Bug su WhatsApp Web e milioni di utenti a rischio hack
11 settembre 2015
Kali Linux diventa persistente e cifrata
15 settembre 2015
Mostra tutti

Due Tecniche (e un Tool) per Neutralizzare gli Attacchi Zero-Day

Uno degli attacchi informatici più pericolosi è lo zero-day, ovvero un  attacco per il quale non esiste ancora un rimedio. Per mitigare gli effetti di questi attacchi, sono state elaborate diverse tecniche e alcuni strumenti.

Vediamone due, le più potenti: DEP e ASLR, tenendo presente che in questo articolo indicherò col termine attacker colui che tenta di accedere in modo non autorizzato ad un computer, ovvero l’hacker, ma anche un  attacco automatizzato, un malware; col termine payload un codice, una serie di azioni, che l’attacker compie dopo aver ottenuto l’‘accesso non autorizzato al sistema.

DEP (Data Execution Prevention)

Lo scopo di ogni exploit letale è l’esecuzione di codice arbitrario, ovvero la possibilità dell’intruso (o del malware) di eseguire codice a piacere sulla macchina target e ottenere così il pieno controllo. L’attacker ha bisogno di spazio in memoria dove poter memorizzare ed eseguire il codice iniettato tramite la vulnerabilità zero-day (payload); in genere questo spazio viene individuato in aree di memoria del processo adibite ad immagazzinare dati. Se l’attacker riesce ad iniettare il payload in questa zona, e riesce poi a dirottare il flusso del programma verso quest’area, avrà il controllo totale.

Ma qui entra in scena il DEP (Data Execution Prevention): il programma può essere compilato per essere immune da questi attacchi facendo in modo che le aree di  memoria contenenti dati non possano essere utilizzate per contenere codice eseguibile; nel caso in cui si tentasse di eseguire codice in questa zona si otterrebbe un errore e un blocco del programma. Proteggendo la memoria dati tramite DEP, l’attacker, se anche riuscisse a introdurre un payload. non sarebbe comunque in grado di eseguirlo.

ASLR (Address Space Layout Randomization)

Address Space Layout Randomization serve per togliere punti di riferimento fissi all’attacker, rendendo l’ambiente più ostile. Quando un programma e le sue dipendenze vengono caricate in memorida, vengono caricate sempre agli stessi indirizzi; questa situazione è ideale per l’attacker, perchè può muoversi in un territorio conosciuto, utilizzando risorse ad indirizzi prevedibili.

Con l’introduzione di ASLR, lo scenario cambia: ad ogni riavvio del sistema, gli indirizzi degli spazi di memoria del programma e delle sue dipendenze sono diverse, cosa che rende l’esecuzione dell’exploit problematica, riducendo drasticamente le probabilità di successo dell’attacco.

Sebbene queste tecniche siano potenti e abbiano messo indubbiamente il bastone tra le ruote dei creatori di malware, entrambe possono essere aggirate; comunque lo sviluppo di malware ed exploit che funzionino nel mondo reale e non solo in laboratorio è diventato più complesso.

Microsoft ha realizzato un tool gratuito in grado di rendere efficaci queste tecniche sui sistemi basati su Windows, si tratta di EMET (Enhanced Mitigation Experience Toolkit).

Che cos’è Enhanced Mitigation Experience Toolkit?

L’Enhanced Mitigation Experience Toolkit (EMET) è un’utilità che consente di prevenire le vulnerabilità del software di cui un malintenzionato potrebbe approfittare. EMET ottiene questo obiettivo utilizzando tecnologie per l’attenuazione a livello di sicurezza. Queste tecnologie funzionano come protezioni speciali e ostacoli che un autore dannoso deve abbattere per sfruttare le vulnerabilità del del software. Queste tecnologie per l’attenuazione a livello di sicurezza non garantiscono che le vulnerabilità non verranno sfruttate. Tuttavia, rendono lo sfruttamento il più difficile possibile da eseguire.

EMET fornisce inoltre una funzionalità di aggiunta configurabile con SSL/TLS certificata chiamata Certificate Trust. Tale funzione ha lo scopo di rilevare (e interrompere, con EMET 5.0) gli attacchi diretti che sfruttano l’infrastruttura a chiave pubblica (PKI).

E’ un ottimo strumento da aggiungere al proprio arsenale e da affiancare all’antivirus, per mitigare le minacce sconosciute, non ancora neutralizzate dagli aggiornamenti.

Douwnload Enhanced Mitigation Experience Toolkit 5.2

Via

Rocco Balzamà

Rocco Balzamà

Admin & CEO Rocco Balzamà Studio & Agency at ErreBi Group S.r.l.
Blogger | Developer | Graphic & Web Designer | Consulente d'Immagine | Social Media Marketing Manager | Copywriter | SEO Specialist | Digital Influencer