Una zero day è una vulnerabilità molto “preziosa” e ambita poiché sostanzialmente è sconosciuta, non nota, ed è quindi l’oggetto di attenzione di molti cyber criminali che possono sfruttarla per portare avanti le loro azioni indisturbati. Sconosciuta e, quindi, molto pericolosa. Molti ritengono che si chiami zero day perchè sfruttata per la prima volta il giorno in cui si sferra il primo attacco tramite il suo utilizzo ma, al contrario, il suo zero day è dovuto a un altro semplice motivo: il programmatore del codice vittima ha zero giorni per patchare, ovvero correggere in qualche modo, il prodotto dopo che questo viene attaccato tramite una nuova vulnerabilità. A parte lo stupore della novità una zero day non differisce molto da altri tipi di exploit o vulnus informatici: come altri permette di attaccare un sistema informatico, che sia un singolo computer o una intera rete aziendale, per scopi diversi tra cui: furto di dati, monomissione, rivendicazioni o semplice vandalismo digitale.
Qual è quindi la cosa che rende una zero day così preziosa? Perchè si parla di trading di vulnerabilità? Un exploit non conosciuto spesse volte permette di violare un sistema senza essere praticamente visti e, di conseguenza, può portare a carpire informazioni molto delicate e sensibili anche in ambiti in cui trovare queste informazioni può essere pericoloso; oppure può permettere ad un attaccante di raggiungere dei sistemi la cui manomissione può provocare danni pari a quelli di un attacco militare senza lo stesso dispendio di energie e di soldi. E’ vero quindi che una zero day sfruttata a pieno può trasformarsi in una cyber-weapon, ovvero in un arma informatica altamente pericolosa. Un esempio su tutti è Stuxnet: un virus che aveva lo scopo di danneggiare le turbine della centrale Iraniana di Natanz che sfruttava alcune vulnerabilità 0-day di Windows. Edward Snowden confermò che il virus fu creato dalla collaborazione dell’NSA con l’intelligence israeliana per rallentare lo sviluppo atomico dell’Iran. L’uso di vulnerabilità 0-day rese impossibile fermare il virus nelle fasi inziali: fu scoperto solamente perchè si replicò anche al di fuori della centrale per un errore di programmazione. Tutto questo per rendere l’idea della portata di chi possa essere interessato a simili vulnerabilità. Se si pensa ad un campo di battaglia informatico, le zero-day sono simili alle armi stealth non rintracciabili dai normali radar e che possono portare il colpo vicino al cuore del proprio nemico.
Chi non è in grado di scoprire le zero-day per proprio conto, ben conoscendo il loro valore, le compra. Questa attività illecita ha creato un vero e proprio mercato le cui regole sono le stesse di altri mercati finanziari: il prezzo lo fa chi compra, o il classico discorso sulla domanda e sull’offerta. Al di là dei tecnicismi è chiaro che un prodotto con tali caratteristiche possa arrivare ad avere tanti acquirenti e di conseguenza il suo prezzo sia destinato a lievitare oltremodo. L’azienda Zerodium, ad esempio, fa trading di zero day così come si fa per le azioni. Durante lo scorso settembre, in concomitanza con l’uscita della la nuova versione del sistema operativo iOS di Apple, l’azienda ha messo una vera e propria taglia del valore di 1 milione di dollari per chi riuscirà a violare il nuovo sistema operativo Apple.
Bekrar Chaouki uomo di punta di Zerodium lavorava per Vupen una nota azienda di trading di exploit francese. Con il gruppo di Vupen Bekrar riuscì a bypassare la sicurezza di Google Chrome in un hackathon organizzato da HP. Invece di ritirare il premio di 60.000 dollari, assegnato a chi fosse riuscito nell’intento, Bekrar affermò che mai per quella cifra la sua azienda avrebbe rivelato come fosse riuscita nell’attacco al famoso browser di Google, nemmeno per un milione di dollari. E che preferiva vendere questa informazione ai propri clienti piuttosto che ritirare il premio. In effetti sembra che solo per entrare nel “club” di Vupen servissero qualcosa come 100.000 dollari all’anno…. Ma cosa compravano i clienti? E soprattutto chi erano? Per rendersi conto basta sfogliare qualche mail contenuta nei leak di Hacking Team. Governi e multinazionali hanno tutto l’interesse nell’avere informazioni prima di altri. Lo spionaggio esiste da sempre e proprio le zero day sono un ottima arma per la sua versione moderna. Il sistema di Hacking Team Galileo, scritto sulla base di alcune vulnerabilità non conosciute ed acquistate da intermediari come Vupen, riporta questa dicitura nella sua brochure “Remote Control System: the hacking suite for governmental interception. Right at your fingertips.”
Ma se qualcuno volesse trovare il modo per comprare una di queste utilissime vulnerabilità dove dovrebbe cercare? A chi chiedere per comprare? Molti indicherebbero famosi market su fonti aperte o nel deep web dove spesso si trovano degli exploit non proprio di ultimo grido, e ancora più spesso controllati dal venditore. Ma considerando tutto quello che abbiamo detto sino ad ora, è possibile che semplicemente cercando in rete chiunque possa riuscire a trovare una vulnerabilità che altri pagano milioni di dollari? La risposta è no. Ammesso che la vulnerabilità non sia già stata usata ampliamente e venduta altrettante volte, questo certamente la renderebbe più agevolmente reperibile. Per chiarire: un exploit molto recente che dia la possibilità di accedere ad un sistema degno di essere chiamato zero day non si trova in rete. Il perchè è chiaro: il suo prezzo è troppo alto. Magari è in rete ma non su un market. Appoggiato chissà dove aspettando transazioni milionarie. Oppure è facile immaginare che chi ci lavora sia su celebri libri paga … Si potrebbe andare avanti per supposizioni a lungo ma risulta intuitivo, visto che si tratta di un mercato underground, che le transazioni, sia i compratori che i venditori, rimangono segreti ai più.
Cosa si può fare per difendersi?
Resta molto complesso riuscire a limitare il pericolo contro questo tipo di vulnerabilità soprattutto su smartphone e tablet in rete 3G o 4G che sia. Piuttosto è possibile verificare all’interno di una rete il passaggio dei dati analizzando i pacchetti in maniera più evoluta. Con il supporto di firewall di nuova generazione che analizzino e comprendano qual è il traffico “buono” in rete e quale quello “cattivo”, c’è la possibilità di mitigare la pericolosità di un attacco portato verso una vulnerabilità zero day. Certo è che il cyberspace, ovvero lo spazio virtuale di Internet, è diventato un vero e proprio campo di battaglia. Dove si giocano partite decisamente importanti, basti pensare all’attacco in Corea del Nord o alla Sony o al Cybercaliphate o altri ancora che hanno segnato la nascita delle guerre cibernetiche, nelle quali l’informazione è il terreno da conquistare e in cui sono coinvolte persone come Bekrar del quale Chris Soghoian una volta disse: “è un mercante di morte dei tempi moderni che vende i proiettili della cyberwar”.
Fonte: Techeconomy