Google, nel 2021 record di vulnerabilità “zero day”
Mai così tante vulnerabilità zero day come nel 2021. Project Zero, team di analisi e ricerca promosso da Google, ha rivelato nel suo ultimo report che lo scorso anno sono stati identificati ben 58 bug del tutto sconosciuti ai produttori e ai distributivi di software e dispositivi informatici. Si tratta di una cifra record, più del doppio del precedente massimo storico di 28 vulnerabilità che era stato toccato nel 2015.
Le vulnerabilità zero day sono bug ed errori di programmazione di cui nessuno è a conoscenza: una volta messo in commercio un software o un dispositivo che contiene questo genere di difetto, non c’è più tempo (zero day, appunto) per tentare di correggerlo.
La presenza di zero day, come facilmente intuibile, costituisce pertanto un rischio enorme per i produttori di software: lo stesso errore può essere infatti sfruttato su centinaia di migliaia (se non milioni) di computer e dispositivi diffusi in tutto il mondo. Se n’è avuto prova nel 2019, quando una vulnerabilità zero day ha dato origine a quello che Motherboard, testata online specializzata in innovazione e nuove tecnologie, arrivò a definire “il più grande attacco di sempre contro i possessori di iPhone”.
Il rialzo da record registrato nel 2021 è tuttavia dettato anche dal miglioramento delle tecniche di rilevamento e segnalazione adottate recentemente da società come Microsoft, Apple e la stessa Google. Eppure, nonostante questi sforzi di trasparenza, i punti critici restano numerosi. Il report, per esempio, evidenzia che le 58 vulnerabilità rilevate nel 2021 sono in larga parte simili a difetti che erano già stati resi noti negli ultimi anni. A testimonianza del fatto che, come aveva già avuto modo di tuonare Maddie Stone, una delle ricercatrici di Project Zero, le rilevazioni non servono a nulla se poi non vengono adottate misure per correggere gli errori e, soprattutto, evitare che si ripetano.
Poste queste basi, non stupisce che anche il modus operandi dei criminali informatici sia rimasto sostanzialmente lo stesso: utilizzano gli stessi schemi di bug e tecniche di attacco. “Gli attacchi zero day saranno più difficili da realizzare quando gli hacker, nel complesso, non potranno più utilizzare metodi e tecniche note per sviluppare le loro intrusioni informatiche”, ha scritto Stone nel post che ha pubblicizzato il report. “Questo genere di attacchi – ha aggiunto – tende ad avere un impatto smisurato sulla società, per questo è necessario continuare a fare tutto il possibile per rendere complicati gli attacchi dei criminali informatici”.