Gli hacker stanno sfruttando da anni gli stessi tipi di vulnerabilità del software perché le aziende non mettono in atto rimedi a lungo termine.
di Patrick Howell O’Neill
A dicembre del 2018, i ricercatori di Google hanno rilevato un gruppo di hacker con gli occhi puntati su Internet Explorer di Microsoft, che rappresenta una potenziale porta aperta all’accesso a miliardi di computer. In questi ultimi due anni, gli hacker hanno scovato difetti precedentemente sconosciuti, noti come vulnerabilità 0-day. Microsoft ha rilasciato una patch e ha risolto il problema, ma nel settembre 2019 un’altra vulnerabilità simile è stata sfruttata dallo stesso gruppo di hacker.
Altre scoperte a novembre 2019, gennaio e aprile 2020 hanno aggiunto fino ad almeno cinque vulnerabilità 0-day sfruttate dalla stessa classe di bug in breve tempo. Microsoft ha rilasciato una serie di aggiornamenti di sicurezza che in parte non sono riusciti a risolvere la vulnerabilità presa di mira e dall’altra hanno richiesto solo lievi modifiche a una o due righe per far funzionare nuovamente l’exploit.
Secondo un nuovo studio di Maddie Stone, una ricercatrice sulla sicurezza di Google, questa saga è emblematica di un problema molto più grande nella sicurezza informatica, vale a dire l’estrema facilità con cui gli hacker sfruttano le debolezze dei sistemi in quanto le aziende non stanno facendo un buon lavoro per eliminare difetti in modo permanente.
La ricerca di Stone, che fa parte di un team di sicurezza di Google noto come Project Zero, fornisce diversi esempi, tra cui i problemi che la stessa Google ha avuto con il suo popolare browser Chrome. “Le patch incomplete stanno rendendo il lavoro facile agli hacker”, ha detto Stone qualche giorno fa a Enigma, una conferenza sulla sicurezza. “Non mettiamo chi attacca i sistemi nelle condizioni di inventare nuove classi di bug, sviluppare nuovi exploit, gestire codice che non è mai stato studiato prima, ma stiamo consentendo il riutilizzo di molte vulnerabilità diverse di cui eravamo a conoscenza”.
Obiettivi facili da raggiungere
Project Zero opera all’interno di Google come un team unico, interamente dedicato alla ricerca degli enigmatici difetti del 0-day. Questi bug sono apprezzati dagli hacker di tutti i tipi perché nel nostro mondo iperconnesso sono più potenti. Nel corso dei suoi sei anni di vita, il team di Google ha monitorato pubblicamente oltre 150 principali bug 0-day e nel 2020 il team di Stone ha documentato 24 0-day, un quarto dei quali estremamente simili a vulnerabilità precedentemente rivelate. Tre sono state corrette in modo incompleto, il che significa che sono bastate alcune modifiche al codice dell’hacker perché l’attacco continuasse a funzionare. Molti di questi attacchi, dice, implicano errori di base.
Per gli hacker, “sono obiettivi facili da raggiungere”, ha detto Stone. “Una volta compreso uno solo di questi bug, è possibile modificare solo poche righe e continuare l’attacco 0-day”. Perché non si interviene con più decisione? La maggior parte dei team di sicurezza che lavorano nelle società di software hanno tempo e risorse limitati, egli suggerisce, e controllano solo di aver risolto la vulnerabilità specifica di fronte a loro invece di affrontare i problemi più grandi alla radice di molte vulnerabilità.
“Nel peggiore dei casi, un paio di 0-day che ho scoperto erano un problema del fornitore che interveniva su una riga di codice e lasciava inalterato lo stesso identico tipo di vulnerabilità nella riga di codice successiva. “Possiamo parlare tutti finché non siamo blu in faccia”, afferma John Simpson, ricercatore di vulnerabilità presso la società di sicurezza informatica Trend Micro, “ma se le organizzazioni non hanno la struttura giusta per fare qualcosa di più che correggere il bug segnalato, difficilmente si otterranno patch di qualità”.
Gran parte del cambiamento si riduce a questioni di tempo e denaro. E’ necessario dare agli ingegneri più spazio per indagare su nuove vulnerabilità di sicurezza, trovare la causa principale e risolvere i problemi più profondi che spesso emergono nelle singole vulnerabilità. Si possono anche completare l’analisi delle varianti e cercare la stessa vulnerabilità in luoghi diversi o altre vulnerabilità negli stessi blocchi di codice, spiega Stone.
L’esempio di Apple
Alcuni stanno già provando approcci diversi. Apple, per esempio, è riuscita a risolvere alcuni dei rischi per la sicurezza più gravi dell’iPhone eliminando le vulnerabilità a un livello più profondo. Nel 2019 un’altra ricercatrice di Google Project Zero, Natalie Silvanovich, ha fatto notizia quando ha presentato bug critici 0-click e 0-day nell’iMessage di Apple. Questi difetti consentivano a un utente malintenzionato di prendere il controllo dell’intero telefono di una persona senza mai richiedere alla vittima di fare nulla (Nel dicembre 2020, una nuova ricerca ha rilevato una campagna di hacking contro i giornalisti che sfruttano un altro attacco zero-day e 0-click contro iMessage).
Invece di affrontare in modo restrittivo le vulnerabilità specifiche, l’azienda è entrata nelle viscere di iMessage per affrontare i problemi strutturali che gli hacker stavano sfruttando. Sebbene Apple non abbia mai detto nulla sulla natura specifica di questi cambiamenti – ha appena annunciato una serie di miglioramenti con il suo aggiornamento software iOS 14 – Samuel Groß di Project Zero ha recentemente analizzato attentamente iOS e iMessage e ha dedotto ciò che era accaduto.
L’app è ora isolata dal resto del telefono con una funzionalità chiamata BlastDoor, scritta in un linguaggio chiamato Swift che rende più difficile per gli hacker l’accesso alla memoria di iMessage. Apple ha anche modificato l’architettura di iOS in modo che sia più difficile accedere alla cache condivisa del telefono.
Infine, Apple ha impedito agli hacker di provare attacchi di “forza bruta” più e più volte in rapida successione. Le nuove funzionalità di limitazione significano che gli exploit che una volta potevano richiedere minuti possono ora richiedere ore o giorni per essere completati, rendendoli molto meno allettanti per gli hacker.
“È fantastico vedere Apple mettere da parte le risorse per questo tipo di grandi refactoring per migliorare la sicurezza degli utenti finali”, ha scritto Groß. “Questi cambiamenti evidenziano anche il valore del lavoro di sicurezza preventivo: non solo i singoli bug sono stati corretti, ma sono stati apportati miglioramenti strutturali sulla base delle conoscenze acquisite dal lavoro di sviluppo degli exploit”.
Le conseguenze degli attacchi degli hacker diventano maggiori man mano che diventiamo sempre più connessi, il che significa che è più importante che mai per le aziende tecnologiche investire e dare la priorità ai principali problemi di sicurezza informatica che possono provocare intere famiglie di vulnerabilità e exploit.
“Investite, investite, investite”, dice Stone che consiglia alle aziende di dare agli ingegneri il tempo di indagare a fondo sulla causa principale delle vulnerabilità e creare patch, di lasciarli liberi di eseguire analisi delle varianti e di ricompensare adeguatamente il lavoro per ridurre il gap tecnico, concentrandosi sulle correzioni sistemiche.
Foto: Lewis Ngugi / Unsplash
