Zero-Day: Cos’è, Perché È Pericoloso e Come Proteggersi

Ogni volta che i giornali riportano un grande attacco informatico — a un’azienda importante, a un’infrastruttura pubblica, a un servizio che usiamo ogni giorno — prima o poi appare questa parola: zero-day. Viene usata come sinonimo di “attacco sofisticato e inarrestabile”, lasciando spesso l’impressione che non ci sia nulla da fare.

La realtà è più articolata. Un zero-day è certamente una delle minacce più serie nel panorama della sicurezza informatica — ma capire davvero cosa significa aiuta a separare il rischio reale dall’allarmismo, e a prendere decisioni concrete invece di sentirsi impotenti.

Indice

1. Cosa Significa Esattamente “Zero-Day”

Il nome viene da una metafora temporale: il giorno in cui una vulnerabilità diventa nota agli sviluppatori del software è il “giorno zero”. Se la vulnerabilità viene sfruttata in quel giorno — o prima — significa che gli sviluppatori hanno avuto zero giorni per prepararsi e rilasciare una correzione.

In termini più precisi: uno zero-day è una vulnerabilità in un software (un sistema operativo, un browser, un’applicazione, un plugin) che:

Esiste nel codice — è un errore di programmazione reale che crea un punto debole sfruttabile
Non è ancora conosciuta dal produttore — o è conosciuta ma non ancora corretta
Può essere sfruttata da un attaccante per ottenere accesso non autorizzato, rubare dati o causare danni

L’analogia più efficace è questa: immagina di scoprire che la serratura della tua porta di casa ha un difetto costruttivo che permette di aprirla con un oggetto comune. Se quella scoperta è nota solo a te (o peggio, solo al ladro), il fabbricante non ha avuto nemmeno un giorno per rimpiazzare le serrature difettose. Tutte le porte con quella serratura sono vulnerabili — e nessuno lo sa.

2. Come Funziona un Attacco Zero-Day

Il ciclo di vita di uno zero-day segue sempre più o meno lo stesso percorso:

Scoperta — Una vulnerabilità viene trovata. Chi la trova può essere un ricercatore di sicurezza, un hacker, un’agenzia governativa o chiunque analizzi il codice di un software con sufficiente attenzione.

Sfruttamento — Se la vulnerabilità viene scoperta da qualcuno con intenzioni malevole, viene trasformata in un “exploit”: un codice o una tecnica specifica che sfrutta quel difetto per ottenere un accesso non autorizzato. Questo exploit può essere usato direttamente o venduto.

Divulgazione (o non divulgazione) — Se la vulnerabilità viene trovata da un ricercatore responsabile, viene comunicata privatamente al produttore del software prima di essere resa pubblica, dando tempo per sviluppare una patch. Se viene trovata da un attaccante, viene tenuta segreta il più a lungo possibile per massimizzare lo sfruttamento.

Patch — Il produttore rilascia un aggiornamento che corregge la vulnerabilità.

Finestra di esposizione — Il tempo tra la scoperta/sfruttamento e l’applicazione della patch da parte degli utenti è la finestra in cui il rischio è massimo. Su software con centinaia di milioni di installazioni, questa finestra può valere l’equivalente di miliardi di bersagli esposti.

3. Perché Sono Così Difficili da Difendere

La caratteristica che rende uno zero-day diverso da qualsiasi altra vulnerabilità è proprio questa: non sai che esiste.

Contro una vulnerabilità nota, le difese tradizionali funzionano: installa la patch, aggiorna il firewall, aggiorna le firme dell’antivirus. Contro uno zero-day, nessuna di queste misure è efficace — perché il difetto non è ancora nelle firme di nessun sistema di rilevamento, la patch non esiste e nessun aggiornamento può correggere qualcosa che non è stato ancora identificato come problema.

È come cercare di difendersi da una malattia di cui non si conosce ancora l’esistenza: i farmaci che hai non servono contro un patogeno che i laboratori non hanno ancora catalogato.

Questo è anche il motivo per cui gli zero-day sono così preziosi nel mercato della sicurezza offensiva — e così temuti dai difensori.

4. Il Mercato Nero (e Grigio) degli Zero-Day

Non tutti sanno che esiste un mercato vero e proprio per le vulnerabilità zero-day. È un mercato che muove cifre considerevoli e che opera su più livelli.

Il mercato “grigio” — bug bounty e ricercatori legittimi: molte aziende tecnologiche pagano ricercatori indipendenti che trovano vulnerabilità nei loro prodotti e le segnalano responsabilmente. Google, Microsoft, Apple, Meta hanno tutti programmi di bug bounty che offrono compensi che vanno da qualche migliaio a centinaia di migliaia di dollari per vulnerabilità critiche. È un sistema che incentiva la scoperta responsabile.

Il mercato nero — exploit broker e attori statali: al di fuori dei canali legittimi, esiste un mercato in cui le vulnerabilità più critiche — quelle che colpiscono sistemi operativi diffusissimi come Windows, iOS o Android — vengono vendute a prezzi che possono arrivare a diversi milioni di dollari. Gli acquirenti sono spesso agenzie governative, servizi di intelligence e gruppi criminali organizzati. Una vulnerabilità zero-day su iPhone può valere più di un milione di dollari sul mercato grigio.

Questo mercato esiste, è documentato e ha implicazioni concrete: significa che le vulnerabilità più critiche vengono spesso sfruttate per mesi o anni prima di essere rivelate ai produttori, perché chi le possiede ha interesse a mantenerle segrete.

5. Chi È Davvero a Rischio

Essere onesti su questo punto è importante, perché l’allarmismo non aiuta a prendere decisioni razionali.

Gli zero-day di maggior valore — quelli che colpiscono sistemi operativi, browser o infrastrutture critiche e che vengono venduti a prezzi elevati — vengono quasi sempre usati in attacchi altamente mirati: spionaggio statale, attacchi a infrastrutture critiche, operazioni contro specifici individui o organizzazioni. Non vengono sprecati in attacchi casuali, perché una volta usati la vulnerabilità rischia di essere scoperta e corretta.

Gli zero-day di medio profilo — quelli che colpiscono software ampiamente usato come CMS, plugin, applicazioni di uso comune — vengono spesso usati in attacchi automatizzati su larga scala. Una vulnerabilità zero-day su un plugin WordPress installato su un milione di siti diventa rapidamente la base di un’ondata di compromissioni automatizzate. Qui il rischio riguarda chiunque usi quel software.

La distinzione pratica: se sei un privato cittadino o una piccola azienda, la probabilità di essere bersaglio di un attacco che usa zero-day di alto valore è molto bassa. La probabilità di essere colpito da zero-day che sfruttano software di largo consumo — CMS, plugin, applicazioni non aggiornate — è significativamente più alta, e cresce ogni anno.

6. Cosa Si Può Fare Concretamente

Premesso che nessuna difesa è efficace al 100% contro uno zero-day che sfrutta software che stai usando, esistono strategie che riducono significativamente il rischio e minimizzano l’impatto in caso di compromissione.

Riduci la superficie d’attacco

Ogni software in esecuzione è un potenziale vettore. Ogni plugin installato, ogni applicazione attiva, ogni servizio esposto a Internet è un punto che potrebbe contenere una vulnerabilità non ancora scoperta. La strategia più efficace non è aspettare le patch — è avere meno software possibile da patchare. Meno dipendenze, meno superficie d’attacco, meno probabilità di essere colpiti.

Questo è uno dei motivi per cui preferiamo sviluppare soluzioni proprietarie per le funzioni critiche invece di affidarci a plugin o librerie di terze parti: ogni dipendenza esterna è una variabile che non controlliamo.

Principio del privilegio minimo

Ogni utente, ogni servizio, ogni componente del sistema dovrebbe avere solo i permessi strettamente necessari per fare ciò che deve fare — e niente di più. Questo non impedisce l’attacco, ma ne limita il raggio d’azione: se un componente viene compromesso, non ha automaticamente accesso a tutto il resto del sistema.

Segmentazione e isolamento

In un sistema ben progettato, una compromissione in un’area non si propaga automaticamente alle altre. Il database non è direttamente accessibile dall’esterno, il server web non ha accesso alle aree administrative, i log sono isolati e protetti da manipolazione. Questa architettura non blocca lo zero-day — ma contiene il danno.

Monitoraggio attivo e risposta rapida

Non puoi prevenire uno zero-day che non conosci. Puoi però rilevarlo rapidamente una volta che è in atto. Un sistema di monitoraggio che registra ogni accesso, ogni modifica ai file, ogni comportamento anomalo del server permette di intercettare una compromissione nelle fasi iniziali — prima che il danno diventi irreversibile.

Backup verificati e isolati

In caso di compromissione severa, la capacità di ripristinare un sistema a uno stato noto e pulito in tempi brevi è spesso la differenza tra un incidente gestibile e un disastro. I backup devono essere frequenti, verificati regolarmente e isolati dal sistema principale — un backup sullo stesso server compromesso è inutile.

FAQ

Uno zero-day è diverso da un normale virus o malware?

Non necessariamente si escludono. Un malware può usare uno zero-day come vettore di ingresso — cioè sfruttare la vulnerabilità per installarsi su un sistema. Ma sono concetti distinti: uno zero-day è una vulnerabilità nel software, il malware è il codice malevolo che quella vulnerabilità può permettere di eseguire. Ci sono zero-day sfruttati senza malware tradizionale (per accesso diretto ai dati) e malware che non usano zero-day ma vulnerabilità già note.

Come faccio a sapere se un software che uso ha vulnerabilità zero-day attive?

Per definizione, non puoi saperlo con certezza — se fosse già nota, non sarebbe più uno zero-day. Quello che puoi fare è monitorare i feed di sicurezza come il database NVD (National Vulnerability Database), i bollettini di sicurezza dei fornitori dei software che usi, e i report di aziende come Crowdstrike, Mandiant o Patchstack per il mondo WordPress. In caso di vulnerabilità critiche pubblicate, aggiorna immediatamente.

Gli antivirus proteggono dagli zero-day?

I sistemi antivirus tradizionali, basati su firme, non rilevano uno zero-day perché non hanno ancora la firma della vulnerabilità nel loro database. I sistemi di endpoint protection moderni basati su comportamento — che analizzano come si comportano i processi invece di cercare firme note — hanno una capacità di rilevamento migliore, ma non garantita. La protezione dagli zero-day è più efficacemente ottenuta attraverso l’architettura del sistema che attraverso strumenti di rilevamento.

Perché le aziende non correggono le vulnerabilità più velocemente?

Sviluppare e testare una patch per una vulnerabilità critica senza introdurre nuovi problemi richiede tempo — a volte giorni, a volte settimane. Per software complessi e ampiamente diffusi, le patch vengono testate su molte configurazioni diverse prima del rilascio. È un equilibrio difficile tra la velocità di risposta e la stabilità degli aggiornamenti. Alcune aziende sono più rapide di altre — ed è un parametro che vale la pena considerare nella scelta del software che si usa.

Un sito web può essere compromesso tramite zero-day senza che io faccia nulla di sbagliato?

Sì. È uno degli aspetti più frustranti della sicurezza informatica: puoi fare tutto correttamente — aggiornare, usare software affidabile, seguire le best practice — e venire comunque colpito da uno zero-day su un software che non ha ancora una patch disponibile. È il motivo per cui l’architettura di sicurezza non può basarsi solo sulla prevenzione, ma deve includere rilevamento, contenimento e capacità di ripristino rapido.

Vuoi sapere quanto è ridotta la superficie d’attacco della tua infrastruttura? Analizziamo l’architettura del tuo sito e dell’infrastruttura server con un approccio orientato alla riduzione del rischio reale. Contattaci