Il panorama delle truffe informatiche è in continuo mutamento e l’ultima grave minaccia è rappresentata dai ramsonware, che chiedono un “riscatto” per restituire dati sensibili. Francesco Andreani, sviluppatore e analista rete e sicurezza, spiega perché sono tanto pericolosi e soprattutto come fare a difendersi in modo efficace.
Si può dire che di recente qualcosa sia cambiato veramente per quello che riguarda la sicurezza informatica e la difesa da virus e malware?
Il panorama delle truffe informatiche è molto cambiato negli ultimi anni, ha avuto, a mio giudizio, un andamento quasi schizofrenico: da una parte si sono semplificati i metodi di attacco, vale a dire che i software d’attacco sono più semplici nella loro struttura, dall’altra sono più aggressivi, mutevoli e pericolosi.
Non a caso si parla ancora di virus, termine che racchiude una galassia di minacce anche estremamente differenti tra loro, perché si tratta di software in grado di moltiplicarsi e mutare nel tempo, proprio come fanno le cellule virali.
Puoi approfondire meglio questo paradosso?
La semplificazione e l’uso di kit per la realizzazione di software malevolo ne ha favorito la produzione e la diffusione su larga scala, ma ha anche aumentato la capacità dei programmi antivirus di contrastarlo.
Il classico “virus” che si installava e diffondeva sfruttando le falle di sicurezza del sistema operativo, o via e-mail, non sembra in grado di fare danni su larga scala, perché ormai tutti i programmi anti-virus, anche nelle loro versioni gratuite, integrano software antispyware e antimalware.
Fin qui sembrerebbe che installare una buona suite di protezione e mantenerla sempre aggiornata, rappresenti la salvezza da ogni pericolo, ma le cose non stanno così, soprattutto da quando sono arrivati i ramsonware.
Quindi è il ramsonware a rappresentare la vera novità dal il punto di vista della sicurezza informatica, ma di cosa si tratta?
La parola ramson in inglese si traduce con riscatto e già lascia intuire di cosa si tratta. Il ramsonware è il tipo di software malevolo che nel 2015 ha avuto il maggior incremento in quanto a diffusione, danni ed entrate economiche per i suoi creatori. Questo dato sembra una contraddizione con quanto esposto fin qui sulla maggiore semplicità nella costruzione di software malevolo e nella loro più semplice catalogazione e distruzione, ed infatti le nuove generazioni di software non devono più necessariamente sfruttare le falle del sistema operativo o dei protocolli di sicurezza – si vedano i tanti problemi storici che affliggono il mondo MS-Windows e la recente violazione avvenuta a danno del protocollo SSH con il caso di Heartbleed – ai ramsonware così come alle nuove generazioni di virus, basta carpire la fiducia dell’attaccato, mutarsi cambiando le loro chiavi e la truffa è servita.
Dunque è cambiato anche l’atteggiamento di chi scrive software come questo…
Una volta, all’inizio direi, chi scriveva software malevolo lo faceva per farsi notare, per far vedere la propria bravura nelle tecniche di attacco, da rivendere in ricerca a multinazionali impegnate nella sicurezza informatica. Ora chi scrive, clona, muta software malevolo, lo fa per guadagnare soldi, tantissimi soldi in tempi rapidissimi, carpendo la fiducia e chiedendo un riscatto.
Paliamo di cryptolocker?
Il ramsonware più famoso è Cryptolocker, ma non è l’unico. Si tratta di un software in grado di crittografare i file contenenti i dati dell’utente in maniera da poterne inibire l’uso e chiedere un riscatto per la loro decrittazione.
Il programma si diffonde attraverso la posta elettronica, una mail proveniente da qualcuno del quale ci fidiamo, contiene un file eseguibile che, attraverso un doppio click, viene lanciato ed installato. Un secondo modo di diffusione è quello attraverso link che ci allettano con contenuti particolari o ci conducono su siti che fingono di essere ciò che non sono, come avviene nel caso del phishing, altra tecnica per carpire password e dati privati degli utenti.
Come avviene che i dati diventano indisponibili e che il truffatore possa chiedere un riscatto?
L’intero processo di infezione si suddivide in quattro fasi. La prima è finalizzata all’inoculazione del virus. Durante la seconda fase, se presente una connessione a Internet, il sistema effettua svariati collegamenti con dei server localizzati in svariate parti del mondo. Non sempre queste connessioni sono rilevate dai più comuni antivirus e segnalate come attività sospetta non generata dall’utente. Se queste connessioni vanno a buon fine, il software si aggiorna e scarica nuove chiavi di crittazione per rendere vane le speranze di decrittare i file attraverso un anti-ramsonware. A questo punto ha inizio la terza fase dell’infezione: tutti i file nei formati più comuni, sono sottoposti a un processo di cifratura detta a chiave asimmetrica che li rende comunque inutilizzabili all’utente. La scelta di criptare solo una selezione di formati di file si ritiene sia mirata ad ottimizzare i tempi di cifratura che comunque richiedono svariati minuti e potenza di calcolo che potrebbe fare insospettire l’utente. La quarta e ultima fase, infine, è la richiesta del pagamento di un somma di denaro, normalmente bitcoin, con la conseguente promessa di poter scaricare una chiave software che, attraverso il procedimento inverso, consenta di rientrare in possesso dei propri file. Va da sé che a fronte di un pagamento, non si è affatto certi che i dati vengano riportati in chiaro. Ogni cartella criptata mostra il banner di cryptolocker e la sua richiesta di riscatto.
Bitcoin?
Un cenno va fatto anche alla valuta, ma qui ci vorrebbe un’intera serie di articoli per approfondirne il significato: il riscatto si paga in bitcoin, una invenzione della Rete per togliere la produzione della moneta, e quindi il potere, alle banche centrali, facendone generare una quantità controllata dalla comunità degli utilizzatori. Un’idea in sé rivoluzionaria e affascinante, anche molto democratica, in grado di garantire quell’anonimato che serve a coloro che chiedono un riscatto.
Il Mac ne è immune?
Non ci sono sistemi operativi immuni, un Mac o un sistema Unix fa qualche richiesta in più per installare un software esterno, mentre è più semplice per un software diventare super user su MS-Windows ed installarsi in maniera silenziosa, ma sui sistemi più sicuri il tutto è giocato sulla fiducia carpita all’utente. Va da sé che per difendersi, oltre a tenere aggiornato il proprio sistema operativo e la suite di software antivirus, bisogna adottare delle tecniche preventive, come quelle di non aprire mai eseguibili nella posta elettronica – controllando anche altri tipi di file binari come i file delle immagini, non vagare su internet in cerca di gratuità a tutti i costi – la gratuità si paga spesso a persone senza scrupoli – elaborare e mettere in atto una strategia di backup efficace.
Vi è una soluzione solamente tecnologica al problema secondo te oppure si può fare altro?
In conclusione direi che con la diffusione del mezzo informatico nelle sue tante declinazioni, pensiamo a quella che ora si chiama IoT Internet of Things (Internet delle Cose), occorre acquisire una maggiore consapevolezza, una coscienza che riporti l’aggeggio elettronico che ci portiamo in mano, seppure tanto utile, alla sua funzione di mezzo e non di fine atto alla soddisfazione dei nostri bisogni. La mia esperienza mi insegna che una maggiore cultura in generale, e non solo nel campo dell’informatica, sarebbe in grado di contenere questo tipo di attacchi.
Hai un riferimento se qualcuno ne volesse sapere di più?
Se volete sono raggiungibile attraverso la mail franz@facilissoftware.it.
