Prima di addentrarci tra le dinamiche di mercato della vendita di zero-day, è importante sottolineare che esistono principalmente due famiglie di questa particolare minaccia: quella delle vulnerabilità zero-day e quella dei malware zero-day.
Una vulnerabilità zero-day è una qualunque vulnerabilità di un software non nota ai suoi sviluppatori o da essi conosciuta ma non gestita.
Uno zero-day exploit è un qualunque programma che sfrutti una vulnerabilità zero-day per causare effetti indesiderati.
Queste vulnerabilità sono estremamente importanti ed hanno un forte impatto sul mondo della sicurezza informatica. La loro criticità è evidente: chiunque sia a conoscenza della debolezza di un software, ignota ai suoi stessi creatori, potrà utilizzarla a proprio favore sicuro di portare a buon fine i propri attacchi.
Un malware zero-day è invece un virus non pubblicamente conosciuto in quanto nuovo o in quanto drastica variazione di un programma preesistente e quindi molto difficilmente identificabile dalle soluzioni antivirus.
Essendo sconosciuto non saranno ad esempio note le sue “firme”, rendendo complessa, se non impossibile, una signature analysis da parte degli antivirus.
Proprio sulla capacità di identificare e mitigare gli effetti di virus e malware zero-day si è concentrata la competizione commerciali delle principali case produttrici di sistemi di sicurezza informatica.
Nel seguito dell’articolo tratteremo principalmente la famiglia delle vulnerabilità zero-day, la seconda verrà affrontata solo brevemente per motivi di chiarezza e completezza.
Indice degli argomenti
Cosa viene venduto nei mercati di zero-day
In questi market virtuali vengono vendute le specifiche delle vulnerabilità zero-day o direttamente i codici malevoli in grado di sfruttarle, cioè gli exploit.
Le vulnerabilità e gli exploit zero-day sono assimilabili, come tipologia di prodotto, a film, musica ed ebook in quanto beni digitali, ma con una fondamentale differenza legata all’andamento del loro valore.
Film, ebook e musica digitale hanno un basso valore in quanto facilmente riproducibili e distribuibili. Le vulnerabilità zero-day hanno invece un altissimo valore che però perdono rapidamente appena vengono rese pubbliche.
Va comunque sottolineato che le vulnerabilità zero-day non sono le più scambiate sul mercato, anzi: nella realtà sono estremamente rare e per questo particolarmente preziose.
Quelle che si trovano con maggior frequenza sono le cosiddette vulnerabilità half-day: queste non sono altro che zero-day recentemente rese note al pubblico o ai vendor interessati.
Le half-day hanno comunque un elevato valore perché possono passare diversi giorni, se non mesi, prima che il produttore del software vulnerabile, una volta venuto a conoscenza del problema, ne rilasci una versione sicura e ancora più tempo prima che quest’ultima venga installata dagli utenti finali.
Le tipologie di mercato per le vulnerabilità zero-day
Esistono fondamentalmente tre tipi di mercati per le vulnerabilità zero-day, quelli diretti, quelli intermediati e il mercato nero.
Il mercato diretto delle vulnerabilità zero-day
Un esempio di mercato diretto è l’iniziativa “Chrome Vulnerability Reward Program”. In questo caso è Google stessa ad offrire un programma di bug bounty per identificare nuove vulnerabilità dei propri sistemi in cambio di premi in denaro.
La remunerazione ottenuta dai programmi di bug bounty diretta è quasi sempre inferiore a quella ottenibile dagli altri due tipi di mercati.
I mercati intermediati delle vulnerabilità zero-day
Nel caso dei mercati intermediati non sono le case produttrici di software a trattare direttamente con i ricercatori, sono invece dei broker a farlo. Questi hanno il compito di convalidare le vulnerabilità zero-day scoperte e, in base alla loro criticità, pagare gli scopritori.
Esistono diverse realtà consolidate di questo tipo, alcuni dei siti più famosi sono:
- zeronomi.com
- zerodium.com
- netragard.com
- zerodaytechnology.com
- Zerodayinitiative.com
I siti di questo tipo sono completamente legali, in quanto si limitano a validare e retribuire le vulnerabilità scoperte dai diversi ricercatori di cyber security.
La remunerazione offerta per un exploit su questi siti è quasi sempre superiore a quella ottenibile dai programmi diretti di bug bounty, ma inferiore a quella ottenibile sui mercati neri.
Questi tipi di mercati e siti sono diventati estremamente popolari grazie alla loro relativa facilità d’uso, reputazione, legalità, e capacità di remunerazione.
Un esempio su tutti di questa capacità di remunerazione possiamo averlo da Zerodium, che il 9 aprile 2021 ha aumentato le ricompense per gli zero-day RCE su WordPress a trecentomila dollari per exploit.
Il mercato nero delle vulnerabilità zero-day
In ultimo vediamo i mercati neri: questi non hanno nulla di ufficiale e vivono su siti privati o semi-privati. E.g., sezioni protette da password di forum o di altri exchange di merce illecita.
In questa ultima tipologia di mercati i venditori offrono i loro zero-day ai possibili compratori. Nel caso un compratore sia interessato ad un particolare exploit, la trattativa sarà svolta da un intermediario che, godendo di buona reputazione, avrà il compito di garantire gli interessi di tutti gli attori coinvolti.
Questo tipo di mercato è più remunerativo delle bug bounty o dei mercati ufficiali intermediati, al netto di un maggiore rischio legato alla loro illegalità e anonimato.
È anche interessante osservare una particolare evoluzione nel tipo di prodotti venduti sui mercati neri.
Sempre più spesso non viene venduto uno zero-day, ma l’accesso ottenuto attraverso l’utilizzo dello stesso. In pratica l’hacker di turno non vende la vulnerabilità che ha individuato, ma la sfrutta, ottiene accesso ad un sistema e vende questo accesso sul mercato nero.
In questo modo preserva l’esistenza dello zero-day, che non viene mai diffuso.
Questo tipo di servizio offerto è noto come “access-as-a-service”, sulla falsariga degli acronimi per i servizi cloud.
La valuta usata nelle transazioni di vulnerabilità zero-day
Nei mercati ufficiali e in quelli intermediati la valuta è quasi sempre in dollari e vengono effettuati i pagamenti in bonifici.
Nei mercati neri le valute e le modalità di pagamento vengono scelte principalmente per garantire l’anonimità e la sicurezza delle transazioni.
Le principali valute digitali e piattaforme di pagamento online utilizzate sono WebMoney, Bitcoin e Liberty Reserve (fino alla sua chiusura nel 2013). Altre soluzioni, meno frequenti, sono Pecunix, AlertPay, PPcoin, Feathercoin, Zerocoin e varie altre cryptocurrency.
Attualmente non è certo quale sia la valuta più utilizzata in quanto il mercato è molto fluido, oltre che di difficile analisi, vista l’intrinseca sicurezza ed anonimità.
La struttura dei mercati di vulnerabilità zero-day
La struttura dei mercati ufficiali è semplice e ben definita: da una parte abbiamo chi ricerca le vulnerabilità, dall’altra la casa produttrice di software, o un suo intermediario, disposta a riconoscere una somma di denaro nel caso in cui la scoperta del ricercatore fosse fondata.
Nel caso del mercato nero la struttura è molto più complessa, questo sempre nell’ottica di garantire anonimato e sicurezza alle transazioni.
Possiamo visualizzare la struttura del mercato nero come una piramide. In cima troviamo gli amministratori che gestiscono l’intera infrastruttura.
Subito al di sotto troviamo gli esperti di vari settori dell’Information Security, come la crittanalisi o la scrittura di malware. È a questo livello che in genere vengono ricercati e sviluppati gli zero-day.
Abbiamo poi i broker, gli intermediari tra la cima e la base della piramide.
Base della piramide costituita dai compratori e i dai cosiddetti “muli”, cioè persone o servizi che si occupano dei trasferimenti di denaro o della merce acquistata – in questo caso dello zero-day con annessa documentazione.
L’accesso alla base della piramide è semplice, non occorrono particolari conoscenze o reputazione. Interfacciarsi invece con gli amministratori ed i membri più esperti richiede uno standing elevato o delle garanzie.
Una volta venivano utilizzati bullettin boards e sistemi di messaggistica automatica come IRC, ICQ, Jabber e QQ. L’evoluzione della tecnologia ha portato a comunicare utilizzando strumenti e canali sempre più protetti e riservati – Tor, Freenet, Invisible Internet Project (I2P), account di Twitter privati, Gnu Privacy Guard (GPG) e molti altri.
I sistemi di comunicazione seguono dei trend, come Tor, che pur non essendo una nuova tecnologia vede un utilizzo crescente.
Che tipo di domanda esiste per le zero-day?
La domanda per queste vulnerabilità è alta e suddivisa tra molteplici attori con scopi differenti.
Il primo esempio sono le case produttrici di software alla ricerca di bachi nei loro prodotti, queste possono lanciare delle iniziative di bug bounty aperte al pubblico, come quella di Chrome accennata poco sopra, creando così dei mercati ufficiali per questo tipo di scambi.
Un’altra tipologia di attore classica è rappresentata dalle agenzie di sicurezza di stati sovrani che acquistano vulnerabilità zero-day per poter mettere in sicurezza le proprie infrastrutture critiche, anche collaborando con gli sviluppatori dei software interessati.
Accade altrettanto spesso che queste stesse agenzie comprino vulnerabilità ed exploit zero-day non per fini difensivi, ma per tenerli nascosti accumulando un vero e proprio cyber-arsenale da utilizzare per fini offensivi.
Quest’ultima attività ha diverse conseguenze sul piano etico e su quello di gestione del rischio. In primo luogo, tenendo nascoste queste vulnerabilità, se ne rende impossibile la messa in sicurezza per il grande pubblico. In secondo luogo, si rischia che un accesso non autorizzato a questo arsenale renda disponibile all’intruso una incredibile quantità di nuovi tool per effettuare i propri attacchi.
Questo è quello che è successo, secondo Microsoft, con l’ormai leggendario EternalBlue. L’NSA era sicuramente a conoscenza della vulnerabilità zero-day dietro questo exploit ma ha deciso di non portarla all’attenzione di Microsoft, di fatto impedendo la messa in sicurezza del protocollo SMBv1 con conseguenze nefaste come l’incredibile proliferazione del ransomware WannaCry.
Esistono anche attori e gruppi malevoli interessati a queste vulnerabilità, molti gruppi dietro le Advanced Persistent Threat, ad esempio, utilizzano gli zero-day e gli half-day di routine nei loro processi di attacco.
I prezzi delle vulnerabilità zero-day
Come abbiamo già potuto vedere, le vulnerabilità zero-day sono altamente time-sensitive.
Hanno un valore molto alto fino a quando non vengono rese pubbliche e, come vulnerabilità half-day, mantengono comunque un discreto valore nelle settimane immediatamente successive alla disclosure.
I programmi ufficiali di bug bounty generalmente offrono cifre decisamente inferiori per gli zero-day rispetto a quelle potenzialmente ottenibili sul mercato nero.
In questo tipo di mercato il prezzo di una vulnerabilità zero-day è dettato da diversi fattori, come la sua complessità, la facilità di sfruttarla con un exploit, la diffusione del software in cui è stata trovata.
Ad esempio, zero-click zero-day, cioè exploit che non richiedono alcuna interazione da parte dell’utente, oppure zero-day di software molto diffusi come SAP, avranno un valore estremamente alto.
I prezzi possono andare dalle poche migliaia di dollari al mezzo milione, esistono stime più alte ma sono spesso sensazionalistiche e non basate su dati reali.
Secondo alcuni ricercatori accademici il valore di uno zero-day sul mercato nero può arrivare ad essere dalle dieci alle cento volte superiore a quello dei mercati diretti o intermediati.
Questa asimmetria tra mercati sta portando, nel tempo, ad un aumento importante delle ricompense offerte dalle aziende ai ricercatori che individuano bug di questo tipo. Un esempio sono le bug bounty di Google che vanno dai duemila ai cinquemila dollari per exploit non legati a Chrome, fino a centocinquantamila per quelli più critici legati al noto browser made in Mountain View.
Le normali regole di mercato di domanda e offerta valgono anche nel mondo degli zero-day.
Ad esempio, nel mese di maggio del 2020 Zerodium ha interrotto l’acquisto di zero-day per Apple iOS perché il mercato ne era saturo.
Gli zero-day più famosi
Diverse vulnerabilità “giorno zero” sono finite sotto i riflettori della cronaca a causa del loro impatto, qui di seguito un elenco dei più noti.
Stuxnet
Il celebre virus/worm che attaccando i sistemi SCADA ed in particolare i PLC della centrale di arricchimento dell’uranio di Natanz ha sabotato gli sforzi nucleari Iraniani era basato sullo sfruttamento di quattro vulnerabilità zero-day di Windows.
Operation Aurora
Nel Gennaio 2010 un massiccio attacco ha bersagliato diversi colossi americani, tra questi Google, Juniper Networks, Morgan Stanley, Dow Chemical, Symantec, e Yahoo.
Per questo attacco sono state utilizzate vulnerabilità zero-day di Internet Explorer e una vulnerabilità in Perforce, il software di code revisioning utilizzato da Google per gestire la propria codebase.
Per quanto riguarda Google gli attaccanti, apparentemente organici a Pechino, sono riusciti ad ottenere alcune informazioni su due account Gmail di dissidenti cinesi.
SecurID hack
A metà 2011 il gigante della two-factor authentication RSA SecurID ha subito un attacco molto sofisticato che ha portato alla compromissione del proprio network.
Un dipendente della società, vittima di una campagna di spear phishing, ha erroneamente scaricato ed aperto un file Excel malevolo.
In seguito all’apertura del file è stata sfruttata una vulnerabilità zero-day in Adobe Flash che ha permesso l’utilizzo del sistema di controllo remoto ‘Poison Ivy’ per ottenere l’accesso ad alcune macchine e server all’interno del network di RSA.
Conclusioni
Nuove vulnerabilità zero-day, e conseguenti half-day, vengono scoperte di continuo.
Nel 2018, secondo diversi whitepaper accademici, quasi il 70% degli attacchi avvenuti con successo contro endpoint aziendali hanno utilizzato exploit di questo tipo.
Come tutti ben sappiamo, un approccio che garantisca rischi zero non esiste, tantomeno in un ambito complesso come questo.
Il modo migliore per affrontare le minacce legate agli zero-day è avere una robusta security posture, che preveda un patch management efficace e rapido, a cui affiancare soluzioni di intrusion detection e prevention di alto livello.