Culture
Hacker, viaggio nelle dieci ore che sconvolsero il mondo
Cyberattacco, che cosa è successo nelle dieci ore che hanno sconvolto il mondo
Tutti hanno avuto il proprio venerdì nero: le borse, le valute e da oggi anche la Rete. Dal 2001, anno della diffusione di un worm, un tipo particolare di malware capace di autopropagarsi, denominato Code Red, capace di infettare in un singolo giorno 359 mila macchine, non si assisteva a una simile virulenza. Tuttavia, rispetto allo stupore su scala mondiale prodotto dal caso Wannacry, l’atteggiamento di chi si occupa di sicurezza oscilla tra preoccupazione e fascinazione. Da un lato è impossibile non essere inquieti al cospetto del notevole salto di qualità della criminalità informatica, dall’altro è altrettanto difficile sfuggire alla suggestione di un’operazione che potrebbe essere più complessa e articolata di quanto appaia. Ecco un viaggio nelle dieci ore che sconvolsero il mondo.
Il diversivo
Pochissimi al di fuori della ristretta cerchia dei professionisti sono a conoscenza del fatto che 25 ore prima dello scatenarsi di Wannacry, un altro attacco ransomware era stato lanciato attraverso una botnet, un insieme di computer compressi e asserviti ad un unico controllore, nota come Necurs. Milioni di email potenzialmente infette iniziavano a circolare sulla Rete e l’attacco non passava inosservato alle organizzazioni di intelligence pubbliche e private. Gli operatori verificarono che si trattava di una campagna di phishing piuttosto “banale”. Il contenuto delle email non era diverso da quelli già osservati e il malware, battezzato Jaff, non aveva caratteristiche insolite, anzi il meccanismo per attivarlo richiedeva una forte interazione con l’utente (più di un clic). Tuttavia il flusso di messaggi era decisamente massiccio e un ulteriore picco venne raggiunto alle 9,00 UTC (Tempo Coordinato Universale) del 12 maggio. Esattamente alla stessa ora i sistemi dedicati da alcune aziende di sicurezza alla raccolta di dati sulle potenziali nuove minacce on line (tecnicamente honeypot) iniziarono a rilevare una particolare anomalia. Qualcosa di nuovo si aggirava nella Rete: Wannacry era entrato in azione. Una casualità?
L’attacco
Nel giro di poche ore il nuovo arrivato sfodera un arsenale che non si è mai visto prima. Fino ad oggi i ransomware richiedono un intervento umano per scatenare il loro potenziale nocivo, Wannacry, invece, sembra essere in grado di diffondersi con una minima interazione, forse un singolo clic su un allegato o un link sbagliati, anche se molti sospettano che non sia necessario neppure quello. Si tratta di un’evoluzione terrificante perché un virus che coniuga le caratteristiche dei ransomware con quelle di un worm rappresenta un vero incubo. In breve si scopre come la “Creatura” ha un grado di autonomia molto alto grazie ad alcune “armi” governative. Nei mesi scorsi il fantomatico gruppo di criminali informatici Shadow Brokers aveva reso disponibili una serie di strumenti di hacking sviluppati da un altro team noto come Equinox e legato alla NSA statunitense. Tra questi vi erano Eternal Blue, un tool che, sfruttando una particolare vulnerabilità dei sistemi operativi Windows, permette all’aggressore di lanciare dei programmi non autorizzati all’interno della macchina obiettivo e la backdoor DoublePulsar, un canale di comunicazione nascosto che consente a un estraneo di agire sul computer infetto. Entrambi i software sono presenti in Wannacry. Grazie a questa particolare struttura il malware apparentemente può colpire sia attraverso phishing (messaggi di posta truffaldini) sia agendo direttamente senza l’intervento di un utente. Nel primo caso può probabilmente infettare qualsiasi sistema Windows, nel secondo soltanto quelli sensibili all’azione di Eternal Blue. Questo nella prima fase dell’attacco, successivamente si replica autonomamente cercando su tutte le macchine presenti nella rete che ha infettato la specifica vulnerabilità di cui abbiamo già scritto. L’insieme di questi fattori ha determinato una diffusione in tempi rapidissimi dell’infezione, ma la sua propagazione è stata involontariamente favorita da manchevolezze decisamente umane.
Gli errori dei buoni…
La fatale vulnerabilità di Windows in realtà è ben nota da tempo e la sua correzione o patch è stata resa disponibile da Microsoft sin dallo scorso 14 marzo per tutti i suoi sistemi ancora supportati. Chiunque sarebbe legittimato a chiedersi per quale ragione l’errore non sia stato eliminato. Con il senno di poi ci saremmo risparmiati questa piccola apocalisse informatica, ma cambiare qualcosa in un sistema operativo potrebbe produrre un’infinità di sgradevoli effetti collaterali sugli altri software che funzionano appoggiandosi ad esso. Spesso si tratta di applicazioni utilizzate dalle organizzazione per svolgere le loro attività fondamentali. Il software che gestisce la pianificazione dell’attività di uno o più ospedali (esami clinici, sale operatorie, pronto soccorso, ricoveri e via dicendo) normalmente è sviluppato per funzionare sfruttando le caratteristiche di uno specifico sistema operativo, nel momento in cui esso viene modificato potrebbe accadere che l’applicativo smetta funzionare. Di conseguenza prima di installare le patch si devono fare dei test e, se hanno esito negativo, diventa necessario modificare il software. Questa attività potrebbe essere molto costosa e/o richiedere tanto tempo, quindi qualcuno deve prendere delle decisioni e passano giorni, mesi e talvolta anni prima che si faccia qualcosa. In casi estremi l’operazione risulta quasi operativamente o economicamente insostenibile e, in tali situazioni, si concretizza lo scenario peggiore: il sistema operativo non viene più supportato dal produttore, come un’auto fuori produzione di cui non si trovano più i pezzi di ricambio. Nel nostro caso specifico è accaduto con Windows XP. Questo prodotto di Microsoft è stato abbandonato per la maggior parte delle sue versioni nel 2014, tuttavia oggi sembra ci siano oltre 100 milioni di dispositivi sui quali è ancora funzionante, quindi completamente vulnerabili all’exploit risolto lo scorso marzo. Non a caso, meno di 24 ore dopo l’avvento di Wannacry, Microsoft ha rilasciato una patch straordinaria proprio per XP. Risulta evidente come i tempi di reazione delle organizzazioni ufficiali, che si misurano in mesi o anni, sia assolutamente inadeguato a fronteggiare una criminalità che agisce su una scala temporale fatta di ore, al massimo di giorni.
… Quelli dei cattivi
Nell’ora più oscura appare il più improbabile degli eroi, uno straordinario Frodo Baggins della sicurezza informatica che, analizzando il codice e il modus operandi del virus scopre come, l’infida creatura, prima di agire sul computer infetto cerchi di contattare un sito internet, questo: www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com. Fatta questa operazione procede crittografando il contenuto del dispositivo. Il giovane ricercatore scopre che tale dominio non è attivo e quindi lo registra e conseguentemente lo rende raggiungibile. A questo punto accade l’incredibile: tutte le copie di Wannacry che, da quel momento, ricevono una risposta dal sito, invece di cifrare il computer colpito lo abbandonano. Il protagonista di questo colpo di genio scopre che il virus ha una sorta di sistema di sicurezza che lo disattiva, come un codice di emergenza per un missile nucleare lanciato per sbaglio. Una scelta progettuale di questo tipo rientrerebbe nella filosofia di un governo che si trova per le mani un’arma della quale potrebbe perdere il controllo in una Rete interconnessa e vederla rivoltarsi contro di sé. Proprio questa peculiarità potrebbe accreditare la teoria secondo cui questo malware sia un insieme di armi informatiche governative, forse non soltanto di origine americana, assemblate con una buona competenza, ma con qualche distrazione. Rimane una domanda: se domani i criminali tolgono la “sicura” e ci riprovano, il sistema è pronto ad affrontare la minaccia? Personalmente ho molti dubbi.