Lo studio mostra che le reti sono migliori dei database ufficiali per identificare rapidamente i punti deboli
RICHLAND, Wash. – Le vulnerabilità del software hanno maggiori probabilità di essere discusse sui social media prima che vengano rivelate su un sito di segnalazione governativa, una pratica che potrebbe rappresentare una minaccia per la sicurezza nazionale, secondo gli scienziati informatici del Pacific Northwest del Dipartimento dell’Energia degli Stati Uniti Laboratorio nazionale .
Allo stesso tempo, queste vulnerabilità rappresentano un’opportunità per la sicurezza informatica per i governi di monitorare più da vicino le discussioni sui social media riguardo alle lacune del software, affermano i ricercatori. I loro risultati sono stati pubblicati di recente sulla rivista PLOS One .
“Alcune di queste vulnerabilità del software sono state prese di mira e sfruttate dagli avversari degli Stati Uniti. Volevamo vedere come si sono evolute le discussioni su queste vulnerabilità”, ha dichiarato l’autore principale Svitlana Volkova , ricercatrice senior nel Data Sciences and Analytics Group presso PNNL. “La sicurezza informatica sociale è una grande minaccia. Essere veramente in grado di misurare in che modo i diversi tipi di vulnerabilità si diffondono attraverso le piattaforme è davvero necessario.”
I social media, in particolare GitHub, sono all’avanguardia
La loro ricerca ha mostrato che un quarto delle discussioni sui social media sulle vulnerabilità del software dal 2015 al 2017 è apparso sui siti di social media prima di approdare nel National Vulnerability Database, il deposito ufficiale degli Stati Uniti per tali informazioni. Inoltre, per questo segmento di vulnerabilità, sono stati necessari in media quasi 90 giorni affinché il divario discusso sui social media venisse visualizzato nel database nazionale.
La ricerca si è concentrata su tre piattaforme sociali – GitHub, Twitter e Reddit – e ha valutato come le discussioni sulle vulnerabilità del software si diffondono su ognuna di esse. L’analisi ha mostrato che GitHub, un popolare sito di networking e sviluppo per programmatori, era di gran lunga il più probabile dei tre siti ad essere il punto di partenza per la discussione sulle vulnerabilità del software.
Ha senso che GitHub sarebbe il punto di partenza per discussioni sulle vulnerabilità del software, hanno scritto i ricercatori, perché GitHub è una piattaforma orientata allo sviluppo del software. I ricercatori hanno scoperto che per quasi il 47 percento delle vulnerabilità, le discussioni sono iniziate su GitHub prima di passare a Twitter e Reddit. Per circa il 16 percento delle vulnerabilità, queste discussioni sono iniziate su GitHub ancor prima di essere pubblicate sui siti ufficiali.
Le vulnerabilità di codebase sono comuni
La ricerca sottolinea l’ambito del problema, rilevando che quasi tutte le basi di codice del software commerciale contengono condivisione open source e che quasi l’80% delle basi di codice include almeno una vulnerabilità. Inoltre, ogni base di codice di software commerciale contiene in media 64 vulnerabilità. Il National Vulnerability Database, che cura e rilascia pubblicamente le vulnerabilità note come vulnerabilità e esposizioni comuni “sta crescendo drasticamente”, afferma lo studio, “e comprende più di 100.000 vulnerabilità conosciute fino ad oggi”.
Nel loro articolo, i ricercatori discutono su quali avversari statunitensi potrebbero prendere atto di tali vulnerabilità. Citano la Russia, la Cina e altri e hanno notato che ci sono differenze nell’uso delle tre piattaforme all’interno di quei paesi quando sfruttano le vulnerabilità del software.
Secondo lo studio, gli attacchi informatici nel 2017 in seguito collegati alla Russia hanno coinvolto oltre 200.000 vittime, colpito oltre 300.000 computer e causato danni per circa 4 miliardi di dollari.
“Questi attacchi sono avvenuti perché erano presenti vulnerabilità note nei software moderni”, afferma lo studio, “e alcuni gruppi di minacce persistenti avanzate li hanno effettivamente sfruttati per eseguire un attacco informatico”.
Robot o umani: entrambi rappresentano una minaccia
I ricercatori hanno anche distinto tra il traffico dei social media generato dagli umani e i messaggi automatizzati dai robot. Un messaggio sui social media creato da una persona reale e non generato da una macchina sarà probabilmente più efficace nel sensibilizzare su una vulnerabilità del software, hanno scoperto i ricercatori, sottolineando che era importante differenziare i due.
“Abbiamo classificato gli utenti come probabili robot o umani, utilizzando lo strumento Botometer”, afferma lo studio, “che utilizza una vasta gamma di funzionalità basate su utenti, amici, social network, temporali e basate sul contenuto per eseguire bot rispetto a umani classificazione.”
Lo strumento è particolarmente utile nel separare i robot dalle discussioni umane su Twitter, una piattaforma che i ricercatori hanno notato può essere utile per gli account che cercano di diffondere un programma. Sempre per quanto riguarda Twitter, i ricercatori hanno trovato un sottoinsieme dei suoi utenti – ad esempio FireEye, The Best Linux Blog In the Unixverse, The Hacker News e singoli account appartenenti a esperti di sicurezza informatica – focalizzati sulle notizie sulle vulnerabilità del software.
In definitiva, lo studio afferma che la consapevolezza della capacità dei social media di diffondere informazioni sulle vulnerabilità del software costituisce un avvertimento per le istituzioni.
“I segnali dei social media che precedono le fonti ufficiali potrebbero potenzialmente consentire alle istituzioni di anticipare e dare priorità alle vulnerabilità da affrontare per prime”, afferma. “Inoltre, la quantificazione della consapevolezza delle vulnerabilità e delle patch che si diffondono negli ambienti sociali online può fornire un segnale aggiuntivo per le istituzioni da utilizzare nel loro processo decisionale di rischio open source”.