0-Day: casi in aumento. E la strana storia di Ido Cohen, sparito nel nulla (tramite EDR?)

Puntata numero 66 di Cronache Digitali, dove vi racconto cosa succede nel mondo del cybercrime.

Come sempre, la puntata è disponibile di Podcast, cliccando qui!

🙏

Questo blog ed il podcast, sono gratuiti ed "indipendenti", ovvero senza alcuna sponsorizzazione e vengono realizzati nel mio tempo libero. Se vuoi sostenermi in questo progetto divulgativo, con un piccolo contributo (quasi simbolico!) puoi farlo iscrivendoti ad un piano a pagamento, che tra l'altro puoi annullare quando vuoi (e comunque riceverai sempre gli aggiornamenti!)

Questa settimana due le notizie che vi racconto. Partiamo subito.

0-Day: casi in aumento. Cosa significa?

Partiamo innanzitutto dall'inizio: cosa si intende per zero-day? Riporto per semplicità la definizione che possiamo trovare su Wikipedia, chiara e semplice:

0-day (o zero-day), in informatica, è una qualsiasi vulnerabilità di sicurezza informatica non espressamente nota allo sviluppatore o alla casa che ha prodotto un determinato sistema informatico.

Stiamo quindi parlando di vulnerabilità di sistemi software (o hardware), ovvero della possibilità che una componente abbia misure di sicurezza molto basse e che quindi un eventuale attaccante possa in qualche modo sfruttare tale situazione a suo vantaggio.

In pratica quando esiste una vulnerabilità è possibile sfruttare una tecnica che permette di compromettere il sistema.

Il "mondo" delle vulnerabilità va quindi monitorato costantemente: è buona norma, infatti, effettuare delle così dette analisi di vulnerabilità in tutti i software e dispositivi presenti all'interno di una azienda, per capire poi come agire che limitare il rischio.

Di norma quando viene scoperta una vulnerabilità, il produttore rilascia un aggiornamento di sicurezza, che in sostanza va a risolvere il problema. Molti degli ultimi aggiornamenti - ad esempio - dei dispositivi iOS o Windows, hanno proprio questo scopo.

Per questo motivo è importante aggiornare sempre velocemente tutti i propri sistemi o device, come vi ho già detto più volte.

Tornando al tema principale, le vulnerabilità 0-day, ha però una caratteristica che la rende molto insidiosa e pericolosa: ovvero, quando viene scoperta, il produttore del software non ne è al corrente.

Questo significa una sola cosa: nel momento in cui viene scoperta una vulnerabilità 0-day, non esiste ancora un sistema per correggerla e di conseguenza un attaccante può utilizzarla per compromettere un sistema.

Ecco perché sono così pericolore: fino a quando il produttore non è riuscito a correggere il problema rilasciando - come dicevo prima - un aggiornamento, in teoria tutti i sistemi che usano quella componente software sono esposti ad un attacco più o meno grave.

Il report di Mandiant.

L'immagine parla da sola: Mandiant, società tra le più famose in ambito cyber security, ha pubblicato da poco un nuovo report dove mette in evidenza il numero di vulnerabilità 0-day scoperte negli anni.

E' impressionante vedere come, solo nell'ultimo anno, si passi da 30 a 80, quasi il triplo.

Per quale motivo? Beh, i fattori sono principalmente due. Primo, i sistemi informatici sono sempre più complessi e di conseguenza diventa statisticamente più alto il rischio che un componente abbia una vulnerabilità. In secondo luogo, le attività di analisi dei software volte proprio alla ricerca di vulnerabilità, sono sempre più affinate e di conseguenza portano alla luce più evidenze.

C'è poi un fatto importante: un ricercatore di sicurezza che scopre una vulnerabilità 0-day, come deve comportarsi?

Principalmente due sono le strade: la prima è quella di comunicare la vulnerabilità al produttore del software, con un processo che prende il nome di Responsible Disclosure. Una pratica etica volta ad aiutare chi ha scritto il software nel risolvere il problema il più velocemente possibile.

La seconda, beh, tutt'altro che etica, è quella di vendere la vulnerabilità a gruppi di cyber criminali, che la possono sfruttare per attacchi informatici. Purtroppo, le vulnerabilità 0-day vengono pagate molto bene nel dark web, parliamo anche di centinaia di migliaia di dollari....

Project Zero.

Project Zero, per chi non lo conoscesse, è un team all'interno di Google, che si occupa proprio di scovare vulnerabilità zero day.

Nato a metà del 2014, il team di informatici di Google, ha come obiettivo principale quello della ricerca ed analisi di questo tipo di vulnerabilità, a sottolineare l'importanza del tema.

Sul loro blog, potete trovare interessanti analisi e report. Giusto per sfatare un mito, ecco le vulnerabilità 0-day nel mondo Apple:

Certamente poche, ma se confrontate con lo zero degli scorsi anni, diventa evidente comprendere che anche i sistemi iOS hanno i loro punti deboli: addirittura nel 2021 ben 5 vulnerabilità 0-day, un enormità.

La strana storia di Ido Cohen, sparito nel nulla.

Ido Cohen sarebbe un ricercatore di security, creatore della piattaforma DarkFeed. Il condizionale è d'obbligo perché non ci sono al momento conferme su quanto vi sto raccontando. E sarebbe stato scoperto tramite l'uso della procedura EDR.

Questo post è solo per gli iscritti

Iscriviti ora per leggere il post e far parte della community. E' gratis, veloce e sicuro.

Iscriviti ora Hai già un account? Accedi

0-Day: casi in aumento. E la strana storia di Ido Cohen, sparito nel nulla (tramite EDR?)

0-Day: casi in aumento. Cosa significa?

Il report di Mandiant.

Project Zero.

La strana storia di Ido Cohen, sparito nel nulla.

Questo post è solo per gli iscritti

Guarda i post pubblici

Ransomfeed: monitorare gli attacchi informatici. Un progetto Made in Italy.

Scansioni di Stato e Bitcoin rubati (dentro una confezione di popcorn).

Cosa è successo al cellulare di Liz Truss? Storie di cyber security, nel nuovo Podcast Cronache Digitali!

Uber colpita da un attacco informatico. Come limitare i rischi dei gamer. Ancora LastPass.

Iscriviti per ricevere i nuovi post.