10 regole sull'idea di vulnerabilità informatica
In questo nuovo decalogo elaboriamo dei principi per comprendere che cosa siano le vulnerabilità e gli zero day
Benvenute, e benvenuti, a una nuova serie di contenuti, che ho denominato "Il digitale per tutti" e che vi faranno compagnia tutti i venerdì mattina fino alla fine del 2023 su questo blog. Sono, essenzialmente, dei decaloghi nei quali ho elaborato una serie di regole, comprensibili anche per i non esperti, per affrontare singoli temi legati alla cybersecurity e agli attacchi informatici. Il fine è, ovviamente, quello di aumentare la sensibilità nei confronti di questi temi e, di conseguenza, le difese collettive.
Alcune premesse
Si sente spesso parlare, quando si discute di sicurezza informatica, di vulnerabilità.
Le vulnerabilità altro non sono, in molti casi e semplificando molto, che dei difetti di un software o di un servizio che consentono a soggetti malintenzionati di approfittarne per accedere ad aree riservate del sistema o per trafugare dati.
Ci riferiamo, in particolare, a vulnerabilità dei software, dei servizi e delle app che possono anche fare parte di applicazioni e servizi più complessi. Tutto ciò che è informatico ed è connesso in rete può essere vulnerabile.
Queste vulnerabilità possono essere già note alla comunità scientifica e agli utenti – e in tal caso il criminale cercherà sistemi non aggiornati per colpirli – o non ancora conosciute, o, meglio, conosciute soltanto da chi le ha scoperte e sta per usarle o metterle sul mercato per venderle al miglior offerente.
Il secondo tipo di vulnerabilità comprende gli zero days.
I più interessanti tra gli zero days sono quelli che permettono di fare eseguire dei comandi a software già esistenti e che possono compromettere lo strumento stesso sul quale sono installati.
Si chiamano "zero day", nel caso foste curiose/i circa l'origine del nome, perché fino a quando non sono individuate, queste vulnerabilità sono sconosciute e non ci possono essere soluzioni di difesa. Come se si fosse, appunto, al "giorno zero" per iniziare a pensare a una contromisura. Sono di fatto impossibili da contrastare con i sistemi di sicurezza esistenti, e le finestre di vulnerabilità prima che il problema venga risolto possono arrivare a estensioni temporali di mesi.
Il fattore tempo da sfruttare diventa, allora, essenziale per i criminali, e le piccole realtà possono essere più vulnerabili perché più lente nell’adeguare i sistemi.
Contemporaneamente, i criminali hanno strumenti che consentono di vedere chi non si è ancora adeguato ed è vulnerabile, sia per mancanza di competenze del personale, sia per mancanza di fondi che non permettono di attuare piani di contenimento del rischio.
Inquietanti sono anche zero day già noti a società di sicurezza e agenzie e mantenuti segreti e di cui viene perso il controllo, o vengono trafugati. Questi software vengono infatti usati anche per finalità di spionaggio e per installare programmi nelle reti nemiche.
Alcune vulnerabilità sono diventate, in conclusione, delle vere e proprie armi digitali capaci di regalare un vantaggio impagabile a uno Stato rispetto ai rivali. Si pensi al vantaggio militare dato dalla possibilità di poter essere presenti in maniera occulta dentro il sistema o dentro le applicazioni di messaggistica di un Paese ostile.
DIECI regole semplici per comprendere meglio questi temi
- È molto utile, innanzitutto, conoscere il mercato e i broker di zero day per sistemi fissi, ossia per i computer desktop e portatili comunemente utilizzati in ambito lavorativo. Si veda, ad esempio, quanto indicato sul sito Zerodium.
- Molto interessante è conoscere il mercato di zero days per iOS e sistemi mobili Apple.
- Molto utile è conoscere il mercato di zero days per sistemi mobili di telefonia basati su Android.
- Molto utile è studiare il caso di Stuxnet, prima arma digitale contenente diversi zero days che ha avuto rilevanza nella cronaca di tutto il mondo, per comprenderne il funzionamento. Si trattò di un attacco alle centrifughe di una centrale nucleare in Iran.
- Interessante è anche lo studio del caso dei Shadow Brokers e il possibile furto (e conseguente perdita di controllo) di armi digitali anche sviluppate da agenzie governative.
- Fondamentale è comprendere come da uno zero day si possano creare armi derivate e numerose varianti di cui si può perdere il controllo.
- Questo tema dovrebbe far comprendere l’importanza degli aggiornamenti nel sistema della sicurezza informatica. Zero days a parte, anche sistemi non aggiornati (magari da anni) generano vulnerabilità simili.
- Fondamentale è frequentare siti web e forum dove si discute di questi temi.
- Essenziale è anche comprendere la vulnerabilità delle piccole realtà.
- Molto interessante è comprendere il rapporto tra simili armi digitali e i captatori informatici usati dalle Forze dell'Ordine e da Governi.