WannaCry: il solito attacco all’ignoranza

Ci risiamo: un ransomware si diffonde rapidamente tramite email e tramite una falla software oramai già nota e chiusa, e il mondo grida all’attacco catastrofico al mondo digitale, ad opera di qualche genio capace di superare tutte le nostre difese.

Purtroppo da una prima analisi del caso odierno, siamo nuovamente di fronte ad una bolla (nelle cause, non negli effetti) che evidenzia come si tratti del solito attacco all’ignoranza, sia dei tecnici che degli utenti finali. E non un attacco ai sistemi informatici.

  1. Come tutti i ransomware fino ad ora diffusi, anche questo ha una prima diffusione che è basata sulle email e sul phishing. Come sempre, c’è gente che apre le email delle finte bollette Enel da migliaia di euro, ecc. senza minimamente pensare a quello che ha davanti e a quello che sta facendo. Film già visto e rivisto, niente di geniale.
  2. Come tutti i virus peggiori già visti, anche questo si moltiplica e diffonde poi grazie ad una vulnerabilità nota di un sofware. Vulnerabilità conosciuta, risolta dal produttore da tempo, addirittura chiusa con una patch rilasciata all’interno di un sistema di aggiornamenti automatici che non richiedono quindi un intervento esplicito dell’utente. Nonostante questo, ci sono molti sistemi su cui questa patch non è montata, perchè?

L’unica vera novità di WannaCry sembra essere l’aver unito in un unico prodotto le caratteristiche storice del ransomware con quelle del virus vecchio stile. Quindi la sua forza è maggiore, ma niente di per se stesso pericoloso.

Purtroppo, tralasciando il capitolo sugli utenti finali che cascano beceramente nel phishing banale che diffonde questi virus, il vero problema che mette a nudo è l’incapacità di molti amministratori di rete, anche tra coloro che si definiscono professionisti e che per questo vendono la loro consulenza. Purtroppo ancora negli ultimi anni, anche molto di recente, mi è capitato di mettere le mani su sistemi installati e gestiti da società diverse da Huge! e trovare gli aggiornamenti automatici del sistema operativo o di altri software disattivate.

Chiunque sappia minimante qualcosa di sistemi software, networking e sicurezza, sa che l’applicazione delle patch non è un capriccio, non è un vezzo, ma è ordinaria prassi indispensabile al mantenimento in produzione dei sistemi. Tutti gli attacchi catastrofici di massa che ho visto, cryptolocker a parte, sono sempre stati collegati a falle di software ben note, già chiuse dal produttore, per le quali le patch erano disponibili. Poi però ci sono sempre i grandi consulenti che insegnano a non installare le patch, non far fare gli aggiornamenti automaticamente ai sistemi “altrimenti di bloccano”, ecc. Con il risultato che ci sono IT manager che poi ti chiedono se gli aggiornamenti “li dobbiamo proprio attivare e se non è meglio farli a mano”, vale a dire non farli mai.

Proprio la settimana scorsa un cliente ha ricevuto da un suo fornitore software un messaggio pieno di inviti a caratteri cubitali, da distribuire a tutti in azienda, a NON installare le ultime patch di Windows in quanto queste avrebbero bloccato il loro motore di report! Questi sono i professionisti di cui è piena l’ICT, su questo terreno è relativamente facile distribuire attacchi di massa.

Sorvolerò infine per pietà su coloro (e sono tanti……) che in azienda hanno ancora Windows XP perchè tanto va bene lo stesso. Suggerisco solo a loro di ringraziare Microsoft per aver oggi rilasciato una patch regalo proprio per il bug sfruttato da WannaCry, nonostante non se lo meritassero.

Post Author: Bruno