Paolo Palumbo, Senior Researcher F-Secure Labs, risponde alle nostre domande per fare maggiore chiarezza circa la minaccia WannaCry, suggerendo alcune possibili contromosse.
– Come ha agito il malware Wannacry? Quali sono state le possibili cause scatenanti?
Wannacry è il prodotto di cyber criminali che hanno combinato uno schema cryptoransomware tradizionale con delle funzionalità di tipo worm basate su un exploit rubato all’NSA il mese scorso.
– Quali vulnerabilità ha sfruttato questo genere di attacco? Quali piattaforme sono state colpite principalmente?
Il malware attacca la piattaforma Windows e sfrutta la cosiddetta vulnerabilità ETERNALBLUE per muoversi da una macchina vulnerabile all’altra. Le vulnerabilità specifiche sono:
– CVE-2017-0143 – Windows SMB Remote Code Execution Vulnerability
– CVE-2017-0144 – Windows SMB Remote Code Execution Vulnerability
– CVE-2017-0145 – Windows SMB Remote Code Execution Vulnerability
– CVE-2017-0146 – Windows SMB Remote Code Execution Vulnerability
– CVE-2017-0147 – Windows SMB Information Disclosure Vulnerability
– CVE-2017-0148 – Windows SMB Remote Code Execution Vulnerability
Microsoft ha rilasciato una patch (MS17-010: https://technet.microsoft.com/en-us/library/security/ms17-010.aspx) per le versioni supportate di Windows già lo scorso marzo. Vista la gravità della situazione Microsoft ha anche eccezionalmente rilasciato una patch per versioni non supportate di windows (incluso Windows XP).
– Quali attività devono compiere le aziende per evitare o minimizzare gli effetti di Wannacry?
Le aziende devono fare in modo di avere configurato correttamente il proprio firewall e di avere applicato le ultime security patches di Microsoft, in modo particolare MS17-010, per impedire il diffondersi ulteriore di Wannacry.
In generale, le aziende dovrebbero sempre utilizzare una security suite robusta ed efficace, aggiornare il proprio software e cercare di minimizzare l’utilizzo di plugins per i browser. Bisogna ricordarsi che il firewall è uno strumento estremamente efficace se utilizzato correttamente – l’importante è fare in modo di configurarlo in modo appropriato. Quando si parla di crypto ransomware, avere una strategia per il backup e implementarla correttamente è un aspetto fondamentale e spiegare ai propri utenti che bisogna fare attenzione prima di aprire allegati di posta elettronica provenienti da sconosciuti o in generale sospetti.
– In senso più ampio, e con riferimento al GDPR, quali sono le best practice che vi sentite di consigliare alle aziende?
L’arrivo del GDPR sicuramente aiuta ad evidenziare una carenza presente oggi nelle aziende di tutto il mondo, e mette queste stesse aziende di fronte all’esigenza di dover fare meglio. Questo vuol dire rendersi conto che i dati delle aziende, dei propri clienti e utenti è un critical asset e va protetto accuratamente. Una volta fatta questa considerazione, si deve iniziare un percorso di risk management che porterà all’implementazione di una security strategy aziendale adeguata e che soddisfi i requisiti del GPDR. Chiaramente questo implica utilizzare tecnologie efficaci e all’avanguardia, ma vuol dire anche mettere in campo processi adatti, la formazione del personale e tutta una serie di attività meno tecnologiche che però sono critiche.
– La formazione dei dipendenti è un tassello fondamentale. Utenti propriamente formati possono lavorare di concerto con le infrastrutture IT, irrobustendo la security della rete aziendale. In questo contesto, quali scenari potete osservare? Come si comportano le aziende? Quali suggerimenti potete impartire?
In generale, il personale è sempre la risorsa più importante in un’azienda, e investire sulla formazione è qualcosa che porta benefici nel breve termine ma soprattutto nel lungo. Coinvolgere gli utenti aiuta nella prevenzione e nell’identificazione di problemi legati alla sicurezza informatica, e in un certo senso aiuta il dipartimento IT distribuendo la responsabilità. Chiaramente risulta sempre difficile andare a capire quale sia la situazione reale all’interno delle aziende, ma quando parlo con i nostri clienti ho l’impressione che sia in atto un cambiamento positivo per quello che riguarda l’atteggiamento verso la sicurezza informatica, complice anche l’avvento del GDPR.