.

Cosa viene venduto nei mercati di zero-day

In questi market virtuali vengono vendute le specifiche delle vulnerabilità zero-day o direttamente i codici malevoli in grado di sfruttarle, cioè gli exploit.

Le vulnerabilità e gli exploit zero-day sono assimilabili, come tipologia di prodotto, a film, musica ed ebook in quanto beni digitali, ma con una fondamentale differenza legata all’andamento del loro valore.

Film, ebook e musica digitale hanno un basso valore in quanto facilmente riproducibili e distribuibili. Le vulnerabilità zero-day hanno invece un altissimo valore che però perdono rapidamente appena vengono rese pubbliche.

Va comunque sottolineato che le vulnerabilità zero-day non sono le più scambiate sul mercato, anzi: nella realtà sono estremamente rare e per questo particolarmente preziose.

Quelle che si trovano con maggior frequenza sono le cosiddette vulnerabilità half-day: queste non sono altro che zero-day recentemente rese note al pubblico o ai vendor interessati.

Le half-day hanno comunque un elevato valore perché possono passare diversi giorni, se non mesi, prima che il produttore del software vulnerabile, una volta venuto a conoscenza del problema, ne rilasci una versione sicura e ancora più tempo prima che quest’ultima venga installata dagli utenti finali.

Le tipologie di mercato per le vulnerabilità zero-day

Esistono fondamentalmente tre tipi di mercati per le vulnerabilità zero-day, quelli diretti, quelli intermediati ed il mercato nero.

Un esempio di mercato diretto è l’iniziativa “Chrome Vulnerability Reward Program”. In questo caso è Google stessa ad offrire un programma di bug bounty per identificare nuove vulnerabilità dei propri sistemi in cambio di premi in denaro.

Nel caso dei mercati intermediati non sono le case produttrici di software a trattare direttamente con i ricercatori, sono invece dei broker a farlo. Questi hanno il compito di convalidare le vulnerabilità zero-day scoperte e in base alla loro criticità pagarne gli scopritori.

Un esempio di intermediazione di questo tipo è quello della “Zero Day Initiative” di Trend Micro.

In ultimo vediamo i mercati neri: questi non hanno nulla di ufficiale, devono essere garantite sia l’anonimità e serietà di compratori e venditori sia la bontà del prodotto. Questo avviene attraverso l’uso di terze parti intermediarie che agiscono come garanti e l’utilizzo di valute e sistemi di pagamento specifici.

La valuta usata nelle transazioni di vulnerabilità zero-day

Nei mercati ufficiali e in quelli intermediati la valuta è quasi sempre in dollari e vengono effettuati i pagamenti in bonifici.

Nei mercati neri le valute e le modalità di pagamento vengono scelte principalmente per garantire l’anonimità e la sicurezza delle transazioni.

Le principali valute digitali e piattaforme di pagamento online utilizzate sono WebMoney, Bitcoin e Liberty Reserve (fino alla sua chiusura nel 2013). Altre soluzioni, meno frequenti, sono Pecunix, AlertPay, PPcoin, Feathercoin, Zerocoin e varie altre cryptocurrency.

Attualmente non è certo quale sia la valuta più utilizzata in quanto il mercato è molto fluido, oltre che di difficile analisi, vista l’intrinseca sicurezza ed anonimità.

La struttura dei mercati di vulnerabilità zero-day

La struttura dei mercati ufficiali è semplice e ben definita: da una parte abbiamo chi ricerca le vulnerabilità, dall’altra la casa produttrice di software, o un suo intermediario, disposta a riconoscere una somma di denaro nel caso in cui la scoperta del ricercatore fosse fondata.

Nel caso del mercato nero la struttura è molto più complessa, questo sempre nell’ottica di garantire anonimato e sicurezza alle transazioni.

Possiamo visualizzare la struttura del mercato nero come una piramide. In cima troviamo gli amministratori che gestiscono l’intera infrastruttura.

Subito al di sotto troviamo gli esperti di vari settori dell’Information Security, come la crittanalisi o la scrittura di malware. È a questo livello che in genere vengono ricercati e sviluppati gli zero-day.

Abbiamo poi i broker, gli intermediari tra la cima e la base della piramide.

Base della piramide costituita dai compratori e i dai cosiddetti “muli”, cioè persone o servizi che si occupano dei trasferimenti di denaro o della merce acquistata – in questo caso dello zero-day con annessa documentazione.

L’accesso alla base della piramide è semplice, non occorrono particolari conoscenze o reputazione. Interfacciarsi invece con gli amministratori ed i membri più esperti richiede uno standing elevato o delle garanzie.

La comunicazione nei mercati neri è un fenomeno particolarmente interessante.

Una volta venivano utilizzati bullettin boards e sistemi di messaggistica automatica come IRC, ICQ, Jabber e QQ. L’evoluzione della tecnologia ha portato a comunicare utilizzando strumenti e canali sempre più protetti e riservati – Tor, Freenet, Invisible Internet Project (I2P), account di Twitter privati, Gnu Privacy Guard (GPG) e molti altri.

I sistemi di comunicazione seguono dei trend, come Tor, che pur non essendo una nuova tecnologia vede un utilizzo crescente.

Che tipo di domanda esiste per le zero-day?

La domanda per queste vulnerabilità è alta e suddivisa tra molteplici attori con scopi differenti.

Il primo esempio sono le case produttrici di software alla ricerca di bachi nei loro prodotti, queste possono lanciare delle iniziative di bug bounty aperte al pubblico, come quella di Chrome accennata poco sopra, creando così dei mercati ufficiali per questo tipo di scambi.

Un’altra tipologia di attore classica è rappresentata dalle agenzie di sicurezza di stati sovrani che acquistano vulnerabilità zero-day per poter mettere in sicurezza le proprie infrastrutture critiche, anche collaborando con gli sviluppatori dei software interessati.

Accade altrettanto spesso che queste stesse agenzie comprino vulnerabilità ed exploit zero-day non per fini difensivi, ma per tenerli nascosti accumulando un vero e proprio cyber-arsenale da utilizzare per fini offensivi.

Quest’ultima attività ha diverse conseguenze sul piano etico e su quello di gestione del rischio. In primo luogo, tenendo nascoste queste vulnerabilità, se ne rende impossibile la messa in sicurezza per il grande pubblico. In secondo luogo, si rischia che un accesso non autorizzato a questo arsenale renda disponibile all’intruso una incredibile quantità di nuovi tool per effettuare i propri attacchi.

Questo è quello che è successo, secondo Microsoft, con l’ormai leggendario EternalBlue. L’NSA era sicuramente a conoscenza della vulnerabilità zero-day dietro questo exploit ma ha deciso di non portarla all’attenzione di Microsoft, di fatto impedendo la messa in sicurezza del protocollo SMBv1 con conseguenze nefaste come l’incredibile proliferazione del ransomware WannaCry.

Esistono anche attori e gruppi malevoli interessati a queste vulnerabilità, molti gruppi dietro le Advanced Persistent Threat, ad esempio, utilizzano gli zero-day e gli half-day di routine nei loro processi di attacco.

I prezzi delle vulnerabilità zero-day

Come abbiamo già potuto vedere, le vulnerabilità zero-day sono altamente time-sensitive.

Hanno un valore molto alto fino a quando non vengono rese pubbliche e, come vulnerabilità half-day, mantengono comunque un discreto valore nelle settimane immediatamente successive alla disclosure.

I programmi ufficiali di bug bounty generalmente offrono cifre decisamente inferiori per gli zero-day rispetto a quelle potenzialmente ottenibili sul mercato nero.

In questo tipo di mercato il prezzo di una vulnerabilità zero-day è dettato da diversi fattori, come la sua complessità, la facilità di sfruttarla con un exploit, la diffusione del software in cui è stata trovata. I prezzi possono andare dalle poche migliaia di dollari ai trecento o quattrocentomila, esistono stime più alte ma sono spesso sensazionalistiche e non basate su dati reali.

Secondo alcuni ricercatori accademici il valore di uno zero-day sul mercato nero può arrivare ad essere fino a cento volte superiore a quello dei mercati diretti o intermediati.

Questa asimmetria tra mercati sta portando, nel tempo, ad un aumento importante delle ricompense offerte dalle aziende ai ricercatori che individuano bug di questo tipo. Un esempio sono le bug bounty di Google che vanno dai duemila ai cinquemila dollari per exploit non legati a Chrome, fino a centocinquantamila per quelli più critici legati al noto browser made in Google.

Gli zero-day più famosi

Diverse vulnerabilità “giorno zero” sono finite sotto i riflettori della cronaca a causa del loro impatto, qui di seguito un elenco dei più noti.

Stuxnet

Il celebre virus/worm che attaccando i sistemi SCADA ed in particolare i PLC della centrale di arricchimento dell’uranio di Natanz ha sabotato gli sforzi nucleari Iraniani era basato sullo sfruttamento di quattro vulnerabilità zero-day di Windows.

Operation Aurora

Nel Gennaio 2010 un massiccio attacco ha bersagliato diversi colossi americani, tra questi Google, Juniper Networks, Morgan Stanley, Dow Chemical, Symantec, e Yahoo.

Per questo attacco sono state utilizzate vulnerabilità zero-day di Internet Explorer e una vulnerabilità in Perforce, il software di code revisioning utilizzato da Google per gestire la propria codebase.

Per quanto riguarda Google gli attaccanti, apparentemente organici a Pechino, sono riusciti ad ottenere alcune informazioni su due account Gmail di dissidenti cinesi.

SecurID hack

A metà 2011 il gigante della two-factor authentication RSA SecurID ha subito un attacco molto sofisticato che ha portato alla compromissione del proprio network.

Un dipendente della società, vittima di una campagna di spear phishing, ha erroneamente scaricato ed aperto un file Excel malevolo.

In seguito all’apertura del file è stata sfruttata una vulnerabilità zero-day in Adobe Flash che ha permesso l’utilizzo del sistema di controllo remoto ‘Poison Ivy’ per ottenere l’accesso ad alcune macchine e server all’interno del network di RSA.

Conclusioni

Nuove vulnerabilità zero-day, e conseguenti half-day, vengono scoperte di continuo.

Nel 2018, secondo diversi whitepaper accademici, quasi il 70% degli attacchi avvenuti con successo contro endpoint aziendali hanno utilizzato exploit di questo tipo.

Come tutti ben sappiamo, un approccio che garantisca rischi zero non esiste, tantomeno in un ambito complesso come questo.

Il modo migliore per affrontare le minacce legate agli zero-day è avere una robusta security posture, che preveda un patch management efficace e rapido, a cui affiancare soluzioni di intrusion detection e prevention di alto livello.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5