CYBER-ATTACCO GLOBALE | 28 Giugno 2017

Attacchi informatici, la nuova frontiera della sicurezza

Il 27 giugno un cyber attacco globale ha mandato in tilt i sistemi informatici di grandi multinazionali. Come difendersi in questi casi? Le nuove frontiere lanciate dalla spin-off «Moon Cloud»

di ERNESTO DAMIANI

Version:1.0 StartHTML:0000000167 EndHTML:0000006249 StartFragment:0000000454 EndFragment:0000006233

Ancora una volta la criminalità informatica ha colpito simultaneamente organizzazioni in diversi paesi in tutto il mondo. Come il suo predecessore, WannaCry, anche in questo caso si tratta di un ransomware, cioè un programma che critta tutti i file presenti sulla macchina sotto attacco rendendoli inutilizzabili, e chiede poi un riscatto per decrittarli. Funziona come altri programmi del suo tipo, ma contiene alcuni accorgimenti che evidenziano le grandi conoscenze e competenze informatiche dei suoi autori.
In primo luogo, utilizza una recente tecnica per attaccare il sistema operativo Windows che è stata diffusa in Rete diversi mesi fa da un gruppo anonimo, gli Shadow Brokers. Si tratta probabilmente della versione civile e modificata di un’arma da guerra, l’attacco EternalBlue o EternalRomance messo a punto dall’Agenzia Nazionale di Sicurezza (NSA) statunitense per entrare nei computer dei Paesi ostili. Come spesso capita alle armi da guerra, questo ransomware è caduto nelle mani della criminalità organizzata. EternalBlue sfrutta un punto debole del protocollo SMB, con cui le macchine Windows chiedono servizi di rete le une alle altre, per eseguire sulla macchina attaccata un programma proveniente dalla macchina attaccante, con tutti i privilegi dell’amministratore di sistema. Anche se Microsoft parrebbe aver diffuso un aggiornamento di Windows che elimina questa vulnerabilità, non tutte le organizzazioni l’hanno installato per tempo.

Il ransomware probabilmente una variante del virus Petya (NotPetya), diffusosi dalla Russia il 27 Giugno 2017, ha attaccato luoghi sensibili come la centrale di Chernobyl e parrebbe sfruttare una diffusione tramite allegati infetti alle mail per scavalcare la sicurezza perimetrale.

L'architettura del più famoso WannaCry come probabilmente anche l’architettura anche di Petya, è modulare, cioè le funzioni di contagio e crittazione sono realizzate da moduli ben distinti e sostituibili separatamente. La maggior parte dei ransomware non è modulare, ma ha una struttura monolitica piuttosto semplice. Ciò significa che non abbiamo a che fare con dilettanti: gli autori di questi ultimi attacchi costituiscono probabilmente un gruppo di sviluppo esperto e appartengono alla criminalità organizzata.
 

Raccomandazioni

Forse più di ogni altra cosa, questo attacco dovrebbe ricordare a tutti – dalle grandi aziende con migliaia di computer ai piccoli operatori che ne hanno due o tre – l'importanza di tenere continuamente sotto controllo la sicurezza, specialmente quando si tratta di aggiornamenti di prodotti Microsoft. Un'altra protezione fondamentale è eseguire il backup dei dati usando un’unità a disco esterna separata da quelle che usiamo comunemente (i ransomware cancella i backup che trova sul disco che infetta). Chi aveva un backup esterno ripristinabile ha lasciato gli attaccanti a bocca asciutta.

 

Moon Cloud

Per difendersi da questo genere di attacchi così come da molti altri, il gruppo del Prof. Ernesto Damiani del Dipartimento di Informatica “Gianni Degli Antoni” a Crema, comprendente tra gli altri il Prof. Claudio Ardagna, il Dott. Marco Anisetti ed il dottorando Filippo Gaudenzi, sta per lanciare la spin-off Moon Cloud (raggiungibile al sito moon-cloud.eu) che ha come obiettivo principale quello di offrire un servizio per monitorare il corretto funzionamento e la corretta configurazione dei meccanismi per la protezione della sicurezza dei sistemi informatici, Moon Cloud valuta lo stato di salute di un sistema IT e minimizza il rischio di attacchi.

Se Moon Cloud fosse stato installato e adottato per tempo, grazie alle sue attività di monitoraggio e analisi delle configurazioni, i sistemi obsoleti o con configurazioni rischiose sarebbero stati identificati ed aggiornati per tempo, e le eventuali attività di criptazione del ransomware segnalate prima che il danno diventasse irrimediabile.

Moon Cloud a differenza degli antivirus, che mirano a riconoscere un software malevolo, verifica lo stato delle protezioni del sistema e monitora gli effetti prodotti da software malevoli così da evitare di dover affrontare l’impossibile problema di riconoscere ogni variante di un dato virus, difetto principale dei software antivirus odierni.


ERNESTO DAMIANI

Professore Ordinario - Università degli Studi di Milano - Dipartimento di informatica - Sede di Crema. Esperto di sicurezza e reti

AUTORI

COMMENTI

Non ci sono commenti per questo articolo.