Chi si occupa di IT e di sicurezza in questi giorno ha avuto il suo bel daffare nel rispondere alle domande di molti utilizzatori di sistemi informativi terrorizzati di essere oggetto di un attacco da parte di Wannacry.

Grazie al cielo per la maggior parte delle volte si è trattato solo di questo: l'Italia questa volta ha subito questo nuova infezione in modo assolutamente trascurabile.

L'estensione del fenomeno, comunque, è su scala mondiale, e i numeri dei sistemi infettati è talmente alto che da giorni i giornali ne parlano: per questo vorrei scriverne un poco sul mio blog analizzando alcuni aspetti che possono essere sconosciuti a chi non si occupa giornalmente di IT.

Inziamo con il dire che wannacry fa parte della tipologia di virus chiamati ransomware: questa tipologia di attacco (che molti esperti affermano non far parte propriamente della categoria virus) nella pratica cripta i file e li rende inutilizzabili. Altri nomi dello stesso virus sono WannaCrypt WanaCrypt0r e Wanna Decryptor.

La genesi dell'attacco è il seguente.

Una mail o un messaggio spedito in chat dotato di un allegato in grado di diffondere questo attacco viene inviata a un destinatario che, in modo improvvido, apre l'allegato stesso. Questo file di solito ha l'aspetto di un normale documento pdf o anche excel, e nulla di nulla fa presagire il suo contenuto malevolo: in realtà, però, contiene un codice eseguibile capace di eseguire l'infezione.

Quindi quando si apre questo allegato in modo silente il codice prende possesso di tutti i file che possono essere raggiungibili dalla macchina (sia locali che posti sulle share di rete) e li cripta in modo da renderli inutilizzabili.

Contemporaneamente a questa attività pone diversi file contenenti le istruzioni per poter riottenere detti file alla funzionalità primitiva: pagare un riscatto che parte da circa 300 dollari e che aumenta con il passare del tempo.

Una volta fatto il pagamento da una mail viene inviata la soluzione: un file da far eseguire che esegue l'operazione inversa, rendendo i file nuovamente disponibili.

Il pagamento avviene tramite bitcoin, e quindi il destinatario è praticamente irrintracciabile (le coordinate del conto bitcoin cui inviare il danaro sono rappresentate da una stringa alfanumerica, e da questa non è possibile risalire in modo semplice al proprietario).

Osservo che dotarsi di bit coin non è di per sè cosa semplice: che ne sappia non esiste più da tempo alcuna possibilità di comprare bitcoin con carta di credito, ma occorre agire con postepay o simili sistemi.

Questi i fatti. Mi permetto di evidenziare come questo tipo di attacco non sia affatto una novità: è già da diversi anni che "sta girando" sebbene in altre forme e con altri codici.

La modalità comunque è sempre la stessa: un allegato di un mail che cripta tutti i file e li rende inutilzzabili: solo pagando un riscatto si riottiene l'accesso ai proprio dati.

Ad oggi non esiste alcun metodo sicuro per riottenere indietro i propri file partendo dagli stessi criptati: l'unica soluzione, una volta subito questo attacco, è quella di eseguire il restore dei dati da un backup recente.

In queste ultime ore, in particolare, è stato rilasciato un software che i può provare a usare, ma come accennato non esiste certezza circa l'esito del suo utilizzo: il tool in questione si chiama WannaCry Ransomware Decryption Tool e trovate i riferimenti in linkografia.

Alcune curiosità riguardo a questo ramsonware. Per cominciare questo attacco colpisce solo le macchine Windows: Linux, Mac Osx, Ios, Android, etc etc sono completamente impermiabili.

Non lasciatevi ingannare dalle tante immaginio che stanno girando e che rappresentano un tablet o un Mac colpito da questo attacco: è una burla ben congegnata.

Altra curiosità riguarda il codice componente principale di Wannacry: questo deriva da un codice usato dall'NSA National Security Agency americana per spiare i sistemi informativi: i dettagli di questo (chiamato in gergo exploit) sono stati resi pubblici da wikileaks alcuni mesi or sono.

Proprio per tale motivo la M$ aveva già da tempo pubblicato gli aggiornamenti dei propri sistemi operativi per renderli non attaccabili da Wannacry.

Il codice di Wannacry contiene al suo interno un kill switch: in pratica un sistema che permette di disattivare la sua funzionalità, una specie di bottone di autodistruzione. Le modalità per attivare questo bottone sono state trovate un giovane hacker inglese che potete raggiungere via twitter all'indirizzo @MalwareTech.

Nella pratica questa autodistruzione funziona in questo modo: prima di inziare l'attività di criptaggio dei file il codice esegue un controllo per vedere se un determinato dominio internet è raggiungibile. Se non risulta raggiungibile allora l'attacco prosegue, altrimenti lo stesso non viene eseguito.

In particolare il dominio è il seguente: http://iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com/

Quindi la semplice attivazione del dominio sopra ha bloccato in gran parte il propagarsi dell'infezione.

Oss.: In realtà la cosa è stata un pò più complessa, si è attivato un DNS sinkhole, ma il concetto è lo stesso.

Domanda birichina: perchè l'attivazione del dominio sopra non ha bloccato del tutto l'infezione in tutto il mondo ??

Molto semplice: in molte reti aziendali esistono policy molto rigide riguardo all'accesso a Internet, ed è uso limitare la consultazione in orario di lavoro solo ad alcuni determinati domini. Per tale motivo molte reti inibiscono l'indirizzo in oggetto, in pratica vanificando il kill-switch.

Difendersi da attacchi di questo genere di attacchi è possibile, rendendo minima la possibilità di subirne le conseguenze: ad oggi nessuno Vi potrà seriamente offirire l'assoluta garanzia.

1) Mai e poi mai aprire allegati di mail sospette. Occorre osservare che spesso questo tipo di attacchi avviene con mail che hanno tutto l'aspetto di provenire da provider di energia elettrica (enel energia, etc) oppure anche da aziende che di occupano di trasporti internazioni (DHL, etc). Se arriva una mail di questo genere cancellarla semplicemente è il metodo migliore e indolore per evitare problemi. L'attacco avviene SOLO se si apre l'allegato infetto: aprire o cancellare la relativa mail non dà alcun tipo di problema

2) Purtroppo la presenza di un buon antivirus non è garanzia di non essere oggetto di un attacco ransomware: il codice di questo tipo di virus varia continuamente, e l'antivirus può non essere in grado di rilevarlo. Nonostante questo avere un sistema antivirus è il sistema più efficace per combattere il problema.

3) Eseguire frequenti backup dei sistemi. Come detto una volta infettato il sistema l'ultimo sistema per riottenere i propri dati e recuperarli da un backup. Ovviamente non contemplare nemmeno lontanamente la possibilità di pagare il riscatto: oltre a un fatto etico è possibile che i destinatari del pagamento siano già stati arrestati o comunque siano irreperibili.

4) I backup non devono stare in un luogo facilmente accessibile: infatti eseguire i backup su una share di rete senza alcuna protezione non serve a nulla. Se si subisse un attacco ransomware anche i file che rappresentano il backup presenti nelle share sarebbero cripatati ! Il massimo è porre il backup in cloud.

5) Attivare ove possibile il volume shadow copy: senza entra nel dettaglio i sistemi server permettono di eseguire anche diverse volte al giorno delle foto dello stato del disco.

6) Aggiornare con tempestività e precisione tutti i propri sistemi operativi. Come accennato la correzione al problema è stato pubblicvato da M$ alcuni mesi fa. Evidenzio che la portata del problema è talmente ampia che sono state rilasciati degli aggiornamento anche per sistemi operativi oramai fuori supporto (Windows XP e 2003): trovate il relativo link in likografia.

7) Aggiornare con precisione e tempestività gli antivirus in uso.

8) Disabilitare SMBv1 nella Vs rete: trovate anche questo link in linkografia. L'accesso alle share di rete avviene tramite il protocollo SMB: le nuove versioni di questo permettono di avere maggiore sicurezza e impermeabilità non solo nei confronti di Wannacry. Devo osservare che se la Vs rete dispone di macchine Linux "datate" passare a SMB di versioni successive può introdurre problematiche inerenti l'incompatibilità di questo protocollo con vecchie versioni di SAMBA. Con recenti versioni però il problema è assolutamente trascurabile. Devo anche segnalare che analogo problema si ha con macchine XP, che sono incompatibili com SMBv2: in tal caso la condivisione file smetterebbe di funzionare. A partire da Windows Vista non c'è da riportare alcun problema.

9) Assicurarsi che ogni postazione possa raggiungere agilmente i domini www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com e www.ifferfsodp9ifjaposdfjhgosurijfaewrwergwea.com che sono l'attuale kill switch di Wannacry.

10) Nel caso in cui si venga colpiti esiste la remota possibilità di recuperare i soli file ospitati sulla propria postazione clienti tramite l'ausilio delle shadow copy. In pratica quando si eseguono alcune operazioni di installazione di driver o software il sistema operativo può creare, in modo silente, delle "foto" dello stato del nostro sistema, file compresi. E' possibile accedere a tali foto usando un software tipo Shadow Explorer (vedi linkografia). Che sia chiaro: non Vi è alcuna certezza che queste foto esistano, ma è un tentativo che potete facilmente fare.

11) Sembra incredibile ma molte infezioni sono state causate dal fatto che la share poteva essere liberamente raggiungibile da Internet, a causa di un firwall configurato in modo errato. Quindi il consiglio è di verificare con attenzione le porta aperte sui dispositivi di frontiera: in particolare la porta coinvolta è la 445/TCP.

Riguardo al punto 6 occorre dire qualcosa in più. La patch rilasciata specificatamente da M$ per risolvere questo problema (che ha la sigla MS17-010) di per sè non permette di riottenere indietro i proprio file una volta criptati da WannaCry, e purtroppo tantomeno rende la macchina invunerabile.

Per meglio specificare un macchina con tutti gli aggiornamenti installati può sempre essere oggetto di infezione da parte di WannaCry, con conseguente criptazione di tutti i suoi file.

Lo scopo di questa patch è semplicemente quella di inibire il propagarsi di detto worm su altre macchine presenti sulla stessa rete della macchina infettata.

Un'altra cosa interessante da evidenziare è che il worm sfrutta delle vulnerabilità presenti nell'implementazione del protocollo SMB versione 1 (=SMBv1): infatti tale patch agisce proprio su questa parte del sistema operativo.

Oramai da tempo i sistemi operativi di M$ utilizzano in modo massivo le versioni successive e più aggiornate del protocollo: però permane nel sistema la possibilità di utilizzare anche le vecchie versioni di questo, al fine di assicurare una retro compatibilità.

In modo silente il sistema operativo sceglie di volta in volta quale versione del protocollo SMB utilizzare per connettersi a una share.

Disabilitare del tutto SMBv1 permette di rimuovere il problema alla radice, ma anche di evitare eventuali futuri problemi (le versioni successive del protocollo SMB sono molto più sicuri): lo scotto da pagare è che alcune vecchie versioni di Linux e Windows XP/2003 non sono compatili con le versioni più recenti del protocollo e smetterebbero di poter accedere ed essere accessibili via share di rete.

Spero che queste righe Vi possano essere utili

Linkografia

Customer Guidance for WannaCrypt attacks
How to enable and disable SMBv1, SMBv2, and SMBv3 in Windows and Windows Server
Shadow Explorer
WannaCry Ransomware Decryption Tool