Mauro Papini, Country Manager di Acronis, risponde alle nostre domande e pone l’accento sulle modalità di protezione che le aziende possono attuare per difendersi da WannaCry.
– Come ha agito il malware WannaCry? Quali sono state le possibili cause scatenanti? Si è trattato di un malware di tipo ransomware, ovvero che rende indisponibili i dati presenti sul computer dell’utente, cifrandoli, e chiede quindi un pagamento in cambio dello sblocco degli stessi. WannaCry in particolare cripta i file bloccandone l’accesso e aggiunge l’estensione .WCRY. Inoltre impedisce il riavvio del sistema. L’unica cosa che l’utente riesce a è leggere un testo, in cui viene richiesto un “riscatto” iniziale di 300 dollari, che dopo 3 giorni diventano 600, pagabili in bitcoin. Rispetto ad altri sistemi analoghi, la caratteristica maggiormente differenziante, che ne ha facilitato la diffusione, è stata la modalità di propagazione. Il virus si diffonde attraverso finte email, come quasi tutti del resto. Di solito però, l’approccio era del tipo uno ad uno, “una mail aperta, un utente infettato.”Per infettare migliaia di PC era dunque necessario che migliaia di utenti cascassero nella trappola. In questo caso, dopo che viene installato su un computer, il virus comincia da solo a infettare altri sistemi presenti sulla stessa rete, ed eventualmente anche visibili su internet. Questa propagazione di massa può avvenire senza ulteriori interazioni da parte degli utenti.
– Quali vulnerabilità ha sfruttato questo genere di attacco? Quali piattaforme sono state colpite principalmente? Per ottenere il risultato della propagazione indipendente degli utenti, è stata sfruttata una vulnerabilità di alcuni sistemi Windows. In particolare una falla nel protocollo SMB utilizzabile attraverso la porta 445. Tipicamente si parla di sistemi client anteriori alla versione più recente. E parliamo di milioni di macchine. Ovviamente sono sistemi che non sono stati aggiornati non tanto a livello di sistema operativo, ma nemmeno a livello di sicurezza, poiché la vulnerabilità era nota e una patch era già disponibile da Marzo.
– Allo stato attuale come possono reagire gli enti che sono stati attaccati? I sistemi che sono stati compromessi non sono recuperabili, a meno che non si abbia a disposizione un backup dei dati che sono andati perduti. Pagare non è una grande idea, perché si va ad alimentare questo genere di business, e non c’è nessuna garanzia che lo sblocco del sistema avvenga davvero, anzi, è praticamente certo che ciò non avvenga. Non c’è nessuna ragione per cui dovremmo aspettarci il rispetto di questo genere di “contratto” da coloro che hanno propagato il virus. Inoltre questo ransomware non sembra essere dotato di meccanismi che permettano al criminale di riconoscere la macchina dell’utente che abbia pagato, rendendo improbabile che questi possa quindi ricevere una chiave di sblocco.
– Quali attività devono compiere le aziende per evitare o minimizzare gli effetti di Wannacry? Le aziende impattate hanno bloccato la connessione ad internet, isolato le macchine compromesse, ed hanno provveduto ad aggiornare le macchine Windows che ancora erano vulnerabili. Essendo capitato in un weekend, la cosa ha provocato in fondo meno danni di quanto avrebbe potuto, ed è stata gestibile. Direi che tutti dovrebbero fare un assessment sui propri sistemi e provvedere agli aggiornamenti. È davvero il minimo sindacale a questo punto.
– In senso più ampio, e con riferimento al GDPR, quali sono le best practice che vi sentite di consigliare alle aziende? Le aziende più grandi e già strutturate hanno sicuramente le loro policy. Il punto è che basta una sola macchina fuori controllo, e tutta l’organizzazione può essere compromessa. E non sembra realistico pensare che tutte le macchine possano essere sotto un controllo cosi capillare. Forse alla NASA, ma non certo in un’azienda manifatturiera… Quello che suggerirei è di adottare delle policy ragionevoli, per evitare di compromettere la produttività. Scelte del tipo “da domani niente laptop in azienda”, infatti, oltre a non garantire alcun tipo di sicurezza addizionale, avrebbero un impatto negativo sulla produttività assolutamente non commisurato con la minaccia che si cerca di fronteggiare. Consiglio poi di eseguire degli assessment periodici e di aggiornare i sistemi con una frequenza accettabile. Non parlo di aggiornamenti giornalieri, ma almeno di check mensili. È poi chiaramente necessario dotarsi dei giusti strumenti: ovviamente in prima battuta gli antivirus, che però come abbiamo visto potrebbero non essere efficaci. L’unica soluzione possibile, che garantisce una protezione efficace, è dotarsi di un sistema di backup anche a livello dei client. E magari cominciare a prendere in considerazione il cloud come destinazione dei backup alternativa alle cartelle di rete, i famigerati file server, che sono sempre i primi a saltare.
– La formazione dei dipendenti è un tassello fondamentale. Utenti propriamente formati possono lavorare di concerto con le infrastrutture IT, irrobustendo la security della rete aziendale. In questo contesto, quali scenari potete osservare? Come si comportano le aziende? Quali suggerimenti potete impartire? La formazione e la consapevolezza sono la base del comportamento virtuoso, ovviamente. Tuttavia, poiché queste minacce sono mutevoli, appare improbabile potere mantenere la forza lavoro sempre aggiornata su quanto potrebbe accadere. Il BYOD inoltre rende complessa la gestione, poiché il lavoratore non è sempre seduto alla sua postazione, ma è sempre più mobile e meno controllabile. L’unica soluzione, a mio avviso, risiede nell’adottare una strategia mista: formazione, comunicazione semplice e continuativa, e tool di supporto lato IT. Ove uno dei tre elementi mancasse, la pressione sugli altri due diverrebbe eccessiva, e in definitiva la strategia sarebbe meno efficace e più costosa.
