Video: CryptoVirus: perché bucano gli antivirus e best practice per fermarli (Settembre 2024)
Il secondo martedì di ogni mese, "Patch Tuesday", Microsoft distribuisce patch per bug e falle di sicurezza in Windows e nelle applicazioni Microsoft. Il più delle volte i problemi affrontati includono gravi falle nella sicurezza, errori di programmazione che potrebbero consentire agli hacker di penetrare nella sicurezza della rete, rubare informazioni o eseguire codice arbitrario. Adobe, Oracle e altri fornitori hanno i propri programmi di patch. Un nuovo studio allarmante di NSS Labs suggerisce che, in media, gli hacker hanno circa cinque mesi di accesso illimitato a queste falle di sicurezza tra scoperta iniziale e risoluzione. Esistono mercati peggio ancora specializzati per vendere vulnerabilità appena scoperte.
Il dott. Stefan Frei, direttore della ricerca presso NSS Labs, ha supervisionato uno studio che ha analizzato oltre dieci anni di dati provenienti da due importanti "programmi di acquisto di vulnerabilità". La relazione di Frei sottolinea che tutte le cifre risultanti sono minime; c'è chiaramente molto altro da fare che semplicemente non conoscono. Sulla base di ciò che sanno, il mercato delle informazioni sugli exploit è cresciuto significativamente negli ultimi anni. Dieci anni fa, le due società studiate avevano solo una manciata di vulnerabilità sconosciute in un dato giorno. Negli ultimi anni, tale numero è cresciuto a oltre 150, di cui oltre 50 riguardano i primi cinque fornitori: Microsoft, Apple, Oracle, Sun e Adobe.
Sfrutta in vendita, a buon mercato
Stuxnet e altri attacchi a livello di stato-nazione si basano su molteplici buchi di sicurezza non divulgati per penetrare nella sicurezza. Si presume che i loro creatori paghino enormi dividendi per ottenere l'accesso esclusivo a queste vulnerabilità zero-day. L'NSA ha stanziato $ 25 milioni per l'acquisto di exploit nel 2013. Lo studio di Frei ha rivelato che i prezzi sono ora molto più bassi; ancora elevato, ma alla portata delle organizzazioni criminali informatiche.
Frei cita un articolo del New York Times che ha esaminato quattro fornitori di exploit boutique. Il loro prezzo medio per la conoscenza di una vulnerabilità non ancora divulgata variava tra $ 40.000 e $ 160.000. Sulla base delle informazioni ottenute da tali fornitori, conclude che possono consegnare almeno 100 exploit esclusivi all'anno.
I venditori combattono
Alcuni produttori di software offrono ricompense di bug, creando una sorta di programma di ricerca crowdsourcing. Un ricercatore che scopre una falla di sicurezza precedentemente sconosciuta può ottenere una ricompensa legittima direttamente dal fornitore. È sicuramente più sicuro che occuparsi di cyber criminali o di quelli che vendono a criminali informatici.
Le taglie tipiche dei bug vanno da centinaia a migliaia di dollari. "Mitigation Bypass Bounty" di Microsoft paga $ 100.000, ma non è una semplice ricompensa di bug. Per guadagnarlo, un ricercatore deve scoprire una "tecnica di sfruttamento veramente nuova" in grado di sovvertire l'ultima versione di Windows.
Sei stato violato
I doni di insetti sono buoni, ma ci saranno sempre quelli che scelgono il premio più grande offerto dai fornitori di exploit boutique e dai cyber criminali. Il rapporto conclude che qualsiasi azienda o grande organizzazione dovrebbe presumere che la sua rete sia già stata violata. Bloccare o persino rilevare un attacco zero-day è difficile, quindi il team di sicurezza dovrebbe pianificare il peggio con un piano di risposta agli incidenti ben definito.
Che dire delle piccole imprese e delle reti personali? Il rapporto non parla di loro, ma presumo che qualcuno che ha pagato $ 40.000 o più per l'accesso a un exploit lo avrebbe mirato al più grande obiettivo possibile.
Puoi leggere il rapporto completo sul sito web di NSS Labs.
