“Attacco hacker, ospedali nel mirino“: così, nella giornata di ieri, ha preso forma la notizia relativa alla diffusione del famigerato Wannacry. Eppure le parole dovrebbero essere importanti e dietro ognuna di queste c’è un errore di fondo tale per cui la percezione della notizia presso un pubblico non sufficientemente informato (ossia la gran parte del pubblico italiano) è stata sicuramente deviata. Far chiarezza non significa dunque mettere i puntini sulle “i” o abbandonarsi ai tecnicismi: è questione fondamentale per capire davvero la notizia ed evitare di commentarla in modo bislacco. Anche perché, dopo un fenomeno di questo tipo, non è difficile pensare a proposte di legge che cavalchino l’onda pur di fermare i cybercriminali: spesso e volentieri questi interventi costano il sacrificio di una porzione di libertà individuale, quindi muoversi in modo oculato (evitando grossolani errori già compiuti in passato) sarebbe un grosso passo avanti nella giusta direzione.
Wannacry: le cose da sapere
- Non è stato un attacco
- Non sono hacker
- Nessuno è nel mirino
- Quali sono le vittime
- Perché i pagamenti sono in Bitcoin
- Si può spegnere?
- Cosa possono fare le vittime?
Non è stato un attacco
Punto primo: non è stato un vero e proprio attacco. Bisogna infatti distinguere da quello che è un assalto all’arma bianca e quella che è invece una strategia fatta di piccole trappole disseminate in attesa dell’incauta vittima. Quando si parla di ransomware, come in questo caso, vale il secondo scenario: i malintenzionati non hanno organizzato alcun attacco, ma hanno invece disseminato a pioggia una serie di trappole in cui è caduto chi ha commesso almeno due gravi errori.
Per disseminare queste “trappole” si sfrutta un meccanismo noto da sempre: email contenenti un codice maligno in allegato, a cui si può fare accedere la vittima con vari stratagemmi. Il consiglio di fare molta attenzione alle email non attendibili non è mai sufficientemente metabolizzato e l’elemento umano è quindi il primo vero “bug”. Soltanto cadendo in questa trappola, e soltanto se il proprio sistema è predisposto ad essere attaccato (in conseguenza di un mancato aggiornamento), allora si diventa vittime di Wannacry e altri malware di simile natura.
La definizione di “attacco” è tollerabile nella misura in cui tutto è avvenuto in un dato momento, a seguito di una sorta di attivazione cronologicamente prevista. La comparsa del ransomware in un dato momento e su molti pc offre l’impressione di un attacco coordinato e centralizzato, ma in realtà la diffusione ed il meccanismo dimostrano come la realtà sia differente. Per questo motivo anche noi abbiamo usato la parola “attacco”, ma a distanza di poche ore vogliamo fare un piccolo mea culpa e spiegare meglio quanto accaduto e quali siano quindi le parole più opportune da utilizzare.
Non sono hacker
L’errore più grave è nel chiamare “hacker” chi hacker non è. Un malware che si autoinstalla, mette sotto sequestro dei file e quindi chiede un riscatto per liberarli, non può infatti essere frutto di una mera azione di ricerca: in modo del tutto evidente c’è la ricerca di un lucro, anche al costo di un danno altrui, il che si prefigura quindi come lo scenario di una azione “cracker”.
Un hacker in possesso di tali informazioni le rende note alle aziende interessate per consentire a queste ultime di risolvere il problema. Un cracker, al contrario, sfrutta le vulnerabilità a proprio vantaggio: una questione etica non di poco conto visto che le ricadute economiche e sociali possono essere pesantissime. Per questo motivo ha usato, usa e userà il termine “cracker” benché la maggior parte dei media e degli utenti non facciano caso a questa fondamentale distinzione dietro a cui si celano significati profondi e buona parte della storia dell’informatica degli ultimi decenni.
Nel caso in questione sussistono sfumature ancor più complesse poiché, secondo quanto emerso in queste ore, il codice dell’attacco sarebbe direttamente derivato da un codice sviluppato dalla NSA per monitorare eventuali sospettati di terrorismo internazionale. Un codice di questo tipo può dunque fungere da vera e propria spia all’interno dei pc, spesso e volentieri nella piena inconsapevolezza dell’utente. Come definire l’azione della NSA? “Hacker” o “Cracker”? Se partiamo dal presupposto per cui la discriminante sia nelle finalità, occorre affidarsi alle assicurazioni che offrono le istituzioni (che in passato hanno però dimostrato di non agire sempre con eccessiva linearità e trasparenza). Anche il modus operandi è però sintomatico, e tutto lascia pensare che non sia particolarmente saggio da parte delle istituzioni costruire sistemi di controllo poiché medesimi strumenti possono facilmente essere sfruttati con finalità ben differenti. Wannacry ne è un esempio lampante.
Nessuno è nel mirino
Un altro punto fondamentale è relativo alle vittime. Se è assodato come la diffusione del malware sia semi-casuale, moltiplicandosi attraverso una sorta di “passaparola” virale che molto ha in comune con una comune influenza, allora per definizione non è possibile stabilire che i cracker avessero qualcuno o qualcosa nel mirino. Fino a prova contraria, insomma, l’obiettivo finale era semplicemente il lucro, a prescindere da quale fosse la vittima disposta a pagare il riscatto. Impossibile dunque sostenere, come immaginato nelle prime ore e ripetuto superficialmente nelle ore successive da troppi media, che nel mirino vi fossero nazioni o enti specifici: sono decine le nazioni coinvolte, centinaia le organizzazioni e decine di migliaia i privati che in queste ore stanno facendo i conti con Wannacry.
Chi è dunque realmente nel mirino? I “deboli”: chi non ha strumenti aggiornati, chi non ha le conoscenze minime indispensabili, chi non ha consapevolezza dei rischi che corre, chi non sa cosa sia un backup. Ma non certo persone, enti o nazioni specifiche. Non in questo caso, quantomeno.
Va ricordato inoltre come i ransomware siano una tipologia di attacco sempre più diffusa, che consente di monetizzare in modo molto più rapido gli attacchi rispetto al passato. Un nome già estremamente noto in Italia è stato il famigerato CryptoLocker con il quale hanno fatto in molti i conti negli anni passati. Ora è il turno di Wannacry e tutto lascia supporre che la battaglia con questo codice (battaglia nella quale stanno ora per entrare le principali case di antivirus) sia solo agli inizi. Ed è destinata a durare a lungo.
Quali sono le vittime
Vittima di Wannacry è chi ha commesso almeno due gravi errori al tempo stesso. E vanno commessi entrambi gli errori, perché uno solo non basta:
- non aver installato la patch MS17-10 diramata nel mese di marzo. Sarebbe sufficiente avere gli aggiornamenti automatici attivati per non doverci nemmeno pensare: ogni mese, il primo martedì del mese Microsoft rilascia gli aggiornamenti di sicurezza più importanti per i propri sistemi ed avere un sistema ben mantenuto è la condizione prima per arginare le peggiori minacce;
- nel caso in cui il proprio sistema sia vulnerabile, l’apertura di un file contenente il codice maligno di Wannacry o l’improvvido click su un apposito link ne consente l’installazione. Impossibile pensare che le modalità rimarranno le medesime: worm o phishing che sia, il malware si moltiplica comunque passando per l’elemento umano o attraverso reti aziendali di pc. La consapevolezza di quel che si fa online, unitamente all’utilità di software antivirus e ad una necessaria informazione quotidiana, consentono di evitare la maggior parte dei rischi.
Una volta installato il malware, si diventa marionette nelle mani dei malfattori. Ad un dato momento il ransomware fa scattare i propri lucchetti e da quel momento in poi si è in fase di emergenza, impossibilitati ad utilizzare il pc e privi dei propri file, in certi casi anche importanti. A quel punto piangere sui mancati aggiornamenti, sulla mancata attenzione e sui mancati backup non serve più.
Perché i pagamenti sono in Bitcoin
Per liberare i file dal lucchetto di Wannacry è necessario pagare una somma pari a 300 dollari. Tale somma va però pagata in Bitcoin, procedura non semplice per tutti. La scelta dei Bitcoin è ovvia da parte degli autori della truffa: grazie a questa procedura riescono a rimanere anonimi e non debbono gestire nel mondo fisico un flusso di denaro che sarebbe altrimenti tracciato secondo la filosofia del “follow the money”.
Si può spegnere?
La prima versione di Wannacry poteva essere spenta. La scoperta è avvenuta “per caso” grazie ad un ricercatore che ha immediatamente notificato quanto scoperto, provvedendo affinché il danno potesse essere limitato.
Semplicemente il creatore del malware ha inserito un “kill switch” all’interno del proprio codice consistente in un nome a dominio che, se trovato attivo, avrebbe detronizzato l’azione del ransomware. Difficile capire la reale motivazione all’origine di tale stratagemma: un eccesso di cautela che giocoforza andrà a depotenziare il malware. Il ricercatore ha pertanto registrato tale dominio a proprio nome, affinché potesse essere attivato subito bloccando ogni nuova potenziale infestazione.
My blog post is done! Now you can read the full story of yesterday's events here:https://t.co/BLFORfM2ud
— MalwareTech (@MalwareTechBlog) May 13, 2017
Tale azione nulla può per i pc già infetti e al tempo stesso alcune varianti del codice prive di “kill switch” sono già state identificate.
Dunque sì: Wannacry poteva essere spento. Ora però il malware si sta già moltiplicando con modalità nuove e senza paracaduti: il pericolo continuerà a moltiplicarsi e soltanto la diffusione del “vaccino” della patch può mettere tutti al sicuro. A tal proposito va segnalato come Microsoft con uno sforzo supplementare abbia diramato aggiornamenti anche per le vecchie versioni di Windows, non più ufficialmente supportate (ad esempio Windows XP), così da consentire l’update anche sui sistemi più datati evitando che potessero facilmente diventare focolai di infezione.
Update: a distanza di 24 ore un ulteriore “kill switch” è stato trovato. Il dominio è stato così registrato e la sua attivazione consente di fatto di anestetizzare l’effetto di una nuova versione di Wannacry. La lotta tra guardia e ladri è destinata a continuare su questa falsa riga.
Thanks to @benkow_ who found what looks like a new 'kill switch' domain and @msuiche who registered it and transferred it to our sinkhole.
— MalwareTech (@MalwareTechBlog) May 14, 2017
Cosa possono fare le vittime?
Poco. Un apposito sito consigliato anche dall’Europol ricorda come ci siano alternative al pagamento del riscatto per poter riavere i propri file, ma che la prevenzione sia comunque l’unica vera soluzione da tenere in considerazione in generale. Una volta infettato il pc, infatti, spesso non si può più far nulla. In alcuni casi è invece possibile tentare il salvataggio in extremis sfruttando alcune chiavi disponibili pubblicamente, con le quali forzare il blocco e liberare il proprio sistema. Per maggiori informazioni è possibile seguire le istruzioni disponibili sul sito “No more ransom!“.
Il termine «ransomware» si riferisce a un malware che blocca il computer e i dispositivi mobili, oppure codifica i file elettronici contenuti nei dispositivi. Quando questo avviene, l’utente non può più accedere ai propri file e dati, a meno che non paghi un riscatto. In ogni caso il pagamento del riscatto non è una garanzia di riavere i propri dati e non si dovrebbe mai pagare!