Zero-day: gli attacchi che sfruttano l’ignoto

In un certo senso, proteggere il computer è un po’ come salvaguardare la sicurezza di casa propria. In entrambi i casi ci si preoccupa di un’eventuale intrusione da parte di qualcuno, ed è quindi necessario chiudere le porte ed attivare l’allarme. Ma cosa succede se in una casa si scoprono porte e finestre che non si sapeva di avere? Scopriamo che è diventato ancor più complicato garantire la propria sicurezza.

Si tratta della realtà che gli utenti devono affrontare ogni giorno nel cyberspazio, una realtà nella quale gli hacker cercano modi sempre nuovi per compromettere i computer. In questa guerra digitale, la battaglia non viene sempre condotta utilizzando le vulnerabilità note di un codice. A volte gli hacker più sofisticati ne utilizzano altre, sconosciute e ancora senza patch, note come zero-day, che consentono di prendere controllo di determinate macchine e delle relative informazioni sensibili, dalle credenziali di online banking alle password di posta elettronica e altri dati.

Cambiano gli scenari di attacco

Nel corso del 2013 abbiamo registrato l’esistenza di un gran numero di questi tipi di vulnerabilità, che interessano anche applicazioni molto utilizzate quali Adobe Flash Player e Internet Explorer. Spesso gli utenti vengono colpiti attraverso attacchi di tipo “waterhole”, ovvero scenari in cui il pirata informatico prima compromette un sito web legittimo e poi attende che gli utenti vi accedano. Questi attacchi sono tipicamente supportati da campagne di spam progettate per invogliare le vittime a visitare i siti compromessi dagli hacker.

Oltre a questo vi è la proliferazione dei cosiddetti exploit kit, applicazioni crimeware che automatizzano gli attacchi verso i punti vulnerabili. Possono essere venduti per migliaia di dollari o addirittura affittati ad un prezzo che scende fino ai 40 dollari al giorno. Se da un lato spesso approfittano delle vulnerabilità di vecchi software o sistemi operativi i che gli utenti hanno dimenticato di correggere, non è raro che questi criminali utilizzino gli zero-day poiché è più probabile che possano passare inosservati per lunghi periodi. Prendiamo ad esempio la patch di protezione Microsoft distribuita nello scorso mese di ottobre per gestire le vulnerabilità zero-day scoperte in Internet Explorer. Anche se la patch è sta rilasciata ad ottobre, la vulnerabilità ha iniziato ad essere sfruttata già da agosto.

L’evoluzione degli antivirus

Una volta i prodotti antivirus si affidavano completamente e unicamente alle signature per rilevare i singoli tipi di malware e di attacchi. Col passare del tempo, gli hacker sono diventati più subdoli e hanno iniziato ad utilizzare un codice cosiddetto polimorfico, ovvero che si modifica ogni volta che viene eseguito. Questa innovazione ha reso la rilevazione eseguita solo in modalità signature-based obsoleta rispetto all’individuazione dei più recenti attacchi e ceppi di virus dei computer.

In risposta a questa sfida, diversi anni fa, i produttori di antivirus hanno adottato un’analisi euristica quale mezzo per rilevare gli exploit zero-day e impedire loro di scatenare il caos sulle macchine infette. L’euristica si focalizza sull’individuazione di un comportamento pericoloso: in particolare permette al software antivirus di analizzare i comandi eseguiti sul computer per individuare comportamenti sospetti, quali ad esempio sovrascritture di file o tentativi di nascondere file specifici . Concentrarsi sul comportamento di un file anziché limitarsi ad un’analisi del suo codice offre ai prodotti di sicurezza un vantaggio nella difesa contro gli attacchi zero-day e nuove minacce.

Un concetto simile sta alla base di un approccio chiamato “patching virtuale”. Si tratta di un approccio utilizzato dai firewall per applicazioni Web e dai sistemi di prevenzione delle intrusioni . Una virtual patch cerca di bloccare gli exploit zero-day prima che colpiscano applicazioni specifiche, senza modificarne il codice sorgente. Ciò consente alle aziende di ridurre il rischio di un attacco in tempi brevi in attesa che il vendor fornisca una correzione duratura. Il patching virtuale tuttavia non è in grado di risolvere singolarmente il problema degli zero-day poiché non necessariamente riesce a impedire che venga sfruttato ogni possibile accesso a una determinata vulnerabilità.

Protezione significa vigilanza costante

La convinzione da parte degli utenti che le aziende possano disporre regolarmente di patch virtuali per proteggere all’occorrenza i loro sistemi, e di conseguenza quelli degli utenti che li utilizzano è un puro desiderio. Per quanto contraddittorio possa sembrare, uno dei primi modi per difendersi contro le minacce sconosciute è quello di mettersi in sicurezza rispetto a quelli noti. Gli utenti devono assicurarsi che i loro computer siano aggiornati sotto ogni aspetto, dal sistema operativo alle applicazioni. In questo modo è possibile limitare la quantità di danni alla propria macchina nel caso in cui un attacco zero-day passasse inosservato. Questo vale anche parte perché gli hacker spesso sfruttano più di una vulnerabilità quando tentano di compromettere un sistema.

In questo caso una delle più efficaci – e meno utilizzate – forme di mitigazione degli attacchi è quella di accedere al sistema con il minor livello di privilegi necessari. La maggior parte degli utenti preferisce utilizzare il proprio computer come amministratore. Ma diversi studi hanno dimostrato che l’utilizzo di computer in modalità più ristretta limita la diffusione di infezioni, erigendo un ostacolo in più tra un utente e un hacker che cerca di installare programmi dannosi o perpetrare altre azioni dannose .

La difesa contro l’ignoto è difficile ma non impossibile. Proprio come farebbe un padrone di casa responsabile, è bene bloccare le minacce conosciute tenendo gli occhi aperti verso quelle che ancora non si conoscono!

Articolo gentilmente concesso da Bari Abdul, Vice President and Head of Zone Alarm, Check Point Software Technologies