7 Commenti

WannaCry e politiche inadeguate

Basterebbe così poco

di

thumbnail

22

mag

2017

Sapete di che parliamo, se non siete di ritorno da qualche missione nel Borneo o da una grotta particolarmente profonda.

È stata una settimana problematica di ransomware, associato ad una vulnerability di Windows (tranne 10), trovato da NSA (che ha sviluppato l’exploit) e a questa sottratto e pubblicato “grazie” a un gruppo hacker.

Non ho volutamente parlato di 0-day in quanto Microsoft aveva già provveduto a catalogare la minaccia (MS-17-010) e a pubblicare il 14 marzo una patch per tutti i sistemi ancora supportati.

WannaCry è un worm, ovvero un programma in grado di trovare una specifica vulnerabilità all’interno dei sistemi collegati e sfruttarla al fine di replicarsi all’interno di una rete o di un sistema informativo. In quanto ransomware, una volta infettato un sistema cifra tutti i dati in esso contenuti, che torneranno utilizzabili solo pagando un riscatto agli autori.

Niente scuse

Se un software come questo ti procura un danno vuol dire solamente che non hai politiche di backup adeguate. Non ci sono scuse. Avrebbe potuto essere un ransomware, ma un danno ben peggiore poteva derivare dalla rottura del supporto su cui erano memorizzate le informazioni, dalla perdita del dispositivo o dalla sua distruzione.

Alluvione

Di fronte a quanto può accadere ai dati, un ransomware è l’ultimo dei problemi.

 

Quindi, di nuovo, la prima difesa da un programma del genere non è tecnica o tecnologica. Basta solo una politica di backup adeguata e un minimo di buon senso, null’altro. Se un computer è stato attaccato con successo da questo worm, non era stato adeguatamente patchato.

Matteo Flora dice in un suo articolo quasi esattamente la stessa cosa: se le vostre macchine sono cadute sotto l’attacco di uno worm come questo, ve lo siete meritato in quanto avete violato due delle più importanti regole non scritte dell’informatica, ovvero fare periodicamente backup e aggiornare.

Ospedali

Più di duecentomila sistemi in tutto il mondo sono stati colpiti. Non solo computer di privati, ma banche, compagnie importanti, ospedali, aziende di telecomunicazione e altro. Il worm si è trasmesso così velocemente che Microsoft ha rilasciato poi, in piena emergenza, la patch Ms-17-010 anche per sistemi non più supportati come XP e 7, quest’ultimo oggetto di oltre il 98 percento delle infezioni.

Potremmo scrivere altri fiumi di inchiostro analizzando questo programma, il modo in cui è stato realizzato, la sua struttura e le metodologie che sono state messe in atto per rallentarne la diffusione. Si finirebbe per perdere, di nuovo, il vero motivo per il quale stiamo qui a discutere di questo attacco: troppe persone, dai privati ai responsabili informatici di aziende anche quotate in borsa, non fanno cose assolutamente banali e basilari per proteggere i loro sistemi e i loro dati.

Definiamo alcuni punti

I sistemi colpiti:

  • Esponevano su Internet servizi (SMB) che non devono mai esserlo, in quanto riservati allo scambio dati in una rete interna. Non solo si tratta di un grave problema di configurazione della macchina ma anche di un totale fallimento di tutti i sistemi di difesa perimetrale (o a livello di host).
  • Non venivano patchati come minimo dal 14 marzo scorso, quasi da due mesi (in realtà si tratta di una marea di sistemi con sistemi operativi vetusti che avrebbero essere dovuti aggiornati da un pezzo).
  • Privi di una politica di backup adeguata. Non parliamo di politiche di backup a caldo che possano ridurre il tempo di ritorno online quasi a zero, quanto di un sistema di backup anche solamente decente.
Domande

La versione 10 del sistema operativo di Microsoft non era sensibile a questo problema. Come minimo 500 milioni di macchine, secondo le stime diffuse durante Build 2017, erano implicitamente al sicuro. Tutti gli altri computer con Windows a bordo erano a rischio per cosa? Perché non erano stati aggiornati a 10?

Le risorse hardware richieste per far girare Windows 10 sono praticamente le stesse di Windows 7 o 8. Come mai c’è una marea di sistemi Windows 7? Le domande ovviamente rimangono in sospeso e molte di queste senza risposta alcuna. Ma ci devono necessariamente porre di fronte ad un interrogativo.

Come utenti di qualunque sistema operativo, sia esso MacOS, Windows, GNU/Linux o altri (sì, signori della mela o evangelist dell’open source, anche i vostri sistemi sono vulnerabili, sapete?), abbiamo policy corrette per il salvataggio dei dati personali e per l’aggiornamento dei sistemi?

WannaCry su apparecchiature mediche

Se un ransomware blocca un computer a uso medico, le responsabilità sono pesanti.

 

WannaCry è solo l’ultimo dei problemi che ci potrebbero colpire. Ma prendiamolo come un’occasione per verificare i nostri sistemi.

Alla fine la sicurezza è questione, per molti versi, di poche cose e di un minimo di buon senso. Una pubblicità per una campagna di raccolta fondi per le popolazioni africane, promossa da Giobbe Covatta, aveva come testimonial una sorridente bambina nera che, con una naturalezza sconcertante, diceva:

Basta poco, che ce vo’?

Questo poco, facciamolo!




Andrea Ghirardini (@darkpila) è uno dei precursori della Digital Forensics in Italia. Sistemista multipiattaforma – anche se con una netta preferenza per Unix – con una robusta esperienza in materia di sicurezza informatica, si occupa in particolare di progettare sistemi informativi di classe enterprise. È Chief Technical Officer in BE.iT SA, società svizzera facente parte del gruppo BIG, specializzata nella gestione discreta e sicura di sistemi informativi aziendali. Per Apogeo è autore di Digital Forensics edito nella collana Guida completa.

Letto 2.006 volte | Tag: , ,

7 commenti

  1. Barbarroja

    Passare da win a Mac.
    Basta poco, che ce vo?

  2. Andrea Ghirardini

    Come dicevo nell’articolo questa è la tipica riaposta, non vera, da Mac Evangelist. Le ricordo che qui non si tratta di virus ma di un worm e max ha più volre dimostrato di essere vulnerabile a queste problematiche. Si guardi i repository CVE degli scorsi anni

  3. Natali

    Bravo Andrea, come sempre, chiaro e attento

  4. Barbarroja

    25 anni che uso Mac. Rido di max e di worm.

  5. Carlo

    Ne avessi trovato uno di Max e di Worm in quindici d’anni d’uso Mac sfrenato !

  6. Roberto

    Noto che, ancora una volta, è stato omesso (volutamente o meno) il fatto che Apple aggiorni continuamente da remoto il file di sistema con le definizioni dei malware per macOS presente su tutti i Mac a partire da Snow Leopard in poi, rendendo inefficace qualsiasi minaccia nel giro di poche ore, come ad esempio il rasomware in questione che naturalmente è assolutamente innocuo per la piattaforma Macintosh, ma d’altronde è risaputo che il Mac è solo per i “fighetti”.

    Buona giornata.

  7. Cesare

    9 anni di Mac (lo stesso iMac late 2008, una bomba ancora oggi) e di libertà. Si, in effetti basta poco. Get a Mac ;)

Lascia il tuo commento