«Exploit», di cosa si tratta esattamente?

423

Un termine inflazionato, ma spesso non chiaro neanche agli addetti ai lavori. La definizione (e i rimedi) di G Data

Immaginate che il recinto del vostro giardino sia danneggiato. Forse vi è noto che la recinzione presenti delle brecce o forse non ancora. Una cosa è certa: qualsiasi malintenzionato può avvalersene per fare irruzione nel vostro giardino e farsi strada verso casa vostra utilizzando i vostri attrezzi da giardino. Analogamente ciò accade con le falle di sicurezza sul vostro computer: i cybercriminali mirano a scovarne il più possibile per condurre i propri attacchi.

Come funziona un attacco con exploit?

Gli exploit sono piccoli programmi che individuano e sfruttano falle nella sicurezza. Il malware, come per esempio un ransomware, viene caricato solo in un secondo momento ("Payload”). Ecco come avviene un attacco.

1. Identificare le vulnerabilità
Gli exploit possono essere nascosti in un documento Word o essere scaricati automaticamente semplicemente visitando una pagina web. Cercano quindi punti attaccabili nell'applicazione con cui sono stati scaricati (lettori di documenti, browser web ecc.).

2. Depositare un codice malevolo
Quando gli exploit trovano una vulnerabilità adatta, collocano un codice malevolo da qualche parte nella memoria del vostro computer.

3. Manipolazione dei processi delle applicazioni
Un'applicazione funziona compiendo tanti piccoli processi che hanno luogo in successione. L'avvio di un processo dipende dalla conclusione corretta del precedente, un
flusso stabilito esattamente nel codice di programmazione. Gli exploit sono programmati per modificare la sequenza originale in modo da dirottare il flusso dell'applicazione sul codice manipolato. Ne consegue che non viene eseguito il normale codice dell'applicazione, bensì il codice dannoso infiltrato in precedenza.

4. Attivazione
Una volta attivato il malware può accedere alle funzioni del programma in cui è penetrato e a tutte le funzioni generalmente accessibili del sistema operativo. Quindi l'exploit raccoglie informazioni sul sistema e può scaricare ulteriori codici maligni da Internet.

5. Scaricamento del malware
A questo punto ransomware, trojan bancari o altri malware vengono scaricati sul computer.

Come arrivano gli exploit sul mio computer?

Gli exploit si diffondono prevalentemente in due modi. Nel primo caso si scaricano sul computer navigando, celati dagli altri contenuti della pagina web che si sta visitando. Nel secondo caso si celano nei documenti allegati alle e-mail, in chiavette USB, su hard disk esterni e simili.

Exploit "drive-by”

Lo scaricamento di exploit "drive-by” avviene "di passaggio” senza che l'utente se ne accorga. A tale scopo i cybercriminali manipolano direttamente i banner pubblicitari sulle pagine web o i server a cui sono collegati in modo piuttosto subdolo: tale trucco viene utilizzato anche su pagine affidabili. Basta un click sulla pubblicità per avviare il download in background. Il programma dannoso scaricato cerca quindi vulnerabilità nel browser o tra i plug-in.

L'infezione "drive-by” è quella più utilizzata per diffondere exploit kit. I kit consistono in una raccolta di exploit con obiettivi multipli. Molti kit presentano spesso strumenti per attaccare Flash, Silverlight, PDF Reader e browser web come Firefox e Internet Explorer.

Exploit nei file

Questa modalità di infezione è la più utilizzata per attaccare aziende. Gli exploit vengono diffusi sistematicamente attraverso PDF manipolati e allegati alle e-mail. Il file si presenta come una fattura o un'inserzione ma contiene exploit che dopo l'apertura sfruttano le vulnerabilità di Adobe Reader. Lo scopo di tali attacchi solitamente è lo spionaggio (APT).

Perché le applicazioni sono soggette a vulnerabilità?

Chi sviluppa software scrive righe su righe di codice in diversi linguaggi di programmazione. Spesso i programmatori si avvalgono di librerie di codici messe a disposizione da altri sviluppatori. Con la grande quantità di codici di programmazione e la crescente complessità delle applicazioni sfuggono immancabilmente degli errori.

Una volta venuti a conoscenza delle vulnerabilità insite nel codice delle proprie applicazioni, i produttori di software diffondono una versione "riparata” del programma ("Patch”), scaricabile dagli utenti che fanno uso del software.

Come mi difendo dagli exploit?

Per chiudere il maggior numero di falle possibili, al fine di ridurre quanto più possibile la superficie d'attacco, è consigliabile installare gli aggiornamenti del software per i programmi più importanti. È altresì essenziale dotarsi di una soluzione di sicurezza di nuova generazione in grado di riconoscere gli exploit zero-day, come le suite G DATA, una funzione che sopperisce al fatto che il più delle volte passano diverse settimane tra la scoperta della falla e il rilascio/ installazione di una patch sul dispositivo vulnerabile. Va da sé infatti che il periodo tra l'individuazione di una falla non nota al produttore da parte dei cybercriminali e la distribuzione di una patch sia ovviamente il più pericoloso.