Cyber attack da un virus ransomware

Pubblicato il 15 maggio 2017 da redazione

 

Cyber attack ransomware

 

La settimana scorsa, il cyber attack perpetrato da un virus ransomware, probabilmente sviluppato a partire da un’arma digitale sottratta alla National Security Agency (NSA, ossia l’Agenzia Americana per la Sicurezza Nazionale), ha letteralmente scosso il pianeta, mettendo a nudo le molteplici e malcelate criticità che affliggono una società ormai fortemente digitalizzata. Un attacco simile a quello che nel 2009 andό ad infettare milioni di computer governativi, aziendali e personali su più di 190 Paesi, minacciando di andare a colpire anche i sistemi sanitari, il traffico aereo e i sistemi bancari e che oggi fa riaffiorare una certa fragilità di fondo del sistema.

 

Una falla sfruttata per scopi militari

Il malware sarebbe stato diffuso su scala globale grazie a un software reso disponibile da un gruppo di hacker denominato Shadow Brokers, e avrebbe colpito più di 99 Paesi, con più di 45.000 attacchi registrati. Inoltre, lo scorso Aprile sarebbero stati proprio gli stessi hacker ad annunciare il furto di un’arma NSA, rimanendo purtuttavia per lo più sottovalutate da governi ed utenti sia l’entità della minaccia che la sua mole.

In particolare, l’arma digitale in questione sarebbe un programma di hacking, denominato “Eternal Blue”, sviluppato appositamente dall’Agenzia Americana per la Sicurezza Nazionale a partire da una falla nel sistema operativo Microsoft Windows per accedere ai dati dei dispositivi dove tale sistema era installato, in chiave anti-terroristica e di contro-spionaggio (è doveroso sottolineare, tuttavia, che l’Agenzia non ha ancora rilasciato alcuna dichiarazione in merito). In particolare, il software sarebbe stato trafugato dal gruppo Shadow Brokers, messo a disposizione su una piattaforma online i primi di Aprile e quindi utilizzato da un secondo gruppo di hacker per ottenere accesso remoto ai diversi dispositivi informatici. A questo punto, una volta ottenuto l’accesso ai computer, sarebbe stato distribuito un secondo software, mediante falsi allegati (fatture, offerte di lavoro o esami clinici) spediti tramite e-mail phishing, contenente il malware denominato WanaCrypt o WannaCry. Quindi, una volta infettato il dispositivo, il malware avrebbe crittografato i dati, impedendone l’accesso agli utenti, per poi chiedere un riscatto in BitCoin, per un equivalente di 300 dollari a computer. In un certo senso, Eternal Blue sarebbe stato usato come “ariete” per rendere i computer vulnerabili all’attacco e, una volta spalancate le porte, lasciare entrare il malware Wannacry.

Non é tutto. Alcune fonti sostengono, infatti, che all’inizio dell’anno la NSA avesse già messo in guardia la Microsoft del furto di software (che sarebbe poi stato apertamente proclamato nei mesi seguenti). Questo spiegherebbe proprio il perché a Marzo il colosso informatico si sia premunito di mettere a disposizione dei suoi utenti un software di aggiornamento per andare a tamponare le falle dei sistemi operativi e proteggerli da un eventuale attacco informatico, senza tuttavia rivelare chi l’avesse informata del problema, e senza riuscire ugualmente a proteggere i computer che si appoggiavano a Windows XP, rimasti pertanto completamente esposti alla minaccia.

Infine, risulta utile un’ulteriore considerazione. Infatti, se da un lato è vero che molti abbiano definito l’episodio “amatoriale”, poiché pensato non per colpire le istituzioni bensì utenti comuni, come dimostrano l’eterogeneità delle vittime colpite e l’entità modesta del riscatto richiesto, questo attacco mostra schiettamente i rischi che anche episodi “amatoriali” possono comportare. In particolare, la paralisi degli ospedali inglesi durante l’attacco, costretti a dirottare i pazienti su altri centri e incapaci di accedere ai loro database, mostra come attacchi informatici di questo tipo possano letteralmente configurarsi come “minacce” alla vita stessa. Un dato ancor più allarmante anche in termini di responsabilità dell’ente se si pensa che per mesi le stesse strutture ospedaliere hanno continuato ad ignorare gli avvertimenti e non hanno provveduto ad aggiornare i loro firewall o a fare un backup dei loro database.

 

Sicurezza? A quale prezzo!

Questa é la ragione per cui gli interrogativi che questo episodio solleva non possono che essere molteplici e allarmanti. In primo luogo, ciό che lascia veramente sconcertati, non é tanto la mole globale dell’operazione in sé quanto piuttosto la fragilità e vulnerabilità delle infrastrutture essenziali su cui costantemente la nostra società poggia. In particolare, gran parte delle attività quotidiane da cui la nostra società dipende, sono essenzialmente governate dalla tecnologia. Al di là dei sistemi informatici ospedalieri, si pensi ai treni ad alta velocità, alla ricezione e trasmissione di dati durante quotidiani voli di linea e alla rete satellitare di telecomunicazioni che circonda il globo terrestre. Tutti questi servizi rappresentano infrastrutture critiche che se minate o alterate possono avere conseguenze, anche in termini di numeri, per certi versi persino più catastrofiche e pericolose di un vero e proprio scontro armato. Per questo, l’impegno dei governi in tema di cybersecurity dovrebbe essere prima di tutto quello di mettere in sicurezza tutte le loro infrastrutture, non limitandosi a quelle specificamente militari o istituzionali. Pensare che nel XXI secolo, dove “sicurezza” non si traduce più soltanto in protezione dei confini o sviluppo di armi, ma protezione a tutto tondo, compresa quella dei dati e dei dispositivi digitali civili, molti degli enti pubblici da cui dipende gran parte della nostra società, poggino su sistemi obsoleti, non aggiornati e per questo vulnerabili (come dimostra l’episodio del sistema ospedaliero inglese), non contribuisce certo a ingenerare un senso di sicurezza. L’impegno di promozione della sicurezza digitale da parte delle istituzioni dovrebbe essere molto più massiccio, con continui programmi di aggiornamento che insegnino a riconoscere mail sospette, a fare back-up efficaci e ad essere in grado di poter gestire la sicurezza dei propri dispositivi informatici.

In tal senso, questa potrebbe anche essere una chiave di interpretazione della dichiarazione rilasciata lo scorso Dicembre su un sito web di tecnologia dal gruppo Shadow Brokers: «The Shadow Brokers is not being irresponsible criminals. The Shadow Brokers is opportunists. The Shadow Brokers is giving ‘responsible parties’ opportunity to making things right». Forse, sperando che anche questa volta non restino voci inascoltate, si sta dando l’opportunità a tutte le entità, pubbliche o private che siano e mediante la supervisione dei governi nazionali, di mettere in sicurezza tutte le infrastrutture critiche da cui la nostra società imprescindibilmente dipende.

Infine, un dato piuttosto allarmante della vicenda risiede soprattutto nel fatto che un’Agenzia di difesa nazionale, trovata la falla, abbia pensato di sfruttarne il potenziale per sviluppare un’arma digitale invece che mettere in sicurezza il sistema. Si tratta certamente di un comportamento che a livello strategico é assolutamente lineare e che pure porta con sé una certa inquietudine di fondo. Infatti, é vero che le armi vengono sviluppate prevalentemente per mettere in sicurezza le proprie vulnerabilità (o per approfittare di quelle di altre nazioni), ma é altresì vero che si tratta sempre di “lame a doppio taglio”, dove se rubate il margine di vulnerabilità di una nazione diventa pericolosamente catastrofico. La NSA non è certamente né la prima né l’ultima delle Agenzie sparse in tutto il mondo impegnate a individuare le falle presenti nei software e nei sistemi operativi più comuni, su cui poi sviluppare armi digitali. In tal senso, durante l’Amministrazione Obama, la Casa Bianca aveva dichiarato che le vulnerabilità scoperte dalle varie aenzie di difesa sarebbero state riviste per capire quali potessero risultare essenziali per la difesa americana e quali invece potessero essere comunicate alle aziende per essere messe in sicurezza. Eppure, dal momento che la falla Microsoft sembra essere rientrata nel novero delle non sacrificabili, viene ugualmente da chiedersi se non vi sia davvero alcun tipo di responsabilità da parte di un governo che lascia completamente vulnerabili i suoi utenti, tra cui ospedali e infrastrutture sensibili, mettendo la Microsoft al corrente della falla solo dopo che il furto si è  verificato.

Perché alla fine il problema di fondo resta: a quale prezzo stiamo lasciando che venga sacrificata la “nostra sicurezza quotidiana” a favore di una “sicurezza nazionale”?

Giulia Pavesi

 

Linkografia

http://www.telegraph.co.uk/news/2017/05/12/russian-linked-cyber-gang-shadow-brokers-blamed-nhs-computer/

https://www.theguardian.com/technology/2017/may/12/global-cyber-attack-ransomware-nsa-uk-nhs

https://www.theguardian.com/technology/2017/may/11/trump-executive-order-cyberattack-government-agencies

http://www.telegraph.co.uk/news/2017/05/13/nhs-cyber-attack-everything-need-know-biggest-ransomware-offensive/

https://www.nytimes.com/2017/05/12/world/europe/uk-national-health-service-cyberattack.html?_r=0

–  https://www.nytimes.com/2017/05/12/world/europe/nhs-cyberattack-warnings.html

Lascia un commento

Advertise Here

Foto da Flickr

Guarda tutte le foto

Advertise Here

LINK