Nelle ore in cui, con l'inizio di una nuova settimana, si teme una recrudescenza del virus informatico 'WannaCry' che, da venerdì, ha già colpito oltre 200mila vittime in almeno 150 Paesi, come scrive Cnbc.com dal gigante informatico Microsoft arriva un avvertimento ai governi affinché considerino l'accaduto come un allarme riguardo la vulnerabilità dei loro sistemi di immagazzinamento informatico.

"WannaCry è come furto di armi convenzionali"

Brad Smith, il presidente e principale consulente legale dell'azienda tecnologica, ha avvertito che le vulnerabilità informatiche da parte dei governi si sono trasformate nel 'motore' che causa danni diffusi quando arriva l'attacco. "Abbiamo visto le vulnerabilità immagazzinate dalla Cia apparire sui Wikileaks e ora questa vulnerabilità rubata alla Nsa (l'Agenzia Nazionale per la Sicurezza americana) ha interessato clienti in tutto il mondo". Per Smith l'attacco del virus WannaCry è come il furto di armi convenzionali all'esercito statunitense: "Uno scenario equivalente con armi convenzionali sarebbe il furto all'esercito americano dei suoi missili Tomahawk".

"Attacco hacker campanello d'allarme per i governi"  

Di qui l'appello, riportato da Itv.com: "I governi di tutto il mondo dovrebbero considerare questo attacco come un campanello d'allarme". L'attacco di venerdi' sfrutta una falla di una versione di Microsoft Windows identificata per la prima volta dal servizi di intelligence americani. A marzo Microsoft aveva diffuso un aggiornamento di sicurezza ma molti utenti non lo hanno ancora scaricato. "Poicé' i criminali informatici diventano sempre più sofisticati, semplicemente non c'è altro modo di proteggersi contro le minacce che non aggiornare i propri sistemi". (AGI)

"Il mio computer sarà stato infettato dal ransomware WannaCry?". Questa la domanda che milioni di italiani sono destinati a porsi lunedì mattina, rimettendosi al lavoro davanti al computer del proprio ufficio, dopo l'attacco hacker senza precedenti che ha colpito le reti informatiche di oltre 100 Paesi e oltre 200 mila sistemi Windows, danneggiando aziende telefoniche, fabbriche e ospedali. Se la propagazione del ransomware (così si chiamano i virus che criptano il contenuto di un computer chiedendo poi un riscatto per decrittarli) è stata temporaneamente sospesa grazie all'intervento di un ricercatore britannico, la situazione non può considerarsi risolta. Anche qualora il malware non venga manomesso in modo da aggirare il kill-switch che lo ha fermato, occorrerà scongiurare che le macchine già infette contagino quelle non toccate da WannaCry. La 

La Cert-Pa, task force del governo per le emergenze informatiche, ha pubblicato sul sito dell'Agenzia per l'Italia Digitale una serie di linee guida, rivolte alla Pubblica Amministrazione, da seguire per mitigare l’impatto della campagna, soprattutto cercando di evitare l’estensione della compromissione a sistemi che non sono già compromessi.

Protezione dalla compromissione

L’unica vera protezione dalla compromissione è l’eliminazione della vulnerabilità attraverso l’istallazione della patch sviluppata e pubblicata da Microsoft con il Microsoft Security Bulletin MS17-010-Critical:

• https://technet.microsoft.com/en-us/library/security/ms17-010.aspx

Nel Blog della società sono reperibili ulteriori informazioni utili:

• https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/

Protezione contro l’azione del malware si può ottenere attraverso l’antivirus, che deve essere aggiornato ad una versione successiva rispetto a quella pubblicata da ciascun produttore dopo il 12 maggio.

È fondamentale tenere presente che se l’antivirus ha il vantaggio di poter “ripulire” una macchina compromessa, cosa che la sola istallazione della patch non può fare, d’altra parte la vulnerabilità non eliminata potrebbe essere sfruttata da una nuova versione del malware che sfugge al controllo dell’antivirus. Perciò è tassativa l’istallazione della patch.

Ulteriori misure atte a ridurre la probabilità di compromissione, e quindi l’estensione di questa, sono:

• Blocco del protocollo SMB sulla frontiera;
• Disattivazione del protocollo SMB ove non specificamente richiesto;
• Blocco sulla frontiera del traffico diretto verso indirizzi ed URL indicati nelle raccolte disponibili sui siti specializzati, quali, ad esempio AlienVault e US-CERT

Riavvio delle macchine spente

Le macchine che erano spente al momento della diffusione, per altro molto rapida, del malware e non sono state accese sono sicuramente indenni; vale perciò la pena di usare qualche accorgimento per evitare che la compromissione presente in altri sistemi possa estendersi anche ad esse.

Contemporaneamente l’accensione di una macchina compromessa può provocare la compromissione di tutti i sistemi presenti sulla stessa rete. Ne segue che è opportuno procedere all’accensione dei sistemi con particolare cautela.

La procedura che segue consente di ridurre sensibilmente i rischi legati alla riaccensione di un sistema spento senza richiedere particolari conoscenze tecniche, per cui può essere eseguita, almeno nel caso di reti wired, anche da utenti non particolarmente esperti:

• Prima di accendere la macchina scollegarla dalla rete locale, disconnettendo il cavo di rete (nel caso di connessioni Wi-Fi occorre disabilitarne l’interfaccia prima che avvenga il caricamento del sistema operativo, tale operazione può non essere alla portata dell’utente).
• Accendere la macchina scollegata e verificare che l’avvio (bootstrap) avvenga regolarmente. Se si verificano eventi anomali, quali ad esempio ritardi molto prolungati, comparsa di messaggi insoliti, etc., non procedere oltre nel riavvio e chiedere il supporto esperto.
• Se l’avvio è avvenuto regolarmente, aprire una sessione ed effettuare sull’hard disk della macchina una ricerca per file il cui nome abbia l’estensione .wncry. La ricerca deve terminare senza individuare alcun file, se invece ne viene individuato qualcuno non procedere oltre nel riavvio e chiedere il supporto esperto.
• Se è stato superato il passo precedente, prima di collegare il sistema alla rete chiudere tutte le applicazioni, in particolare quelle di posta elettronica, che dovessero essere state avviate automaticamente all’apertura della sessione.
• Ricollegare il sistema alla rete locale e forzare l’aggiornamento dell’antivirus. Attendere che tale operazione sia completata prima di aprire qualsiasi applicazione, in particolare non accedere in nessun modo a sistemi di posta elettronica. Dopo il suo termine il sistema può essere utilizzato normalmente.

Particolare attenzione deve essere posta nella gestione dei messaggi di posta elettronica, che potrebbero essere utilizzati come vettore primario di infezione laddove sulla frontiera fosse bloccato il protocollo SMB, come consigliato al punto (1) dell’elenco contenuto nella sezione precedente. In generale debbono essere scrupolosamente osservate le seguenti regole:

• Non aprire mail inattese o comunque di provenienza incerta, evitando nel modo più assoluto di aprire allegati di cui non si conosce la natura e l’origine.
• Non cliccare per nessuna ragione su link contenuti all’interno di mail di cui non sia assolutamente certa la provenienza, verificando direttamente con il mittente (e.g. telefonicamente) l’effettivo invio da parte sua del messaggio.

La sicurezza non è mai assoluta

Le indicazioni contenute nel documento, avverte la Cert-Pa, sono essenzialmente regole di buon senso che riducono il rischio di compromissione da parte di WannaCry, ma non possono annullarlo, anche perché gli attaccanti individuano continuamente nuove strategie per aggirare le misure di contrasto messe a protezione dei sistemi. Per altro l’accento è stato posto sulla semplicità di attuazione, piuttosto che sulla completezza della copertura dei casi che possono verificarsi.