Vita e costi di uno zero-day: nuovi dettagli sul mercato dei cyberattacchi

Quando un governo tiene nascosto un attacco informatico che sfrutta una vulnerabilità sconosciuta, c’è almeno il 5 per cento di possibilità che altri soggetti - Stati rivali, cybercriminali, hacker indipendenti - trovino la stessa falla. E la usino a loro volta. In alcuni casi però questa probabilità può salire oltre il 20 per cento. Del resto, vendere attacchi di questo tipo rende bene: gli exploit - i codici di attacco che sfruttano vulnerabilità - pagati dai governi costano in media tra i 50 e i 100mila dollari, ma possono salire a 300mila. E in alcuni casi arrivare oltre un milione. Basta meno di un mese per sviluppare un attacco per una falla, e il costo di tale sviluppo è di 29mila dollari. Uno sviluppatore di exploit che si inserisca in questo mercato guadagna in media 150mila dollari l’anno. Mentre i compensi che arrivano dai programmi di bug bounty, i premi messi in palio dalle aziende per chi segnala loro dei bachi, restano decisamente inferiori. In cambio, sappiate che marzo (e non solo agosto) è un mese di fiacca nella produzione di exploit. Se volete comprarne uno, il periodo ottimale è gennaio.

Dopo il caso Cia-Wikileaks

Sono solo alcuni dei dati emersi in questi giorni che stanno gettando un po’ di luce sul mercato degli attacchi informatici, solitamente molto opaco. Ma andiamo per punti. Le ultime rivelazioni di Wikileaks sulla Cia hanno riacceso i riflettori sul mondo della compravendita e dello scambio di vulnerabilità. Negli oltre 8mila documenti rilasciati dal gruppo di Julian Assnage lo scorso 7 marzo spiccavano infatti alcune informazioni su software malevoli, trojan, e zero-days (vulnerabilità molto pregiate, perché note ancora solo agli attaccanti), usati dall’agenzia di intelligence per le proprie operazioni.

In particolare erano indicate alcune decine di exploit - codici di attacco che sfruttano una data vulnerabilità - mirati ai sistemi mobili di Apple (iOS) e Google (Android), ma anche a sistemi Windows, macOS and Linux. Google, Apple e Microsoft hanno poi fatto sapere di aver chiuso (in alcuni casi già da prima della pubblicazione online) gran parte delle falle indicate nei documenti della Cia - i quali vanno dal 2013 al 2016. E che stavano lavorando sulle rimanenti.

Tutto ciò in attesa di capire cosa voglia fare Wikileaks dei software e degli exploit veri e propri, cioè del loro codice, che a suo dire sarebbe in suo possesso: se passarlo alle aziende interessate dalle falle in modo da permettere loro di studiare in dettaglio gli attacchi (e difendersi), oppure pubblicarlo online o altro.

Il mercato degli exploit e il ruolo dei governi

Ma intanto si è riaperto il dibattito sull’acquisto e utilizzo di attacchi da parte dei governi, delle loro diverse agenzie, e di aziende. Un grande e confuso bazar diviso in settori - come avevamo raccontato in questo reportage - in cui gli Stati giocano un ruolo di primo piano. Di fatto contribuendo - secondo i critici di questo mercato - all’insicurezza informatica. Come? A grandi linee, quando un governo viene a conoscenza di una vulnerabilità in un software può decidere di comunicarla ai produttori dello stesso in modo da far chiudere la falla; oppure può decidere di tenerla nascosta per usarla contro altri in operazioni offensive (o, come vedremo, anche solo come mezzo di intelligence). In questo secondo caso però l’interrogativo cruciale è il seguente: nel mentre chi e quanti altri soggetti - Stati, loro agenzie, criminali - potrebbero scoprire la stessa falla e usarla? E quindi più in generale: quanto è alta la probabilità che una vulnerabilità trovata da qualcuno sia individuata e usata autonomamente anche da altri?

Sulla risposta a questa domanda si gioca la risposta politica di come gestire gli zero-day da parte dei governi. Perché più è alta la probabilità che altri trovino la stessa falla e la usino, più tenerla nascosta rende insicuro l’ecosistema digitale. Se invece tale probabilità fosse bassa o quasi nulla, i governi si eviterebbero l’accusa di alimentare l’insicurezza.

Ora, la buona notizia è che a distanza di tre giorni dalla pubblicazione di Wikileaks, sono usciti due diversi e autorevoli studi che ambiscono a definire proprio questa probabilità. La cattiva notizia è che usano dati e metodologie diverse, arrivando a diverse conclusioni. Ma vale la pena di raccontarli perché restano una miniera di informazioni sul mondo degli attacchi informatici.

Lo studio RAND

Il primo di questi studi è della RAND Corporation - noto think tank di ricerca americano (con forti legami col governo Usa) - ed è molto dettagliato. Ma soprattutto arriva a due conclusioni: l’aspettativa di vita media di un exploit è piuttosto lunga (6,9 anni); e dopo un anno dalla loro prima scoperta, la percentuale di vulnerabilità che venivano riscoperte da altri era del 5,7 per cento. Questo valore viene anche chiamato tasso di collisione e si riferisce al fatto che due (o più) ricercatori trovino la stessa vulnerabilità in modo indipendente. “È importante chiarire che il tasso di collisione varia a seconda dell’intervallo di tempo preso in considerazione”, commenta la co-autrice del report, Lily Ablon, a La Stampa. “Il nostro variava da meno dell’1 per cento (su 90 giorni di intervallo) fino al 40 per cento (su 14 anni, il periodo in cui si estendeva il campione di dati, ndr)”. Lo studio RAND si basa infatti sull’analisi di 200 zero days (fornite da un anonimo gruppo di ricercatori) tra il 2002 e il 2016. Ed è piaciuto molto a una serie di addetti ai lavori, da Rob Graham, ricercatore che fa sicurezza offensiva, al venditore di exploit noto come “The Grugq”. Le implicazioni le spiega bene il ricercatore Dan Guido (che ha contribuito al rapporto RAND) e che è direttore di Hack/Secure, una società di investimento nel campo della cybersicurezza: “È responsabilità delle aziende di software realizzare prodotti sicuri”, commenta a La Stampa. “Notificare una singola vulnerabilità nel loro prodotto non serve a molto. Semmai la preoccupazione è che i criminali non abusino di questo tipo di vulnerabilità; e i dati RAND chiariscono che non c’è quasi sovrapposizione”. Insomma - è la sua tesi - anche se la falla non è notificata alle aziende, non c’è da preoccuparsi perché le probabilità che la trovino anche dei criminali sarebbero basse.

Lo studio di Harvard

Tuttavia in concomitanza è uscito anche un altro studio dell’università di Harvard, firmato dal noto crittografo Bruce Schneier e da Trey Herr. E il quadro che ne esce è meno rassicurante. Dopo aver esaminato i dati relativi a 4mila vulnerabilità soprattutto su browser e sistemi operativi, i due studiosi concludono che tra il 15 e il 20 per cento di tutte le vulnerabilità scoperte nei browser hanno almeno un doppione. Per Android, il 22 per cento sono riscoperte entro due mesi in media. E “ci sono ragioni per credere che l’attuale percentuale sia anche più alta per certi tipi di software”, scrive lo studio. “La nostra analisi mostra che la riscoperta di vulnerabilità per bachi importanti e gravi è più comune di quanto si ritenga, ed è andata crescendo negli ultimi dieci anni”.

Lo studio di Harvard è stato rilanciato da Edward Snowden che ha così commentato su Twitter: “Uno studio fondamentale di Harvard rileva che l’hacking governativo sta diventando sempre più rischioso: la possibilità che dei nemici sfruttino le stesse falle è di uno a cinque”.

Quindi? Alta o bassa probabilità?

“Il tasso di collisione andrebbe analizzato per settori e popolarità dei software attaccati”, avverte Alberto Pelliccione, che si occupa di sicurezza difensiva con l’azienda ReaQta dopo un passato nell’offensiva. “Software molto popolari sono sotto maggiore scrutinio da parte di più ricercatori o agenzie, quindi la sovrapposizione sarà maggiore. Inoltre la quantità di collisioni dipende anche dalla superficie di attacco, se è vasta (come in un browser o una suite Office) le collisioni sono relativamente più rare. Se la superficie è ristretta le collisioni sono molto più alte perché tutti gli sforzi sono concentrati su superfici relativamente piccole ma di alto valore strategico”.

A fare una sintesi dei due studi ci prova, sul suo blog, un altro noto ricercatore internazionale di sicurezza informatica, Matt Blaze: “Tutto ciò suggerisce (...) che non ci sia un singolo semplice fattore in grado di predire se una vulnerabilità sarà riscoperta. Quel che abbiamo imparato è soprattutto che serve più ricerca su questo tema”.

I tre livelli del mercato

Il report RAND è comunque ricco di dettagli economici e sociologici. Suddivide il numero di ricercatori di exploit su tre livelli. Quello più alto sarebbe composto da non più di 3mila ricercatori (ma le stime sono variabili) che di fatto lavorano soprattutto per il mercato grigio, quello alimentato dai governi. Segue il livello intermedio, che si concentra su vulnerabilità più “facili” e che viene foraggiato dal mercato cybercriminale. E infine, quello più basso e numeroso, composta da diverse migliaia di unità, che si distribuisce soprattutto su programmi e piattaforme di bug bounty come BugCrowd o HackerOne.

Tra le aziende dedite a questo settore, della vendita di exploit, ce ne sarebbero una ventina solo tra i fornitori del governo Usa e di loro alleati.

Ma come si trova, al di là delle boutique specializzate alla Zerodium, un singolo venditore di exploit? “Di solito li incontri alle varie conferenze, come Pwn2own. In Italia sono in due o tre. Oppure ti si propongono loro. Ci sono poi vari circuiti di brokeraggio, venditori che hanno conoscenze nell’underground, vanno alle fiere e fanno da mediatori tra i ricercatori e gli acquirenti”, commenta Marco Valleri, fondatore dell’azienda Neutrino, dopo anni nel ramo offensivo. “I prezzi sono più alti in caso di esclusiva, cioè se il venditore poi toglie dal suo listino l’exploit che hai appena comprato. Ma ovviamente è basato tutto sulla fiducia”.

100mila dollari per un exploit

Nel mercato grigio - quello governativo - girano molti più soldi, come conferma anche il report RAND. Gli exploit sono venduti tra 50 e 100mila dollari, ma salgono facilmente a 150/300mila. In quello nero siamo invece sui 30-50mila. I pagamenti delle piattaforme di bug bounty sono tra i 300 e i 650 dollari. Tanto è vero che ci sono broker, come Zerodium, il cui motto si basa su un gioco di parole: “Paghiamo big bounties (grossi premi), non bug bounties”.

Spesso è proprio il tipo di vulnerabilità ad essere diversa. Ma certo c’è uno squilibrio di fondo tra i vari mercati. Tra i colossi tech, Apple si è spinta fino a pagare un massimo di 200mila dollari. Microsoft 100mila.

“Confermo i prezzi medi della ricerca del mercato grigio, ovviamente ci sono casi particolari in cui si superano i 500mila con molta facilità, ma sono uno ogni 100 exploit”, commenta Simone Margaritelli, ricercatore di Zimperium, azienda americana che si occupa di sicurezza per dispositivi mobili e che ha deciso da poco di voler acquistare exploit noti (quindi non più zero-day) per addestrare i propri sistemi di riconoscimento di anomalie e malware. Un segmento interessante e meno noto di questo settore.

I programmi del governo

In realtà gli Stati Uniti hanno un programma creato apposta per valutare se tenere nascoste o rivelare vulnerabilità rilevanti. Si chiama Vulnerability Equities Process (VEP) e sebbene esista dal 2008 i dettagli (parziali e con omissis) sul suo funzionamento sono emersi solo nel 2016, dopo che l’Electronic Frontier Foundation ha obbligato il governo a divulgarli con un’azione legale. Ma, come notano le organizzazioni per i diritti digitali, mancano ancora troppi dettagli per poter valutare il funzionamento di un simile programma. Anche senza fornire informazioni classificate su specifiche vulnerabilità, “i criteri generali che determinano se queste siano rivelate o no dovrebbero essere pubblici. Così come i numeri aggregati di zero day scoperti, di quelli notificati e di quelli tenuti nel cassetto”, scrive un terzo studio sul ruolo dei governi in questo settore, uscito lo scorso giugno. Ma non sarà facile avere più trasparenza in questo settore. “Per i governi più attivi in questo campo, le vulnerabilità accumulate hanno anche un valore di controintelligence, anche quando non le usano direttamente”, commenta ancora Pelliccione. “Le tieni al caldo, le identifichi con delle firme e le usi per monitorare i movimenti di altre agenzie e Stati”.