La sostenibilità per TIM

Bilancio di Sostenibilità 2023

Vogliamo contribuire ad accelerare la crescita sostenibile dell’economia e della società portando valore e benessere alle persone, alle aziende, alle istituzioni. Approfondisci

Ultimi Comunicati Stampa

Redazione ufficio stampa

Leggi gli ultimi comunicati stampa e naviga nell'archivio dell'Ufficio Stampa del Gruppo TIM. Leggi i comunicati

Per vulnerabilità zeroday si intendono i bug di sicurezza di un prodotto non ancora co­nosciuti dal vendor, per i quali non è disponibile una patch correttiva. Oggi rappresen­tano uno dei rischi maggiori per la sicurezza informatica delle aziende e degli stati. Gli zeroday sono considerati dai cybercriminali e dalle entità governative delle risor­se preziose, che consentono attraverso il loro sfruttamento di rubare dati, praticare attività di sorveglianza o spionaggio, oppure distruggere infrastrutture critiche. In questo articolo andremo ad analizzare queste “armi cibernetiche” andando ad esplo­rare cosa sono, i mercati che alimentano, il processo di divulgazione responsabile e le attività di ricerca che vengono svolte in TIM.

Scarica il PDF

Down

Il panorama degli zeroday...

2577 KB

Cosa sono gli zeroday

Ogni prodotto hardware e software contie­ne del codice che a sua volta può contenere degli “errori” (o “falle di sicurezza” o sempli­cemente bug) che possono essere sfruttati da un malintenzionato per poter effettuare accessi illeciti ad una qualsiasi infrastruttu­ra. Tali “errori”, sconosciuti al produttore del software ma conosciuti da un limitato nu­mero di persone, vengono chiamati 0day. Il nome deriva dal fatto che il fornitore ha 0 giorni per correre al riparo e quindi produrre una patch che consenta di rendere quell’er­rore non più sfruttabile da un ipotetico at­taccante.

Zeroday tra etica e cybercrime

Come accennato nell’introduzione, le vulne­rabilità zeroday sono molto pregiate. Una falla che consenta una totale compromissio­ne di un dispositivo iPhone oggi può raggiun­gere il valore di circa tre milioni di euro. Queste vulnerabilità possono essere sfrutta­te per accedere e compromettere completa­mente un dispositivo di un utente, come ad esempio avere il pieno accesso da remoto alla fotocamera e alle chat di uno smartpho­ne. In sintesi, l’accesso a tutte le informazioni e le abitudini di una persona. Va da sé che tali strumenti possono essere utilizzati per monitorare e sorvegliare le at­tività di un individuo, ma possono anche es­sere utilizzati per interrompere un servizio come una filiera di produzione cartacea o addirittura un servizio idrico di una grande città.

Ricercatori di sicurezza
I bug 0day possono essere individuati dai “ricercatori di sicurezza”, professionisti spe­cializzati che esaminano attentamente il software per identificare vulnerabilità di si­curezza ancora sconosciute. Questi esperti, noti anche come “bug hunter”, possono dif­ferire notevolmente l’uno dall’altro in base all’approccio etico che adottano nel loro la­voro.

I broker zeroday
I broker zeroday sono individui o aziende che si pongono come intermediari nell’acquisto e rivendita di vulnerabilità zeroday. Si è os­servato negli ultimi anni che quello degli ze­roday è un mercato in espansione e il prezzo di alcuni di essi, trattandosi di vulnerabilità difficili da reperire, può raggiungere anche milioni di dollari. Uno dei broker zeroday più noto è Zerodium, sito disponibile nel surfa­ce web che consente ad un bug hunter di vendere al broker gli exploit zeroday, ossia il codice (payload) di sfruttamento del bug (Fig.1).

Figura 1: Tabella dei pagamenti per exploit zeroday su dispositivi mobile disponibile sulla pagina web di Zerodium

Clicca qui per ingrandire l'immagine

Nel mercato degli intermediari zeroday sta emergendo anche un altro antagonista, Operation Zero, società russa che ha recentemente aumentato i pagamenti di alcuni exploit su dispositivi mobile, raggiungendo anche i 20 milioni di dollari, un valore decisamente più elevato rispetto a quello offerto da Zerodium.

Cybercrime da profitto

I bug hunter che decidono di non seguire la strada etica (in Fig.2 Gray Hat e Black Hat) possono rivolgersi a intermediari (zeroday broker) oppure mettere direttamente in vendita zeroday ed exploit zeroday su forum nel dark web.

Figura 2: Flusso di gestione di uno zeroday, dalla divulgazione responsabile alla vendita

Clicca qui per ingrandire l'immagine

I loro clienti non sono solo criminali alla ricerca di guada­gni illeciti; spesso gli exploit sono acqui­stati dagli stessi governi e dalle agenzie di intelligence per attività di spionaggio e sorveglianza. Per citare alcuni casi co­nosciuti in letteratura citiamo, Stuxnet ed Eternal Blue (si veda box approfondimen­to). Inoltre, ci sono le aziende che producono sistemi di intelligence e che sono partico­larmente interessate agli exploit zeroday no-click, ossia quelle preziose vulnerabili­tà che non richiedono l’azione degli utenti per entrare in azione. Nello specifico tali bug consentono di in­stallare spyware sui dispositivi senza al­cuna interazione da parte degli utenti che li utilizzano sfruttando ad esempio una chiamata vocale WhatsApp non risposta (come nel caso di Pegasus, un potente spyware creato dall’azienda israeliana NSO Group). Queste aziende sfruttano il mercato degli 0day no-click per migliora­re i loro prodotti e rivenderli ad agenzie di intelligence per eseguire operazioni mira­te verso persone o paesi ostili. Come abbiamo visto in precedenza, NSO Group è una azienda israeliana nota per aver sviluppato diversi spyware, come ad esempio Pegasus e Karma, utilizzati per la sorveglianza dei dispositivi mobile di giornalisti, dissidenti e attivisti in di­versi paesi del mondo e nello spionaggio di stato. Oggi, è stato classificato come arma dallo stato d’Israele, pertanto, qual­siasi esportazione e utilizzo in paesi esteri deve essere approvata dal governo.
In conclusione, i vantaggi che si possono trarre dallo sfruttamento degli zeroday possono essere notevoli, sia dal punto di vista economico che dal punto di vi­sta strategico, dipende dal vantaggio che vuole trarne l’attore che li utilizza. È da tenere in considerazione anche il rischio che si assume chi compra uno zeroday: potrebbe essere emessa una patch cor­rettiva per quella vulnerabilità addirittura a distanza di poche ore dall’acquisto. Per questo generalmente vengono sfrutta­ti dagli attaccanti verso target mirati, al fine di ridurre al minimo la possibilità che tali preziosi exploit possano essere inter­cettati.

La Coordinated Vulnerability Disclosure (CVD)

Esistono diversi modi per divulgare vul­nerabilità zeroday: Coordinate Vulnera­bility Disclosure, divulgazione pubblica, divulgazione a terze parti o a programmi di bug bounty privati. La Coordinated Vulnerability Disclosure è probabilmente la più etica, che prevede la comunicazione delle vulnerabilità zero­day da parte del bug hunter direttamente al vendor, in via confidenziale, consen­tendo al vendor stesso di emettere una patch di sicurezza prima della diffusione pubblica. La divulgazione etica rappre­senta un vantaggio per l’intera comunità a discapito del cyber crime. Nella CVD, i ricercatori che individua­no una potenziale vulnerabilità zeroday, contattano il vendor del prodotto vul­nerabile per segnalare il bug. Il quale, dopo un’analisi interna, può riconoscere o meno la vulnerabilità come zeroday e nel caso positivo avvia lo sviluppo di una patch correttiva; contestualmente, se il vendor non è una CNA (CVE Numbering Authorities), i ricercatori richiedono un identificativo univoco chiamato Common Vulnerabilities and Exposures (CVE) ad un ente no-profit degli Stati Uniti d’Ameri­ca chiamato MITRE. Si tratta di un codice univoco che viene assegnato a ciascuna vulnerabilità. Nel momento in cui la patch di sicurezza viene rilasciata al pubblico, i ricercatori, in accordo con il vendor, pro­cedono a richiedere al MITRE la divulga­zione dello 0-day. Questo sarà disponibile pubblicamente nel National Vulnerability Database (NVD) statunitense con asso­ciata una Severity, ovvero una valutazio­ne in scala 1 a 10 della criticità del bug di sicurezza rilevato.

Un cenno sui bug bounty program
Alcune aziende hanno avviato dei pro­grammi di bug bounty che gli hanno con­sentito di beneficiare delle competenze della comunità degli hacker etici. Nello specifico un programma di bug bounty è un programma promosso da un’azienda attraverso il quale fornisce una ricompen­sa, in denaro o altre forme di premi, a co­loro che identificano e segnalano un bug di sicurezza non documentato sui prodot­ti dell’azienda. Le ricompense rilasciate sono molto inferiori ai guadagni che un hacker non etico potrebbe ottenere ven­dendoli in autonomia o attraverso un in­termediario di vulnerabilità come visto in precedenza.

Il lavoro di ricerca in TIM

La storia e i numeri
A partire dalla fine del 2019, la funzione coordinata da Massimiliano Brolli all’interno della Security di TIM ha avviato il processo di Coordinated Vulnerability Disclosure (CVD) nell’ambito delle attività di ethical hacking (Red Team). Il processo aderisce alla Coordinated Vulnerability Disclosure descritta sopra e prevede la divulgazione pubblica, previo consenso del vendor, quando sarà emessa la patch di sicurezza. Il processo adottato in TIM prevede che prima della pubblicazione, qualora il vendor non sia una CNA (e quindi capace di assegnare autonomamente le CVE) venga svolta una verifica in campo per valutare che la patch rilasciata dal vendor, ed installata sull’infrastruttura di TIM, sia stata efficace nella risoluzione del problema di sicurezza segnalato (Fig.3).

Figura 3: Processo di alimentazione della ricerca degli zeroday in TIM e Coordinated Vulnerability Disclosure

Clicca qui per ingrandire l'immagine

Fino a febbraio 2024 sono state inoltrate ai vendor 230 segnalazioni di bug zeroday, di cui 130 riconosciuti, risolti e pubblicati. In TIM cerchiamo sempre di promuovere con questi l’importanza della divulgazione responsabile delle vulnerabilità (Fig.4).

Figura 4: Sintesi del lavoro di ricerca in TIM

Clicca qui per ingrandire l'immagine

Infatti, questo processo adottato, oltre ad aiutare i vendor nell’identificazione di nuove vulnerabilità, comporta una serie di altri vantaggi:

  • gli amministratori di sistema sono più solerti nell’installare una patch di sicurezza una volta che i dettagli dell’exploit sono stati resi pubblici;
  • i fornitori di strumenti di protezione perimetrale potranno aggiornare le policy e far sì che il loro software intercetti e blocchi il “payload” ormai pubblico;
  • i fornitori di soluzioni per l’esecuzione di Vulnerability Assessment potranno aggiornare il loro software al fine di rilevare le nuove vulnerabilità;
  • altri vendor potranno prendere spunto e verificare se hanno replicato lo stesso problema di sicurezza su prodotti analoghi.

Cenni sulle vulnerabilità più critiche rilevate
Nel corso dell’attività di ricerca del Red Team di TIM si vogliono citare alcuni degli impatti più critici rilevati:

  • un malintenzionato privo di credenziali, ma attestato nella rete TIM avrebbe potuto disabilitare le dorsali in fibra ottica di tutta TIM;
  • un malintenzionato, con accesso alla rete aziendale, avrebbe potuto aprire qualsiasi varco all’interno degli edifici di TIM (compresi i data center);
  • un malintenzionato avrebbe potuto manomettere la temperatura dei refrigeratori necessari alla corretta conservazione dei medicinali compromettendone l’utilizzo (vulnerabilità rilevata durante la pandemia per Covid-19 per cui è stato emesso uno speciale bollettino di sicurezza da CISA - Cybersecurity & Infrastructure Security Agency degli Stati Uniti d’America).

Principali tecniche per identificare gli zeroday

I ricercatori di sicurezza giocano un ruolo fondamentale nell’individuare vulnerabilità zeroday utilizzando una serie di strumenti e tecniche manuali sofisticate. Generalmente il primo passo per scoprire una vulnerabilità zeroday è avere una comprensione approfondita del funzionamento interno del software e delle tecnologie che si intendono esaminare. Questo richiede una buona conoscenza dei linguaggi di programmazione, dei protocolli di comunicazione e delle architetture di sistema. Esaminiamo adesso quali sono i metodi, le tecniche e le pratiche più comuni per trovare vulnerabilità zeroday per un bug hunter.

Analisi statica e dinamica
Le tecniche di analisi statica e dinamica sono fondamentali per individuare vulnerabilità nei codici sorgente e nei programmi in esecuzione. Gli strumenti di analisi statica esaminano il codice senza eseguirlo, cercando pattern ed errori comuni, come buffer overflow o problemi di gestione della memoria. D’altra parte, l’analisi dinamica coinvolge l’esecuzione del software in un ambiente controllato, monitorando il suo comportamento per rilevare eventuali anomalie o vulnerabilità.
Tool comunemente usati:

  • analisi statica: SonarQube, Fortify Static Code Analyzer, Checkmarx, Bandit (Python);
  • analisi dinamica: Burp Suite, OWASP ZAP, Acunetix.

Reverse engineering
È una pratica comune tra i ricercatori di sicurezza per comprendere il funzionamento interno del software e identificare potenziali vulnerabilità. Questo processo coinvolge l’analisi dei file binari per comprendere la logica del programma, individuare funzionalità nascoste o vulnerabilità di sicurezza.
Tool comunemente usati:

  • IDA Pro, Ghidra, Radare2, gdb, Cutter.

Fuzzing
Si tratta di una tecnica automatizzata utilizzata per scoprire vulnerabilità attraverso l’iniezione di dati casuali o semi-casuali nel software al fine di provocare errori o crash. Gli strumenti di fuzzing possono essere configurati per testare diversi input e scenari, esplorando il software in modo esaustivo alla ricerca di vulnerabilità.
Tool comunemente usati:

  • AFL++(American Fuzzy Lop), Wfuzz, Hongfuzz, libFuzzer, Jazzer, OSSFuzz, Synopsys.

Penetration testing
È un’attività in cui un ricercatore di sicurezza simula un attacco informatico contro un sistema o una rete per identificare e sfruttare vulnerabilità. Anche attraverso questa metodologia, i Penetration Tester hanno la possibilità scoprire vulnerabilità zeroday.
Tool comunemente usati:

  • Metasploit, Nmap, Nessus, BurpSuite, Sqlmap.

Conclusioni

La vendita delle vulnerabilità zeroday è considerata una pratica altamente controversa che fa molto discutere poiché considerata poco etica. Il commercio di tali vulnerabilità contribuisce alla ricchezza di pochi danneggiando molti. Per questo motivo in TIM ci battiamo per la divulgazione etica. Dal 2019 contribuiamo attivamente alla divulgazione etica e responsabile delle vulnerabilità zeroday, supportando i vendor nella risoluzione dei bug e diffondendo l’importanza della divulgazione etica delle vulnerabilità. Abbiamo supportato alcuni vendor, con cui collaboriamo, nell’adesione al programma CNA (CVE Numbering Authorities), sponsorizzandolo come un percorso di crescita e arricchimento sia per l’azienda stessa e soprattutto per i suoi clienti.

Acronimi

CISA     Cybersecurity and Infrastructure Security Agency

CNA     CVE Numbering Authorities

CVD     Coordinated Vulnerability Disclosure

CVE     Common Vulnerabilities and Exposures

NSA     National Security Agency

NVD     National Vulnerability Database

PLC Programmable Logic Controller