Cronaca di attacco annunciato

L’ultimo attacco informatico che ha reso inaccessibili i dati di moltissime realtà governative (il sistema sanitario britannico per citarne una) e private (telefonica, KPMG, ecc.)  ha portato nuovamente alla ribalta il tema della sicurezza informatica.

“WannaCry” sfrutta una vulnerabilità di Windows (sia client sia server) che permette al virus di propagarsi all’interno della rete locale e criptare tutti i file presenti nelle macchine infette, viene quindi chiesto un riscatto per poter accedere nuovamente ai propri dati.

Ma WannaCry, e i ransomware in generale, sono davvero inarrestabili? I numeri dell’attacco (200.000 terminali infettati in 74 nazioni diverse) sembrerebbero dare risposta affermativa ma la realtà racconta una storia diversa.

La vulnerabilità sfruttata per l’attacco era stata chiusa da Microsoft con un aggiornamento rilasciato più di un mese fa!!! Quindi chiunque avesse effettuato gli aggiornamenti di sicurezza sarebbe risultato immune alla minaccia.

L’unico sistema operativo che non aveva ricevuto l’aggiornamento di sicurezza era Windows XP, sistema fuori supporto da più di tre anni! Mantenere in produzione un sistema operativo con quindici anni sulle spalle e non supportato dal produttore più di tre significa volersi fare del male.tweet

Inoltre persino l’infezione dei sistemi XP si sarebbe potuta evitare semplicemente adottando e mantenendo aggiornati i vari sistemi di sicurezza disponibili sul mercato (firewall, antivirus ecc.) pensati per contrastare anche i ransomware.

Gli utenti Sonicwall con i servizi avanzati di protezione attivi ad esempio, sono risultati immuni all’attacco.

I firewall UTM (Unified Threat Management) Sonicwall infatti permettono, se opportunamente configurati, di analizzare tutti file ricevuti da internet e bloccare non solo quelli già riconosciuti come malevoli ma anche tutto ciò che è sconosciuto proteggendo dalle minacce “zero-day” (ovvero non ancora identificati da produttori di antivirus).

Se questo non fosse sufficiente, installando non solo sui PC ma anche su tutti i server, che dovrebbero essere l’unica posizione in cui archiviare i dati aziendali, un antivirus in grado di rilevare eventuali operazioni malevole è possibile limitare anche quelle minacce che non è stato possibile bloccare preventivamente.

Il modulo “Anti-Cryptor” incluso nell’antivirus Kaspersky ad esempio analizza tutte le share di rete alla ricerca di comportamenti anomali (cancellazione, crittazione, modifica o scrittura di elevate quantità di file in breve tempo) bloccando tempestivamente qualsiasi operazioni sui file limitando quindi i danni al minimo possibile.

Qupadlock-1445072_1280esta minaccia qualcosa di “positivo” forse lo ha lasciato: ci ha insegnato che la maggior parte delle minacce sono facilmente contrastabili seguendo le principali linee guida della cyber security: manteniamo sempre aggiornati i sistemi e investiamo in sicurezza!

D’altro canto vivremmo mai in una casa nuova  con la porta d’ingresso arrugginita?