L’attacco del decennio
Informatica

L’attacco del decennio

È da alcuni giorni che il mondo si trova sotto assedio dal temutissimo WannaCry: un ransomware. Analizziamo da un punto di vista tecnico cosa è accaduto procedendo per passi.

Da alcuni giorni il mondo si trova sotto assedio dal temutissimo WannaCry, un ransomware che ha colpito diversi settori strategici tra i quali la sanità inglese, il ministero degli interni russo, la società di telecomunicazioni Telefonica, case automobilistiche e università. Analizziamo da un punto di vista tecnico cosa è accaduto procedendo per passi.

Cos’è un ransomware? -
Generalmente un ransomware è un virus che critta i file presenti nel computer o ne blocca l’accesso (crittando le chiavi del registro di sistema) e chiede un riscatto per ottenere la password con la quale è possibile sbloccarli.  Una volta vittime di questo attacco è impossibile poter rientrare in possesso dei propri dati senza l’oppurtuna chiave; infatti, molti di questi virus usano un sistema di crittografia RSA a 1024 bit difficilissima da crackare, poiché esistono 21024 possibili combinazioni di password. Come ogni virus, esso si diffonde tramite link fasulli nelle e-mail o tramite pen-drive infettate da un pc colpito.

Il ransomware WannaCry e l’SMB di Windows® - WannaCry è un classico ransomware che critta i file e chiede poi il riscatto; tuttavia, la particolarità che lo ha diffuso così su larga scala consiste nel metodo di propagazione: oltre ai consueti metodi dell’e-mail e delle chiavette, usa una vulnerabilità del protocollo Server Message Block di Microsoft®.

Il Server Message Block è un protocollo di comunicazione implementato nelle reti aziendali che permette la condivisione diretta di file e programmi tra PC e server centrale in ambo le direzioni. In questo modo si ha una implementazione completa di ogni computer nella rete.

Il virus ha sfruttato proprio una vulnerabilità di questo protocollo che gli ha permesso di diffondersi attraverso le reti aziendali. La vulnerabilità fu scoperta dalla National Security Agency americana che, anziché dichiararla al produttore, ha preferito aggiungerla al proprio arsenale informatico. Due mesi fa il gruppo di hacker chiamato «Shadow Brokers» lo ha rubato e lo ha usato con gli effetti che stiamo vivendo.

La patch e il problema degli aggiornamenti automatici -
All’indomani del furto della cyber-arma l’NSA diffuse le informazioni sulle vulnerabilità da loro scoperte e la Microsoft® prese subito provvedimenti: il 14 Marzo 2017 pubblicarono un bollettino riguardo la pericolosità della falla e diedero informazioni su come proteggersi, e lo stesso giorno venne rilasciata una patch che risolve il problema attraverso un aggiornamento. In pratica, se tutti i computer avessero effettuato l’aggiornamento non sarebbero stati colpiti.
Cosa è andato storto?

Paradossalmente il problema sono proprio gli aggiornamenti automatici che dovrebbero proteggerci da questi problemi; invece, in molti casi gli amministratori di sistema preferiscono disattivarli per prevenire problemi di compatibilità con software o hardware presenti nei computer aziendali. In ambito aziendale vengono sviluppati software ad hoc per il richiedente, ma una volta consegnato il prodotto, esso non viene più rimaneggiato o migliorato (comporta dei costi all’azienda); così, con il passare degli anni, si trova ad avere problemi con il sistema operativo e i suoi aggiornamenti. Perciò le aziende preferiscono rimanere con sistemi operativi vecchi o non aggiornati per evitare di far rifare i software precedentemente comprati.
Proprio per questo motivo il WannaCry ha colpito soprattutto PC nelle reti aziendali.

Come possiamo difenderci? -
Una protezione primaria proviene dalla nostra consapevolezza del rischio: bisogna fare attenzione alle e-mail ed abilitare gli aggiornamenti automatici anche se questi possono dare conflitti con software già presente; inoltre bisogna tenere aggiornato il proprio antivirus. Infatti questi ultimi, per stabilire se un programma è malevolo, ne analizza il codice e cerca delle somiglianze con altri presenti in un database che sono noti. Anche tutti questi accorgimenti potrebbero non bastare; per questo occorre comunque preferire la regolare creazione di copie di backup, su dispositivi esterni non sempre collegati al pc, per poter recuperare i propri file senza cedere ai ricatti.

Fun Fact -
Nel frattempo, un ricercatore di sicurezza informatica californiano ha scoperto un metodo per bloccare la diffusione del WannaCry. Egli si è accorto, probabilmente attraverso un’operazione di sniffing del traffico di rete, che i computer infettati per un certo intervallo di tempo inoltravano una richiesta DNS (è il servizio di internet che traduce i domini dei siti in indirizzi IP) su un sito internet non registrato. Da qui l’intuizione che registrando quel particolare sito qualcosa dovesse accadere…
Così si è riusciti a fermare questo attacco planetario.

Utiliziamo cookie tecnici e di terze parti per fornire i nostri servizi e gestire le statstiche. Utilizzando il sito (quindi navigando o scrollando), accetti l'utilizzo dei cookie da parte nostra. maggiori informazioni

Utilizziamo cookie tecnici per fornire i nostri servizi. Tali cookie sono essenziali per la corretta visualizzazione del sito e non possono essere disabilitati. Maggiori informazioni sulla documentazione ufficiale.

Utilizziamo cookie di terze parti per gestire i commenti, appoggiandoci alla piattaforma Disqus. Maggiori informazioni nella documentazione ufficiale.

Utilizziamo cookie di terze parti e di profilazione per gestire le statistiche, appoggiandoci alla piattaforma Google Analytics. Maggiori informazioni nella documentazione ufficiale.

L'Utente puo' disabilitare i cookie modificando le impostazioni del browser, o utilizzando strumenti di gestione online come YourOnlineChioices. Si ricorda tuttavia che disabilitare del tutto o in parte i cookie potrebbe avere un impatto negativo sulla visualizzazione e sulla fruibilita' del sito.

Chiudi