Cookie free: nessun "biscotto" per spiare i lettori

InterLex - RIVISTA DI DIRITTO TECNOLOLOGIA INFORMAZIONE

 

La lezione di WannaCry: gestire le retrovie per vincere la guerra

- Andrea Gelpi* - 17 maggio 2017

La grande diffusione del malware WannaCry, il 12 maggio 2017, fa tornare alla mente le grandi diffusioni di malware di quasi venti anni fa. CODE RED, I LOVE YOU, NIMDA, sono solo alcuni dei nomi che ricordano le grandi "epidemie" all'inizio del secolo. Dunque anche in passato ci furono grandi propagazioni di malware, ma le analogie terminano qui.

Quello del 12 maggio, infatti, ha colpito in modo differente, bloccando completamente i computer-bersaglio e tutti i sistemi in rete collegati al primo. In pratica con WannaCry è sufficiente che in una rete aziendale il malware colpisca un solo sistema, per bloccare l'operatività di tutta l’organizzazione. È la differenza sostanziale fra questo malware e quelli di quasi venti anni fa, ed è il motivo per cui i danni questa volta sono stati così gravi.

E' molto preoccupante il fatto che alcune strutture sanitarie inglesi siano state costrette a rimandare interventi chirurgici e visite, fino all'impossibilità di gestire le emergenze a causa del blocco dei sistemi informatici colpiti da WannaCry.

Al di là dei problemi tecnici, dovrebbe colpire il fatto che, nonostante siano passati quasi vent’anni dalle infezioni su grande scala, sia ancora possibile colpire con un singolo malware un numero significativo di sistemi e causare danni ancora così ingenti.

Negli ultimi vent’anni l'uso di sistemi informatici si è espanso enormemente, ma il malware del 12 maggio dimostra, senza ombra di dubbio, che troppo poco si è fatto finora per migliorare la sicurezza dei sistemi a cui oggi affidiamo informazioni "delicate" come quelle che coinvolgono l'incolumità delle persone, come è accaduto con le strutture sanitarie inglesi.

La globalizzazione spinge verso un'integrazione di tutto sulla rete internet, ma che cosa si è fatto e si sta facendo per rendere sicuri tali sistemi?

Per fare un solo esempio, la gestione di una piattaforma petrolifera è una cosa così complessa che non è più possibile venga gestita solo da umani. Ci si deve affidare a sistemi informatici, perlomeno così afferma chi questi sistemi li fabbrica e gestisce. Il passo successivo è poterli gestire da remoto, cosa che abbatte i costi, non dovendo mandare tecnici a lavorare sulle piattaforme, ma ciò significa inevitabilmente collegare le piattaforme stesse alla rete internet.

I gestori di questi sistemi affermano che è sufficiente cambiare la portata di una singola valvola per causare danni enormi alla piattaforma. E se i sistemi venissero bloccati completamente da un malware che si introduce in queste reti, o se ne perdesse il controllo sempre a causa di un malware? Lo scenario risultante potrebbe essere apocalittico.

Le case automobilistiche stanno lavorando per mettere sul mercato automobili a guida automatica. E' già stato dimostrato che è possibile prendere il controllo da remoto del sistema di guida e modificarne i parametri (si veda la dimostrazione fatta con una Tesla), cosa che potrebbe causare incidenti.
I problemi alle reti dell'energia elettrica, gestite da sistemi collegati alla Rete sono già più che noti (si vedano i casi accaduti in Ucraina).

Ci sono stati altri casi ad impatto minore, come ad esempio il blocco dei sistemi di riscaldamento di abitazioni negli USA durante una tempesta di neve, causati da un malware che aveva colpito il sistema di gestione in cloud. Altro caso, praticamente identico, il blocco di frigoriferi collegati anche loro tramite la rete a sistemi in cloud attaccati da delinquenti.

In definitiva si nota che, nonostante il tempo trascorso, troppo poco è stato fatto per la sicurezza delle informazioni. L'evento del 12 maggio ha dimostrato, se ce ne fosse ancora bisogno, che si può arrivare con facilità a danni molto significativi.

Come ho già scritto anche su queste pagine, non esiste una "cura", ma gli esperti da anni stanno dando le indicazioni per ridurre l'impatto di questi attacchi. I dati disponibili sulla rete dicono che la metà degli attacchi riusciti sono dovuti a cause note, che potrebbero essere arginate. Nel caso di WannaCry, se i sistemi Windows fossero stati aggiornati (l'aggiornamento per chiudere il buco sfruttato dal malware era stato rilasciato il 14 marzo, quasi due mesi prima), l'impatto sarebbe stato sicuramente minore.

Il problema della sicurezza delle informazioni è diventato simile a una guerra, fra l’avanzare dell’informatizzazione e la pirateria informatica. La storia insegna che le guerre le vince chi gestisce in maniera efficace le retrovie, rifornendo continuamente il fronte, avendo quindi progettato una gestione ottimale degli approvvigionamenti. Dalle retrovie, appunto.

Tradotto nel mondo informatico: dopo aver creato un nuovo servizio, lo stesso va supportato, mantenuto aggiornato, consolidato, ma soprattutto gestito e non abbandonato a se stesso. Altrimenti prima o dopo la pirateria ci andrà a nozze, proprio come è accaduto il 12 maggio 2017.

* Ingegnere, consulente in sicurezza informatica - email: security [AT] gelpi.it

Per intervenire nel Forum, clicca qui
Inizio pagina     Indice del Forum      Home

Pubblicazione iscritta nel registro della stampa del Tribunale di Roma con il n. 585/97 - Direttore responsabile Manlio Cammarata - P. IVA 13001341000

© Manlio Cammarata/InterLex 2017 -  Informazioni sul copyright