WannaCry: dagli amici mi guardi Iddio…

Blog

…che dai nemici mi guardo io.

WannaCry colpisce la Deutsche Bahn

Questo detto popolare riassume bene quello che penso dell’emergenza #WannaCry.

In tema di informatica, per guardarmi dai nemici sto attento a rendere il più possibile protetto il mio computer, installando gli aggiornamenti (patch) di sicurezza non appena questi vengono rilasciati, evitando di aprire allegati e di cliccare su link di dubbia provenienza, adottando insomma tutte quelle precauzioni – ben note agli addetti ai lavori – che sono necessarie per utilizzare in sicurezza gli strumenti informatici.

Nel mentre, i miei e nostri “amici” investono risorse immense per ricercare falle di sicurezza in questi ed altri strumenti informatici (computer, smartphone e altri dispositivi elettronici collegati in rete quali ad esempio TV, router, automobili, frigoriferi e così via). Quando le trovano, investono altre quantità immense di tempo e denaro per scrivere programmi capaci di sfruttare queste falle, costruendo pezzo dopo pezzo un piccolo arsenale di armi informatiche pronte da eventualmente usare contro i “nemici“.

Poi gli amici si fanno “sfuggire” le chiavi di questo arsenale, che diventa così di dominio pubblico. I nemici ringraziano e senza perdere tempo individuano le armi migliori, le modificano e al momento giusto sferrano un nuovo tipo di attacco contro il quale le buone vecchie precauzioni sono inefficaci.

In a nutshell“, in breve, questa è la storia del malware WannaCry che in questi giorni sta causando enormi danni paralizzando vari sistemi informatici di tutto il mondo. I nostri “amici” di NSA hanno creato EternalBlue, uno strumento d’intrusione informatica che sfrutta varie falle dei sistemi operativi dei PC che tutti usano. Un bel giorno un gruppo di “cattivi” che si fa chiamare “The Shadow Brokers” (TSB) è riuscito a rubare EternalBlue a NSA, poi ha provato a monetizzare i proventi del furto mettendoli all’asta. Non avendo ricevuto offerte adeguate, TSB ha reso pubblica la notizia del furto, diffondendo i codici di EternalBlue.

WannaCry sui computer dell'Università di Milano-Bicocca

Solo a questo punto gli esperti di sicurezza informatica sono passati al contrattacco. Microsoft ha scritto e rilasciato gli aggiornamenti di sicurezza per correggere le falle nei sistemi operativi supportati. Tra questi non è compreso Windows XP, un s.o. ormai obsoleto il cui supporto ufficiale è terminato nel 2014.

Nel frattempo, qualche altro “cattivo” che ad oggi può essere definito “i soliti ignoti” ha fatto tesoro della conoscenza delle armi NSA rivelate da TSB e ha scritto un programmino che ha denominato WannaCry (vuoi piangere?). Venerdì scorso WannaCry è entrato in azione. Sfruttando un innocuo servizio di comunicazione di rete – SMB – attivo su tutti i computer, questo malware ha infettato molti PC vulnerabili in tutto il mondo. Le infezioni hanno colpito PC con sistemi operativi moderni (da Windows 7 in poi) i cui utenti e amministratori non avevano ancora applicato le patch rilasciate da Microsoft lo scorso marzo, e naturalmente moltissimi PC sui quali gira Windows XP per il quale le patch proprio non esistevano.

Una volta installato, WannaCry prova innanzitutto a infettare altri PC sulla rete locale di quello già colpito. Poi comincia a operare nella tradizionale modalità del ransomware, ovvero cripta (codifica) tutti i file dei PC infetti utilizzando una chiave nota solamento all’autore del malware. L’operazione avviene in modo rapidissimo senza che l’utente abbia modo di accorgersene. Quando tutti i file sono criptati, sullo schermo del PC compare una richiesta di riscatto. Per sbloccare il PC e per recuperare i file divenuti inaccessibili è richiesto il pagamento di un riscatto che il cattivo ricattatore invita a mandargli tramite una forma di pagamento (i bitcoin) per lui sicura, in quanto non tracciabile.

Chiunque lavori nel pubblico (enti, scuole e università, ospedali) sa benissimo che per “mancanza di fondi” moltissimi PC di quotidiano utilizzo al lavoro “girano” ancora in WinXP. Non solo in Italia: il danno maggiore di cui si è avuta notizia è quello inflitto al National Health System (NHS) britannico.

Oggi siamo ancora nel pieno dell’emergenza e non è ancora stata fatta una stima dei “danni”. Tra questi danni non ci saranno “solo” aziende che avranno perso dati preziosi, o “solo” soldi che operatori pubblici e privati avranno versato ai ricattatori per sbloccare i sistemi ed evitare così di subire danni maggiori. E’ inevitabile notare che quando un malware rallenta o paralizza un ospedale, tra i vari “danni” ci saranno anche quelli fisici procurati a pazienti che non avranno potuto ricevere le cure programmate o necessarie in situazioni di emergenza. Non vorrei essere nei panni dello sfigato che – vittima di un incidente – viene dirottato dal pronto soccorso più vicino a un altro più lontano perchè il primo è bloccato da WannaCry. In quel caso sì, che wanna cry lacrime amare.

Tornando alla storia degli amici, dei nemici e di Dio, ho notato che la tendenza odierna della maggior parte della stampa e dei media tradizionali è quella di tirare in ballo – come fa qui la RAI –  il solito babau del “gruppo legato alla Russia”. Se il titolo non fosse abbastanza eloquente, evidenziano in grassetto che “secondo gli esperti ci sono evidenze dei legami tra Shadow Brokers e Mosca” e più in basso ci informano che “Al G7 pronto l’accordo sulla lotta agli attacchi informatici“. Nel frattempo dice “Europol: attacco senza precedenti, serve indagine“.

Tutto bello, tutto vero. Le indagini probabilmente stabiliranno che le colpe primarie dei decessi negli ospedali bloccati andranno attribuite in primis alla negligenza degli amministratori di sistema che non hanno aggiornato le protezioni sulle loro reti, e poi alla mancanza di fondi che obbliga il pubblico a non poter rottamare i PC obsoleti, e via così bla bla bla bla.

Dagli amici mi guardi Iddio, che dai nemici mi guardo io!

Per fortuna molti autorevoli esperti, commentatori e divulgatori stanno facendo notare che forse sarebbe meglio se chi si occupa di cybersicurezza ad altissimi livelli lavorasse in cooperazione con gli addetti ai lavori per aumentare le difese della popolazione dagli attacchi informatici, invece di nascondere informazioni e creare nuovi attacchi… che poi diventano segreti di Pulcinella.