Massimiliano Brolli : 9 Aprile 2021 14:41
Autore: Massimiliano Brolli
Data Pubblicazione: 09/04/2021
il 2020 è stato un anno particolare su tutti gli indicatori dei CVE.
Prompt Engineering & Sicurezza: diventa l’esperto che guida l’AIVuoi dominare l’AI generativa e usarla in modo sicuro e professionale? Con il Corso Prompt Engineering: dalle basi alla cybersecurity, guidato da Luca Vinciguerra, data scientist ed esperto di sicurezza informatica, impari a creare prompt efficaci, ottimizzare i modelli linguistici e difenderti dai rischi legati all’intelligenza artificiale. Un percorso pratico e subito spendibile per distinguerti nel mondo del lavoro. Non restare indietro: investi oggi nelle tue competenze e porta il tuo profilo professionale a un nuovo livello. Guarda subito l'anteprima gratuita del corso su academy.redhotcyber.com Contattaci per ulteriori informazioni tramite WhatsApp al 375 593 1011 oppure scrivi a [email protected] ![]() Supporta RHC attraverso:
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
Sebbene stiamo assistendo ad una stabilizzazione del numero delle CNA (Le CVE Numbering Authority, capaci di numerare le CVE sui loro prodotti) che hanno comportato un aumento vertiginoso delle CVE tra il 2016 e il 2017, il trend non va certo in diminuzione.
“Il 2020 è stato un anno da record in termini di volumi di vulnerabilità critiche registrate dal NIST nel suo National Vulnerability Database (NVD), una delle fonti di informazioni più affidabili per gli esperti della sicurezza informatica ed IT di tutto il mondo”, riporta George Glass, capo dell’intelligence sulle minacce di Redscan.
Infatti, Redscan ha svolto una analisi accurata a gennaio 2021 sulle CVE emesse dal National Vulnerability Database (NVD) nel 2020, che di fatto è l’archivio di Common Vulnerabilities and Exposures (CVE) segnalati da professionisti della sicurezza, ricercatori e fornitori.
I risultati chiave sono stati:
Pensate che le CVE sono diventate talmente tante che NVD si è rifiutato di gestire tutto il fiume delle CVE collegate all’ecosistema WordPress (plugin e core), facendo diventare (direi con la forza.bruta), WPscan una CNA.
Questo si è visto anche dalle risposte del NIST alle quotazioni delle CVE che venivano emesse all’interno di 2/3gg solari, ma nel 2020 abbiamo avuto latenze anche di 2 settimane in “full disclosure”.
Premesso che risulta sempre complicato fare estrazioni da NVD in quanto la loro base dati è molto deframmentata, tra tutte queste notizie preoccupanti, ce n’è una positiva … evviva! Ma solo a prima vista.
Dall’analisi che ho svolto, andando di “cesello” nei dati di NVD, le vulnerabilità con “base Score” => 9.8 stanno diminuendo.
In un dominio dove tutti i parametri negativi aumentano e ce n’è uno altamente critico che diminuisce, tutti grideranno al successo, del tipo: stiamo scrivendo software migliore, le stratosferiche “deserialization” del passato (weblogic, struts2), sono oramai un ricordo lontano, abbiamo imparato a sviluppare il codice sicuro.
Questo come detto ad una vista superficiale, infatti, dobbiamo ricordarci che le “armi cibernetiche” (quelle vere e non gli XSS), hanno dei costi altissimi, e il mercato nero pullula di persone che non adottano la Coordinated Vulnerability Disclosure o i bugbounty, ma pagano i ricercatori per il silenzio.
Silenzio a NON divulgare zeroday ai loro legittimi fornitori, ma a divulgarli a dei broker zeroday specializzati nella rivendita e nelle aste di cyberweapon.
Quindi da una parte abbiamo l’aumento dei programmi di Responsible Disclosure e questo è un bene, ma dall’altra abbiamo sempre l’industria dello spionaggio che crea sistemi di geolocalizzazione e spyware e sappiamo come funziona il giro.
Infatti, la cosa interessante è che tutto sta aumentando, sia i buoni che i cattivi. Sia i ricercatori di bug e sia i criminali informatici.
Le famose RCE (Remote Code Execution) o le FCP (Full Chain with persistence), quelle da Score 10, che vengono pagate oltre 2 milioni di dollari, indovinate dove vengono divulgate?
Ai broker zeroday!
Anche perchè l’asimmetria tra i programmi privati e i programmi pubblici di bug bounty dei grandi vendor hanno differenze veramente importanti in termini economici e occorre avere una grande etica per resistere, in particolar modo per tutte quelle persone che si trovano in bilico tra l’essere etici, o l’essere quasi sempre etici.
Se uno avesse tra le mani una FCP (Full Chain with persistence) su Android o iOS, e i broker riconoscono 2.500.000 dollari e Apple/Google 1.000.000, tu cosa faresti?
L’obiettivo di tutti noi è sempre quello di incentivare la divulgazione responsabile, l’etica e la trasparenza verso le vulnerabilità non documentate e quindi mantenere l’NVD un repository affidabile delle vulnerabilità sempre aggiornato, sia vecchie che nuove.
Questo ci darà modo di difendere i sistemi all’interno delle nostre organizzazioni facendo comunità, aggregazione, collaborazione e rendere il mondo sempre più resiliente agli attacchi informatici ed un posto migliore.
L’etica e la trasparenza, ha premiato sempre.
Bibliografia
https://zerodium.com/program.html
https://developer.apple.com/security-bounty/payouts/
https://www.google.it/about/appsecurity/android-rewards
ShinyHunters è un gruppo noto per il coinvolgimento in diversi attacchi informatici di alto profilo. Formatosi intorno al 2020, il gruppo ha guadagnato notorietà attraverso una serie di attacchi mir...
La notizia è semplice, la tecnologia no. Chat Control (CSAR) nasce per scovare CSAM e dinamiche di grooming dentro le piattaforme di messaggistica. La versione “modernizzata” rinuncia alla backdo...
A cura di Luca Stivali e Olivia Terragni. L’11 settembre 2025 è esploso mediaticamente, in modo massivo e massiccio, quello che può essere definito il più grande leak mai subito dal Great Fir...
Una violazione di dati senza precedenti ha colpito il Great Firewall of China (GFW), con oltre 500 GB di materiale riservato che è stato sottratto e reso pubblico in rete. Tra le informazioni comprom...
Negli ultimi anni le truffe online hanno assunto forme sempre più sofisticate, sfruttando non solo tecniche di ingegneria sociale, ma anche la fiducia che milioni di persone ripongono in figure relig...