Cosa sono i Broker zeroday? Scopriamo il mercato underground delle falle di sicurezza

Redazione RHC : 3 Aprile 2023 07:36

I broker zeroday sono degli intermediari che acquistano e vendono vulnerabilità del software che sono sconosciute ai produttori e alle organizzazioni che lo utilizzano.

Queste vulnerabilità, note come “zeroday”, sono sfruttate dai cyber criminali per attaccare i sistemi e le reti informatiche delle aziende. I broker zeroday cercano di trarre profitto vendendo queste vulnerabilità a governi, apparati di intelligence, aziende e altre organizzazioni che li utilizzano per sviluppare strumenti di hacking e per effettuare sorveglianza.

In questo articolo comprenderemo il fenomeno dei broker zeroday, perché sta prendendo piede e la pericolosità di questo modello in un mondo digitalmente globalizzato.

Cosa sono i Broker zeroday

Il commercio delle vulnerabilità zeroday è una pratica altamente controversa e solleva questioni etiche inerenti la sicurezza informatica. Molti esperti di sicurezza informatica sostengono che l’acquisto e la vendita di vulnerabilità non rende il mondo digitale più sicuro, ma piuttosto ne aumenta il rischio, in quanto questi strumenti possono finire nelle mani sbagliate.

I broker zeroday acquistano queste vulnerabilità dai ricercatori di sicurezza o da altri individui che le scoprono e poi le vendono a governi, agenzie di intelligence, aziende di sicurezza e altre entità interessate. I broker zeroday agiscono come intermediari tra i ricercatori di sicurezza che scoprono le vulnerabilità e i clienti interessati ad acquistarle.

L’acquisto di una vulnerabilità zero-day può essere molto costoso, in quanto è un’arma molto potente per un attaccante. I broker zeroday possono guadagnare molto denaro in questo mercato in quanto l’offerta di vulnerabilità zero-day è limitata e i clienti sono disposti a pagare prezzi molto alti per ottenere accesso a queste vulnerabilità.

Perché scegliere un broker 0-day

Ci sono diversi motivi per cui un ricercatore di sicurezza potrebbe scegliere di fornire uno zeroday ad un broker piuttosto che al vendor del prodotto:

1. Guadagnare denaro: i broker di zeroday pagano somme significative per le vulnerabilità in grado di compromettere la sicurezza dei prodotti. Per i ricercatori di sicurezza, questa potrebbe essere una fonte di reddito, soprattutto se sono in grado di scoprire vulnerabilità molto rare o particolarmente dannose.
2. Preservare l’anonimato: alcuni ricercatori potrebbero preferire di rimanere anonimi, e potrebbero sentirsi più a loro agio a vendere i loro risultati a un broker piuttosto che a contattare direttamente il vendor del prodotto. Questo può essere particolarmente vero se il ricercatore teme ritorsioni o azioni legali da parte del venditore o di altri.
3. Garantire che la vulnerabilità sia risolta: se un ricercatore di sicurezza ha notificato un venditore di prodotto di una vulnerabilità e il venditore non ha risposto o ha rifiutato di risolvere la vulnerabilità, il ricercatore potrebbe decidere di vendere la vulnerabilità ad un broker per garantire che sia risolta. Questo può essere particolarmente importante se la vulnerabilità è particolarmente critica o se il prodotto è ampiamente utilizzato e rappresenta un rischio significativo per la sicurezza.

Tuttavia, è importante notare che vendere una vulnerabilità ad un broker di zeroday può comportare anche rischi, ad esempio la potenziale diffusione della vulnerabilità da parte del broker o il rischio di essere coinvolti in attività illegali.

Pertanto, i ricercatori di sicurezza devono valutare attentamente le loro opzioni prima di decidere di vendere una vulnerabilità ad un broker di zeroday.

La rivendita degli zeroday da parte dei broker

Come abbiamo riportato, i broker zeroday possono rivendere le vulnerabilità zero-day a governi, agenzie di intelligence o altre organizzazioni interessate. Queste organizzazioni potrebbero utilizzare le vulnerabilità per condurre operazioni di intelligence o per sviluppare strumenti di hacking per l’accesso remoto ai sistemi bersaglio.

In alcuni casi, le agenzie di intelligence potrebbero anche utilizzare le vulnerabilità per compromettere i sistemi di organizzazioni straniere per scopi di intelligence, spionaggio economico o per supportare operazioni militari.

Infatti aziende che sviluppano sistemi di intelligence (ricordiamo la NSO Group della quale si è parlato molto in relazione al malware Pegasus) possono acquisire gli zeroday dai broker in diverse modalità. In alcuni casi, le aziende stesse potrebbero rivolgersi direttamente ai broker per acquistare i diritti su uno zeroday specifico, che potrebbero poi utilizzare per migliorare i propri prodotti o per vendere a loro volta ai propri clienti. In altri casi, i broker potrebbero avvicinare direttamente le aziende e proporre loro gli zeroday che sono riusciti a raccogliere.

È importante sottolineare che molte di queste pratiche si svolgono in un’area grigia della legalità e della moralità, poiché gli zeroday possono essere utilizzati per scopi controversi, come la sorveglianza di massa o la violazione della privacy degli utenti.

Non è appropriato fare riferimento o promuovere specifici broker zeroday, poiché come abbiamo visto l’acquisizione e la vendita di vulnerabilità zero-day potrebbero rappresentare una minaccia per la sicurezza informatica. Inoltre, molte attività di brokeraggio di zeroday sono sospette e potrebbero violare le leggi in materia di sicurezza informatica o i diritti umani. Tuttavia, ci sono stati rapporti sui media che indicano l’esistenza di diversi broker zeroday noti, tra cui Zerodium, Exodus Intelligence e Vupen Security.

I sistemi di intelligence

Gli zero-day vengono utilizzati da aziende produttrici di sistemi di intelligence e spionaggio per migliorare i propri prodotti per poi rivenderli a governi che li usano per effettuare monitoraggio di dispositivi specifici. In particolare, gli zeroday no-click exploit sono particolarmente apprezzati perché permettono di installare spyware sui dispositivi senza alcuna interazione da parte dell’utente.

Ad esempio, gli exploit zero-day possono essere utilizzati per monitorare le conversazioni telefoniche e i messaggi di testo, raccogliere informazioni sulle attività online, accedere a file sensibili, rubare credenziali di accesso e molto altro ancora. Tutto questo senza che l’obiettivo si accorga dell’intrusione.

Questo tipo di attività può essere svolto per diversi scopi, tra cui la raccolta di informazioni su soggetti specifici, la prevenzione di minacce alla sicurezza nazionale o la lotta al terrorismo. Tuttavia, l’uso degli zero-day è spesso oggetto di dibattito, poiché solleva questioni riguardanti la privacy e la legalità delle attività di sorveglianza.

Conclusioni

In conclusione, i broker zeroday sono aziende specializzate nell’acquisto e nella vendita di vulnerabilità informatiche non note ai produttori di software. Anche se questi broker possono essere utilizzati per vendere le vulnerabilità a coloro che le usano a scopi malevoli, molti dei loro clienti sono stati descritti come governi e agenzie di intelligence che cercano di proteggere i loro paesi attraverso la scoperta di vulnerabilità informatiche utilizzabili a loro favore.

La natura di questi broker, tuttavia, solleva molte preoccupazioni riguardo alla sicurezza e alla privacy degli utenti, poiché le vulnerabilità sfruttate possono causare danni irreparabili. Inoltre, il commercio degli zeroday solleva questioni etiche sull’uso della sicurezza informatica e sulla responsabilità dei governi e delle aziende nella protezione degli utenti.

Per questo motivo, molti esperti di sicurezza informatica stanno lavorando per sviluppare metodi più sicuri e trasparenti per la divulgazione delle vulnerabilità informatiche, al fine di proteggere meglio gli utenti e prevenire l’uso malintenzionato degli zeroday.