Maurizio Tondi, CTO di Axitea, pone l’accento sulle cause che hanno scatenato WannaCry e sulle possibili risoluzioni da mettere in atto per ridurne l’impatto.
– Come ha agito il malware Wannacry? Quali sono state le possibili cause scatenanti?
I veicoli di infezione di WannaCry sono stati principalmente allegati di posta e link malevoli, anche se in realtà non si esclude che si siano utilizzati anche altri vettori d’attacco, come post sui social o file condivisi negli ambienti di file sharing. Questo perché la scelta del mezzo non è così importante: la condizione necessaria e sufficiente affinché vi sia compromissione è che si riesca a raggiungere la vittima con un file da aprire o con un link da seguire, e che la vittima cada nel tranello.
L’infezione è iniziata venerdì ed ha colpito alcuni ospedali del National Health Service (NHS) in quello che si pensava fosse un attacco mirato all’organizzazione inglese. Con il passare delle ore ci si è resi conto che in realtà la campagna non era mirata agli ospedali in sé, ma il malware era indirizzato a colpire in modo esteso più bersagli possibili: questo cyber attacco, fra i più lesivi e coordinati di sempre, ha colpito in soli 3 giorni più di 250 mila vittime in 150 paesi. La campagna ransomware WannaCry è stata condotta indiscriminatamente su tutte le tipologie di mercati e da qualsiasi parte del mondo esse si trovino.
Certamente, dietro ad una simile campagna di attacco non può che esserci un ben finanziato gruppo di cybercriminali. Il punto che difficilmente si riuscirà a chiarire è finanziato da chi. Alcuni pensano dalla Corea del Nord, vista la presunta forte somiglianza tra il codice del ransomware e quello utilizzato da Lazarus, un gruppo di hacker vicino a Pyongyang. Altri pensano invece che WannaCry sia un codice dannoso nato dall’exploit Eternalblue utilizzato da tempo dalla NSA e messo online qualche mese fa da un misterioso gruppo di hacker di nome Shadow Brokers.
– Quali vulnerabilità ha sfruttato questo genere di attacco? Quali piattaforme sono state colpite principalmente?
L’attacco condotto WannaCry con tutte le sue numerose varianti sfrutta alcune vulnerabilità di Microsoft Windows SMB Server, protocollo usato dai computer principalmente per condividere file e stampanti. Tali vulnerabilità critiche sono ampiamente descritte nel Microsoft Security Bulletin MS17-010 e corrette nell’aggiornamento Microsoft Knowledge Base Article 4013389 reso disponibile da metà marzo 2017. La peggiore di queste vulnerabilità consente all’attaccante di eseguire remotamente del codice sulle macchine vittima, semplicemente spedendo uno specifico messaggio al servizio SMB dei target. Le macchine affette da queste vulnerabilità sono le seguenti: Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2, Windows 8.1, Windows RT 8.1, Windows Server 2012 e Windows Server 2012 R2, Windows 10 e Windows Server 2016 (tutte le edizioni di tutte le piattaforme elencate ne sono affette). Da questo si evincono due aspetti rilevanti: l’ampiezza della superficie d’attacco, ovvero tutte le piattaforme Windows sia client che server; l’inefficienza molto diffusa sull’applicazione degli aggiornamenti e delle patch, dal momento che le mirate azioni correttive avrebbero potuto essere condotte già da metà marzo.
– Allo stato attuale come possono reagire gli enti che sono stati attaccati?
Per bloccare WannaCry/WannaCrypt con un adeguato livello di certezza, le organizzazioni dovrebbero effettuare le seguenti attività:
– Verificare la presenza delle vulnerabilità SMB nel proprio parco macchine client e server;
– Installare la patch disponibile su tutte le macchine evidenziate;
– Constatare l’avvenuta corretta installazione;
– Accertarsi, mediante una bonifica digitale, che il sistema informativo non sia stato già compromesso;
– Configurare il sistema di difesa aziendale affinché si accorga dei sintomi tipici di WannaCry/WannaCrypt (Indicator of Compromise);
– Configurare il sistema di allarme per accorgersi dei movimenti laterali e delle attività tipiche di WannaCry/WannaCrypt (alerting).
– Quali attività devono compiere le aziende per evitare o minimizzare gli effetti di Wannacry?
Parlando invece di strategia, il piano di intervento per mitigare WannaCry, ma in realtà tutte le future campagne di attacco, è costituito dai seguenti punti fondamentali:
– Dotarsi di una tecnologia in grado di rilevare le minacce di ultima generazione che sfuggono dai tradizionali sistemi di difesa;
– Gestire la tecnologia e tutti gli eventi in modalità centralizzata per aumentare le capacità di rilevamento preventivo e mitigazione (Security Operation Center);
– Definire ed implementare una completa ed efficace strategia di gestione degli aggiornamenti e di patching dei sistemi;
– Definire e controllare una adeguata procedura di backup con tutte le accortezze necessarie ad evitare i ransomware che invece attaccano proprio tali sistemi;
– Sensibilizzare i dipendenti e tutti gli utilizzatori del sistema informativo ad un corretto ed accorto utilizzo della propria dotazione informatica (training & awareness).
– In senso più ampio, e con riferimento al GDPR, quali sono le best practice che vi sentite di consigliare alle aziende?
Siamo perfettamente in linea con quanto definito dal regolamento generale sulla protezione dei dati, che identifica due best practice, meglio definite come principi: policy by design e policy by default. Non si parla più quindi di requisiti minimi (utilizzati come riferimento per tutti quelli che hanno voluto soddisfare la legge 196 del 2003 con il minimo sforzo), si parla di sicurezza come processo e come componente fondamentale da tenere sempre in considerazione.
Il Regolamento promuove la responsabilizzazione (accountability) dei titolari del trattamento e l’adozione di un approccio basato sul rischio che un determinato trattamento di dati personali può̀ comportare per i diritti e le libertà degli interessati. Il primo principio chiave è quindi privacy by design: la protezione dei dati è garantita, con sistemi preventivi delle minacce, sin dalla progettazione di un trattamento o di un sistema (ad esempio è previsto l’obbligo di effettuare valutazioni di impatto prima di procedere a trattamenti rischiosi per la libertà delle persone).
In secondo luogo il titolare del trattamento è tenuto a mettere in atto misure tecniche e organizzative adeguate per garantire che siano trattati by default solo i dati personali necessari per ogni specifica finalità del trattamento (secondo principio chiave).
In definitiva vuol dire trattare il minimo indispensabile pensando fin dal principio alla sua salvaguardia.
Da ultimo ma non ultimo, risulta evidente che tutti dovranno pensare ad acquisire un servizio di Security Operation Center che garantisca di tenere traccia degli eventi, di storicizzare a norma di legge gli accadimenti e di ricostruire i databreach entro 72 ore.
– La formazione dei dipendenti è un tassello fondamentale. Utenti propriamente formati possono lavorare di concerto con le infrastrutture IT, irrobustendo la security della rete aziendale. In questo contesto, quali scenari potete osservare? Come si comportano le aziende? Quali suggerimenti potete impartire?
A partire da venerdì sera, WannaCry ha colpito in Europa decine di paesi, centinaia di aziende, ospedali ed enti governativi prendendo possesso di centinaia di migliaia di computer. L’attacco massivo ha evidenziato nuovamente e brutalmente quanto sia necessario innalzare i livelli di sicurezza e protezione delle nostre reti informatiche. Quello però che viene maggiormente evidenziato è che, ancora una volta, l’anello debole è costituito dal fattore umano: nulla succede se un’incauta vittima segue un link malevolo o apre un allegato di posta sospetto. Il fattore umano rende quindi vana la strategia tecnologica di difesa delle organizzazioni, ma questo tema non è certo nuovo: basti pensare a sistemi di sicurezza protetti con password deboli, ad installazioni di sistemi caratterizzati da errate configurazioni, e così via… Le aziende da qualche tempo si sono accorte che la sensibilizzazione dei propri dipendenti è una componente chiave del proprio piano di sicurezza strategico e in molti si muovono ad effettuare campagne di test mirati, seguiti da seminari e sessioni di formazione specifiche.
Il suggerimento più importante che ci sentiamo di dover evidenziare è in linea con quel principio di security by design del GDPR, ovvero pensare all’aspetto cyber in ogni progetto, in ogni trattamento, in ogni azione intrapresa, chiedendosi:
– Quali sono i punti deboli del sistema così come è stato pensato (security testing);
– Come possono essere sfruttate le debolezze riscontrate (impact analysis);
– Quali sono le azioni che posso effettuare per coprire le carenze di sicurezza evidenziate (remediation & mitigation);
– Come posso accorgermi di un evento malevolo durante le mie attività (cyber security operation center);
– Chi mi aiuta a gestire gli incidenti di sicurezza e i databreach che mi dovessero capitare (incident handling & incident response team).