La segnalazione è stata data dall’Agenzia per la Cybersicurezza nazionale tramite il proprio CSIRT (Compter Security Incident Response Team) e prima ancora dalla Francia, da dove pare che l’attacco sia partito, per poi propagarsi in Italia, Europa e Nord America.
Il bersaglio principale sono stati i server VMWare ESXi, un software utilizzato per la virtualizzazione dalle aziende e la conseguenza ed il pericolo principale è la possibile indisponibilità, nelle prossime ore, di siti e servizi pubblici o privati, anche essenziali.
1. Il fatto
L’attacco è stato diffuso tramite ransomware, un software malevolo che entra nei sistemi attraverso un link infetto o una e-mail di phishing per poi criptare i dati ivi esistenti e chiedere un riscatto (ransom, in inglese).
I sistemi di virtualizzazione di VMWare ESXi sono molto diffusi ed utilizzati da aziende private in ogni settore, dunque gli impatti, che potrebbero potenzialmente estendersi a tutti i servizi erogati anche da infrastrutture critiche che si servono dei server colpiti potrebbero essere dirompenti: pensiamo ad esempio al settore bancario o a quello sanitario, dove mettere fuori uso i servizi che si basano sulla rete potrebbe voler dire mettere in pericolo la vita di migliaia di persone.
Occorre tenere presente che i sistemi di virtualizzazione sono alla base della maggior parte dei sistemi informativi aziendali, per cui compromettere il sistema a monte vuol dire, in pratica, bypassare le protezioni degli applicativi nella maggior parte dei servizi aziendali a valle (cioè quelli che utilizzano i server di virtualizzazione), entrando nei sistemi direttamente dalla porta principale: un data breach davvero di dimensioni enormi.
Si stima che alla fine della giornata di domenica 5 febbraio siano stati 640 i server globali compromessi (ma su qualche giornale online si leggono numeri più alti, che superano già il migliaio) e almeno 5 in Italia, ma vista la diffusione del software di virtualizzazione colpito è possibile che il danno aumenti nelle prossime ore.
2. Il malware diffuso
Che cosa sono i ransomware?
Di questo tipo di attacco informatico abbiamo parlato diffusamente (trovate la guida completa ai ransomware qui), ricordiamo i tratti principali. Si tratta di malware (programmi infetti), che rendono inaccessibili i dati in un computer con una chiave di criptazione al fine di richiedere il pagamento di un riscatto per riottenerne la disponibilità. Si tratta di attacchi che hanno il solo scopo estorsivo, poiché i dati non lasciano il computer, non vengono cancellati e non sempre vi è esfiltrazione (al momento pare che in questo caso non ci sia stata), ovvero non vengono diffusi. Semplicemente sono sulla macchina del proprietario o del titolare, ma è come se fossero chiusi in una cassaforte di cui solo il cyber criminale possiede la chiave.
Poiché i dati possono essere criptati un numero innumerevole di volte, avere già il proprio data base o server criptato, di fatto non protegge da un attacco ransomware, ma solo da possibili esfiltrazioni dei dati oggetto di sequestro, in quanto il ransomware può a sua volta re-criptare i dati già criptati con una chiave diversa.
Per ottenere la chiave di decriptazione, di solito viene richiesto un pagamento, parametrato non solo alle dimensioni del data base sequestrato, ma anche alla consistenza del fatturato aziendale, da effettuarsi in criptovalute, seguendo specifiche istruzioni fornite dai criminali stessi.
Come affrontare il problema
Il primo consiglio diramato dagli esperti di cybersicurezza in tutto il mondo è stato quello di “patchare” immediatamente. Che cosa significa?
In inglese “patch” vuol dire cerotto, quindi il consiglio è, letteralmente, quello di “metterci una pezza”. In gergo di cybersecurity una patch è una toppa ad una falla di sicurezza. Naturalmente il problema degli attacchi di successo è proprio quello che di solito la patch non c’è, perché gli attacchi sfruttano vulnerabilità non ancora patchate, ma, e qui sta il tratto preoccupante e grave di questo attacco, le versioni attaccate del software da cui tutto è partito erano già state corrette dall’azienda produttrice di VMware ESXi.
Dunque, aggiornare i sistemi operativi e porre in essere tutte le best practice per la sicurezza della rete, successivamente effettuando una scansione di tutti i sistemi non ancora aggiornati.
3. La gravità dell’attacco
Innanzi tutto, l’estrema diffusione del software di virtualizzazione bersaglio dell’attacco costituisce ovviamente un problema, poiché è come inquinare la fonte di una sorgente d’acqua che va poi a rifornire i bacini idrici di milioni di persone nel mondo: massima diffusione, massimo impatto. Dunque, chi ha realizzato l’attacco ha scelto bene il suo bersaglio.
Ma da un punto di vista squisitamente informatico, il fatto che l’attacco si basi su una vulnerabilità già conosciuta e quindi già “patchata” costituisce il vero punto critico di quanto sta accadendo in queste ore.
Nell’eterna lotta tra sviluppatori e cybercriminali, vince la battaglia quello che sta almeno un passo davanti all’altro. Trovata la vulnerabilità, trovata la patch e c’è da sperare che qualcosa o qualcuno non si insinui nel sistema nel lasso di tempo che lo sviluppatore ci impiega a mettere la pezza.
Aggiornare i sistemi operativi costituisce la base di qualsiasi strategia di cybersecurity che si rispetti e non abilitare gli aggiornamenti automatici o addirittura disabilitarli (questo a volte succede perché gli aggiornamenti operativi possono impattare sull’operatività del programma. Per lo stesso motivo, quando il nostro smartphone ci propone un aggiornamento, non sempre siamo celeri nell’installarlo) aumenta esponenzialmente il rischio.
In questo caso, la correzione della vulnerabilità è stata pubblicata due anni fa, che in campo tecnico equivale a un’era geologica.
A fronte di un crescente numero di attacchi a livello globale e dell’esistenza di buone prassi consolidate, con soluzioni adatte a ridurre i rischi, per troppe aziende l’attenzione ed il budget dedicato alla sicurezza dei dati e dei sistemi informativi rimane ancora qualcosa di secondario, un vezzo da smanettoni e complottisti, per cui non vale la pena di adoperarsi troppo.
Purtroppo, le conseguenze non tardano ad arrivare.
Rimanere vigili e proattivi, formare il personale e aumentare il grado di consapevolezza e prevenzione e adottare le buone prassi consigliate dall’Agenzia per la Cybersicurezza nazionale sono le uniche vere armi che abbiamo per proteggere le nostre aziende, i servizi critici al servizio di tutti i cittadini e in una parola noi stessi.
Ma sembra che ci sia ancora moltissima strada da fare.
Volume consigliato
Come applicare il GDPR e il codice privacy
Grazie al D.Lgs. n. 101/2018 è avvenuto l’adeguamento del nostro Codice privacy (D.Lgs. n. 196/2003) alle numerose modifiche introdotte dal Regolamento europeo 2016/679, noto anche come GDPR – General Data Protection Regulation. Con il decreto di adeguamento – entrato in vigore dal 19 settembre 2018 – il quadro può pertanto ritenersi completo e tutti gli enti, i professionisti e le società dovranno operare nel rispetto del GDPR e della disciplina contenuta nel Codice privacy, così come appena modificato. Ma quali incombenze e adempimenti ne deriveranno, in concreto? L’obiettivo di questo breve manuale è appunto quello di analizzare la nuova legislazione, indicando, anche attraverso esempi pratici e schede di sintesi, i profili di maggior rilievo che professionisti e imprese devono considerare per adeguarsi alla normativa ed evitare di incorrere in gravose sanzioni.Roberta Rapicavoli Avvocato, Master di primo livello in “Diritto delle tecnologie informatiche” organizzato dall’Osservatorio CSIG di Messina, esercita l’attività professionale nel settore della privacy, del diritto informatico e del diritto applicato a internet e alle nuove tecnologie. In tali settori del diritto presta assistenza e consulenza a imprese e professionisti. Si dedica ad attività divulgativa e formativa, pubblicando articoli e approfondimenti in materia di privacy e di diritto informatico su riviste di settore e siti web e partecipando, quale relatrice e docente, a eventi e corsi, organizzati in tutto il territorio nazionale, su tematiche attinenti alla protezione dei dati personali e sulle questioni di maggior interesse riguardanti il rapporto tra diritto e mondo del web e delle nuove tecnologie.
Roberta Rapicavoli | Maggioli Editore 2018
Scrivi un commento
Accedi per poter inserire un commento