DI MARCO ERCOLI

È un britannico di appena 22 anni il ragazzo che comprando un dominio da 10 dollari ha bloccato la diffusione di WannaCry, il virus che ha mandato in tilt organizzazioni governative, aziende e compagnie telefoniche di tutto il mondo. Il giovane, un esperto di cybersecurity, twitta da un account chiamato @malwaretechblog. Analizzando il virus, ha subito notato che, per infettare una macchina, WannaCry cercava di contattare, inutilmente, un indirizzo Web inesistente che terminava sempre con “gwea.com”. Una volta appurato che quel dominio non era stato acquistato né registrato da nessuno, lo ha comprato lui con 10,69 dollari. “L’intento era quello di monitorare la diffusione del virus e di vedere se avremmo potuto fare qualcosa in seguito. Ma lo abbiamo effettivamente bloccato solo registrando il dominio”. Infatti registrando il dominio il ragazzo ha infatti attivato un “interruttore killer” che era stato inserito nel virus dagli stessi hacker, per disattivarlo quando avessero voluto. In sostanza, quando il virus contatta il sito gwea.com e lo trova, l’infezione si blocca all’istante. “Lo abbiamo capito subito perché abbiamo iniziato a vedere 5-6mila tentativi di connessione al secondo al sito: erano tutti i tentativi di infezione che avvenivano nel mondo”. E lui li stava neutralizzando. Il ragazzo, che vive con i genitori, si schernisce, assicura che è successo tutto “per caso”.
Il cyberattacco che ha colpito centinaia di paesi in tutto il mondo dovrebbe valere come campanello d’allarme: i governi non dovrebbero conservare pericolosi software che possono essere trasformati in armi da hacker senza scrupoli. E’ il monito della Microsoft di fronte al massiccio attacco virtuale lanciato venerdì scorso e proseguito durante il fine settimana. Il particolare, il virus, un ‘ransomware’ che blocca i computer e chiede un riscatto per poterli riattivare, era stato rubato all’agenzia di intelligence americana NSA.
“Abbiamo visto vulnerabilità conservate dalla Cia che sono finite su WikiLeaks e adesso questa vulnerabilità rubata alla Nsa ha colpito clienti in tutto il mondo”, ha scritto sul blog della società il presidente della Microsoft, Brad Smith. “Uno scenario equivalente con armi convenzionali sarebbe il furto di missili Tomahawk”. Per questo, ha sottolineato, “i governi di tutto il mondo dovrebbero trattare questo attacco come un campanello d’allarme”. La polizia europea lo ha definito un “attacco senza precedenti” e il G7 è sceso subito in campo per lanciare un messaggio ai Governi affinché condividano informazioni per combattere le minacce crescenti dei cyberterroristi. A 24 ore dal lancio di Wannacry, il malware che ha colpito i sistemi di 100 mila organizzazioni in 150 Paesi in tutto il mondo, si contano i danni che vanno dalle ferrovie tedesche alla Renault che ha fermato gli stabilimenti in Francia, dal sistema sanitario britannico, dove è andato in tilt un ospedale su cinque, all’Università di Milano Bicocca. Secondo un comunicato della Polizia postale, in Italia non ci sarebbero al momento evidenze di danni gravi ai sistemi informatici. «Fino a venerdì sera non avevamo ricevuto particolari segnalazioni», conferma anche Corrado Giustozzi, del Cert-Pa, l’unità di risposta alle emergenze informatiche della pubblica amministrazione.
Comunque non è finita, un nuovo cyberattacco su larga scala potrebbe essere imminente.
Sostiene l’organismo europeo Cert-Eu che è stato utilizzato un metodo in grado di infettare altri computer collegati attraverso una vulnerabilità di Smb, un protocollo di rete implementato in Microsoft Windows, così tutti quei computer che non hanno aggiornato il software con la patch emessa da Microsoft lo scorso 14 marzo e che espongono il protocollo Smb su Internet potrebbero essere infettati direttamente, senza bisogno di aprire una mail con allegati. E una volta infettato un computer l’infezione si propaga facilmente alla rete interna dell’organizzazione colpita. La falla quindi era già stata individuata da Microsoft e aggiornata con il proprio security update rilasciato nel mese di marzo. Purtroppo la diffusione del ransomware è stata permessa e facilitata proprio dalla connessione al web di numerosi sistemi che non sono tenuti aggiornati, per inadempienza o superficialità o scarsa cultura della prevenzione, e che non integrano gli aggiornamenti a problematiche di sicurezza che si presentano periodicamente. Gli utenti MacOS, Linux, Android, Windows Phone, iOS, ChromeOS o qualunque altro sistema operativo diverso da Windows non sono stati coinvolti.
Il ransomware colpisce soltanto i sistemi Windows e soltanto se non sono stati aggiornati. Le versioni vulnerabili di Windows oggetto dell’attacco che hanno reso inutilizzabili molti servizi e sistemi informatici sia personali che collettivi, sono Windows Vista SP2, Windows Server 2008 SP2 e R2 SP1, Windows 7, Windows 8.1, Windows RT 8.1, Windows 10, Windows Server 2012 e R2, e Windows Server 2016.
Uno dei Paesi più colpiti nell’attacco è stato il Regno Unito e in particolare il suo sistema sanitario, il cosiddetto Nhs, con 48 aziende ospedaliere i cui sistemi non hanno retto al virus. Il ministro dell’Interno Amber Rudd ieri aveva rassicurato sul fatto che i problemi fossero stati risolti ma questa mattina il Royal London Hospital, uno dei maggiori centri ospedalieri nella capitale britannica, ha diffuso un comunicato in cui si avverte che i suoi tecnici sono ancora all’opera per riportare il servizio alla normalità. Intanto c’è chi accusa il governo conservatore di non aver fatto abbastanza per prevenire attacchi di questo tipo, in particolare non rinnovando i sistemi del già malandato sistema sanitario, che soffre di una continua carenza di fondi. “Europol sta aiutando i Paesi, l’attacco del Ransomware Wannacry è a livelli senza precedenti e richiede un’indagine internazionale”, ha fatto sapere l’agenzia, che tramite la sua unità di Cybercrime, EC3, è al lavoro “a stretto contatto” con le unità equivalenti dei Paesi membri attaccati e con “partner chiave nell’industria, per mitigare la minaccia e assistere le vittime”. Il coordinamento è fondamentale per contrastare l’attacco, perché in campo informatico si procede per tentativi e appena si trova una soluzione, è applicabile a tutti. Al lavoro non ci sono solo le autorità nazionali ma anche la Nato, con il suo centro di cybersecurity potenziato nei mesi scorsi.
Siccome il problema non è “se verremo attaccati”, ma “quando verremo attaccati”, per evitare problemi in futuro è importante seguire poche e semplici regole di cyber-hygiene:
Effettuare sempre gli aggiornamenti del sistema operativo
Mantenere sempre aggiornato l’antivirus
Condurre periodicamente le scansioni per verificare eventuali compromissioni;
Effettuare sempre il backup dei dati di ogni dispositivo in uso,
Conservare il backup in luoghi diversi, su memorie isolate
Non aprire email, file e cartelle sospette
E, ovviamente, non pagare mai il riscatto richiesto dai ransomware onde evitare nuove richieste, verificando presso le istituzioni e le aziende se sono già disponibili chiavi di decifrazione del malware.
Annunci