Si parla molto in questi giorni delle vulnerabilità “0-day”, ossia quelle minacce informatiche che sfruttano vulnerabilità di applicazioni software che non sono ancora state divulgate e per cui non è ancora stata trovata una soluzione. Il pericolo concreto delle vulnerabilità 0-day è dato dal fatto che sfruttano falle di sicurezza per le quali non è al momento disponibile nessuna risoluzione.
L’argomento è tornato a balzare agli onori della cronaca grazie ad una nuova ricerca dello studio RAND, appena pubblicata, che ha esaminato e analizzato 200 vulnerabilità zero-day in alcuni software a livello mondiale, dimostrando che quasi il 40% di queste sono ancora sconosciute al pubblico e quindi pericolose. Non appena una vulnerabilità 0-day viene individuata, è necessario trovare una patch nel minor tempo possibile.
Positive Technologies, produttore leader nella fornitura di soluzioni di sicurezza aziendale, gestione delle vulnerabilità, analisi delle minacce e protezione delle applicazioni, ha così commentato i risultati dello studio RAND, sensibilizzando gli utenti a muoversi per tempo così da non doversi preoccupare delle vulnerabilità 0-day: “Il numero di vulnerabilità 0 day rivelate di per sé non dice nulla circa i livelli di rischio. Ogni giorno vengono scoperte nuove vulnerabilità 0-days a volte per motivi economici, a volte solo per divertimento. Ad esempio, in uno dei dibattiti sulla sicurezza tenuti durante i Positive Hack Days, in soli 2 giorni sono state trovate 10 vulnerabilità nei software dei Sistemi di Controllo Industriale (SCADA). Alcune di queste sono state già risolte, altre no, ma è quasi impossibile fare qualsiasi previsione a riguardo. L’informazione più interessante riguarda come le vulnerabilità 0-day vengono gestite. Si tratta di un lavoro complicato e costoso. Per quanti sono preoccupati dell’impatto che queste vulnerabilità possono avere sulla sicurezza degli utenti, Positive Technologies dà una buona notizia: solo alcune di queste sono davvero di tipo 0-day. Nella maggior parte dei casi, invece, si tratta di vulnerabilità meno aggressive, economiche e ben note. Un’indagine di Positive Technologies relativa agli incidenti digitali nel 2016 ha rivelato che la maggior parte dei cyber-criminali utilizza metodi semplici ed economici per attaccare, compresi exploit pronti all’uso per vulnerabilità note. Come dire, prima di preoccuparsi che una folata di vento possa spalancare le porte, è necessario appurare che le porte siano chiuse a chiave! Il che significa che password troppo semplici, software obsoleti e l’apertura di qualsiasi mail che arriva nella propria posta elettronica possono essere i problemi principali.”