|
La grande diffusione del malware WannaCry, il 12 maggio 2017, fa tornare alla
mente le grandi diffusioni di malware di quasi venti anni fa. CODE RED, I LOVE YOU,
NIMDA, sono solo alcuni dei nomi che ricordano le grandi "epidemie"
all'inizio del secolo. Dunque anche in passato ci furono grandi propagazioni di
malware, ma le analogie terminano qui.
Quello del 12 maggio, infatti, ha colpito in modo differente, bloccando
completamente i computer-bersaglio e tutti i sistemi in rete collegati al primo.
In pratica con WannaCry è sufficiente che in una rete aziendale il
malware colpisca un solo sistema, per bloccare l'operatività di tutta l’organizzazione.
È la differenza sostanziale fra questo malware e quelli di quasi venti anni fa,
ed è il motivo per cui i danni questa volta sono stati così gravi.
E' molto preoccupante il fatto che alcune strutture sanitarie inglesi siano
state costrette a rimandare interventi chirurgici e visite, fino all'impossibilità
di gestire le emergenze a causa del blocco dei sistemi informatici colpiti
da WannaCry.
Al di là dei problemi tecnici, dovrebbe colpire il fatto che, nonostante
siano passati quasi vent’anni dalle infezioni su grande scala, sia ancora
possibile colpire con un singolo malware un numero significativo di sistemi e
causare danni ancora così ingenti.
Negli ultimi vent’anni l'uso di sistemi informatici si è espanso
enormemente, ma il malware del 12 maggio dimostra, senza ombra di dubbio, che
troppo poco si è fatto finora per migliorare la sicurezza dei sistemi a cui
oggi affidiamo informazioni "delicate" come quelle che coinvolgono
l'incolumità delle persone, come è accaduto con le strutture sanitarie
inglesi.
La globalizzazione spinge verso un'integrazione di tutto sulla rete internet,
ma che cosa si è fatto e si sta facendo per rendere sicuri tali sistemi?
Per fare un solo esempio, la gestione di una piattaforma petrolifera è una
cosa così complessa che non è più possibile venga gestita solo da umani.
Ci si deve affidare a sistemi informatici, perlomeno così afferma chi questi
sistemi li fabbrica e gestisce. Il passo successivo è poterli gestire da
remoto, cosa che abbatte i costi, non dovendo mandare tecnici a lavorare sulle
piattaforme, ma ciò significa inevitabilmente collegare le piattaforme stesse
alla rete internet.
I gestori di questi sistemi affermano che è sufficiente cambiare la portata
di una singola valvola per causare danni enormi alla piattaforma. E se i sistemi
venissero bloccati completamente da un malware che si introduce in queste reti,
o se ne perdesse il controllo sempre a causa di un malware? Lo scenario
risultante potrebbe essere apocalittico.
Le case automobilistiche stanno lavorando per mettere sul mercato automobili
a guida automatica. E' già stato dimostrato che è possibile prendere il
controllo da remoto del sistema di guida e modificarne i parametri (si veda la
dimostrazione fatta con una Tesla), cosa che potrebbe causare incidenti.
I problemi alle reti dell'energia elettrica, gestite da sistemi collegati alla
Rete sono già più che noti (si vedano i casi accaduti in Ucraina).
Ci sono stati altri casi ad impatto minore, come ad esempio il blocco dei
sistemi di riscaldamento di abitazioni negli USA durante una tempesta di
neve, causati da un malware che aveva colpito il sistema di gestione in cloud.
Altro caso, praticamente identico, il blocco di frigoriferi collegati anche loro
tramite la rete a sistemi in cloud attaccati da delinquenti.
In definitiva si nota che, nonostante il tempo trascorso, troppo poco è
stato fatto per la sicurezza delle informazioni. L'evento del 12 maggio ha
dimostrato, se ce ne fosse ancora bisogno, che si può arrivare con facilità a
danni molto significativi.
Come ho già scritto anche su queste pagine, non esiste una "cura",
ma gli esperti da anni stanno dando le indicazioni per ridurre l'impatto di
questi attacchi. I dati disponibili sulla rete dicono che la metà degli
attacchi riusciti sono dovuti a cause note, che potrebbero essere arginate.
Nel caso di WannaCry, se i sistemi Windows fossero stati aggiornati
(l'aggiornamento per chiudere il buco sfruttato dal malware era stato rilasciato
il 14 marzo, quasi due mesi prima), l'impatto sarebbe stato sicuramente minore.
Il problema della sicurezza delle informazioni è diventato simile a una guerra,
fra l’avanzare dell’informatizzazione e la pirateria informatica. La
storia insegna che le guerre le vince chi gestisce in maniera efficace le
retrovie, rifornendo continuamente il fronte, avendo quindi progettato una
gestione ottimale degli approvvigionamenti. Dalle retrovie, appunto.
Tradotto nel mondo informatico: dopo aver creato un nuovo servizio, lo stesso
va supportato, mantenuto aggiornato, consolidato, ma soprattutto gestito e non
abbandonato a se stesso. Altrimenti prima o dopo la pirateria ci andrà a
nozze, proprio come è accaduto il 12 maggio 2017.
* Ingegnere, consulente in sicurezza informatica
- email: security [AT] gelpi.it
|
Home
sulle novità di
InterLex
- Andrea Gelpi
