Il Ransomware WannaCry è solo l'inizio: le aziende, non gli utenti, sono colpevoli

Hacker - sicurezza informatica
Sono pochi quelli che possono dirsi al sicuro da un punto di vista informatico REUTERS/Kacper Pempel/Files

Il caso WannaCry, ha riportato al centro della nostra attenzione la questione della sicurezza informatica. Questo tipo di problema possiamo dire che nasce insieme all’informatica stessa, prima che si iniziasse a parlare di rete e internet. Un tempo il mezzo più diffuso per compromettere un sistema informatico era il floppy disk, ma il problema rimaneva alla fine confinato al computer della vittima (il danno solitamente era proporzionale alla gravità dell’infezione e alla quantità di dati sensibili presenti nel sistema). Anche accedere a un sistema era più complicato, dato che bisognava essere fisicamente presenti davanti alla macchina.

Con l’avvento della rete è cambiato tutto. È cambiato il modo con il quale usiamo le macchine e i problemi relativi alla sicurezza hanno assunto carattere globale. La rete ha permesso di fare un salto evolutivo pazzesco per quel che concerne la condivisione e diffusione dei dati, ma al tempo stesso le sfide relative alla sicurezza si sono moltiplicate e sono sempre più complicate. Dai nostri profili personali ai nostri numeri di cellulare e conto corrente, tutto oggi è diventato accessibile tramite un pc, un laptop o uno smartphone connessione a internet. E all’indubbia comodità di poter effettuare svariate operazioni con pochi click fanno da contraltare rischi di sicurezza sempre più alti e sempre più intimi, ma soprattutto sempre presenti.

LEGGI ANCHE: Ransomware WannaCry, sospetti su Corea del Nord: nessuno è immune, 3 semplici mosse per difendersi

Potremmo in un certo senso dire che la convivenza con questo tipo di rischio è l’inevitabile prezzo da pagare per poter godere dei vantaggi offerti dalla rete. In realtà ci sono delle responsabilità da parte delle compagnie che non sembrano voler dedicare al tema l’attenzione di cui avrebbe bisogno, sia esse produttrici di hardware, software o servizi web. Ma la stessa Microsoft nella sua risposta ufficiale dopo lo tsunami WannaCry ha scritto: "Questo attacco dimostra il grado in cui la sicurezza informatica sia diventata una responsabilità condivisa tra aziende tecnologiche e clienti. Il fatto che tanti computer siano rimasti vulnerabili due mesi dopo il rilascio di una patch illustra questo aspetto". Davvero si sta scaricando parte della colpa sugli utenti?

GLI UTENTI SBAGLIANO, MA NON SONO I COLPEVOLI

La rete ha inevitabilmente trasformato il modo con cui viene progettato il software e pertanto il rapporto con la sicurezza informatica. La differenza tra il software di un tempo e quello odierno è più o meno la stessa che c’è tra una cava rocciosa e un giardino botanico. Il software di oggi è diventato “vivo” e muta nel corso del tempo per effetto degli aggiornamenti rilasciati dalla compagnie: a volte vengono effettuati per apportare migliorie e nuove opzioni al software, in altre occasioni si rendono necessarie per correggere quei bug che causano malfunzionamenti di vario genere o per coprire falle di sicurezza. Gli aggiornamenti sono diventati pertanto il canale preferenziale attraverso cui le compagnie pongono rimedio alle criticità di sicurezza presenti nei loro prodotti. Problema risolto dunque? Non proprio.

LEGGI ANCHE: Così gli hacker possono rubarvi l’account WhatsApp e Telegram: non aprite quella foto

Sono molti gli utenti, così come le aziende, che ignorano gli aggiornamenti e che rimangono pertanto aperti a infezioni e compromissioni. I mancati aggiornamenti sono tra le cause principali che espongono gli utenti ai pirati informatici: il caso WannaCry, così rinominato il programma ransomware WanaCrypt0r 2.0 diffuso via mail e che aggredisce il protocollo Smb su sistemi Windows e che ha colpito almeno 200.000 macchine nel weekend tra il 12 e il 13 maggio, non sarebbe stato così massiccio se gli utenti avessero seguito le procedure di aggiornamento diffuso da Microsoft lo scorso marzo. Questo tipo di rischi è ben noto, sono anni che gli esperti di sicurezza invitano maggiore attenzione e responsabilità da parte degli utenti, che puntualmente continuano a fregarsene.

Le ragioni per cui un utente potrebbe decidere di non effettuare un aggiornamento sono molteplici:

  • l’utente non ha le competenze necessarie per comprendere l’aggiornamento proposto dalla compagnia;
  • l’utente preferisce continuare a rimandare l’aggiornamento perché questo rallenterebbe o renderebbe il dispositivo inutilizzabile per un lasso di tempo a cui l’utente evidentemente non è disposto a rinunciare;
  • problemi di rete o rete lenta tali da costringere l’utente a rinunciare all’aggiornamento, specie se questo dovesse essere molto grande;
  • il computer non viene acceso da qualche mese e l'utente non riesce a effettuare tutti gli aggiornamenti pregressi in una sola volta;
  • in caso di aggiornamenti su smartphone l’utente potrebbe decidere di ignorarli per non non consumare la banda e quindi non incorrere in costi aggiuntivi.

Nel caso specifico, quello di WannaCry, bisogna comunque aggiungere che Microsoft ha tralasciato gli aggiornamenti del suo vecchio sistema operativo Windows XP perché considerato fuori mercato (è stato abbandonato nel 2014), nonostante centinaia di migliaia di desktop continuino a usare questo sistema, il 7% in tutto il mondo (la compagnia ha provveduto ad aggiornare il sistema in questi giorni in via del tutto straordinaria).

WannaCry La schermata di un computer infetto dal ransomware WannaCry  TALOS

La mossa di Microsoft di prediligere una visione strategica meramente commerciale dettata da logiche di profitto di breve periodo si è alla fine rilevata totalmente fallimentare. Microsoft ha ignorato la prima e più importante regola di mercato (è il mercato a decidere cosa piace e cosa non piace), illudendosi di poterlo indirizzare a suo piacimento, abbandonando un sistema ancora ampiamente diffuso come XP. Ed è finita per farsi male, mostrando per l’ennesima volta il fianco alle critiche della stampa e degli esperti di settore.

GLI AGGIORNAMENTI COME "VACCINO" OBBLIGATORIO

Le compagnie (tutte, non solo la Microsoft) dovrebbero iniziare a muoversi da un concetto di base che dovrebbe ormai essere consolidato: l’utente medio ha una consapevolezza dei rischi informatici molto bassa e ignora gli step procedurali di base da adottare per navigare in sicurezza e rendere il proprio sistema meno vulnerabile.

LEGGI ANCHE: Rubare i dati della vostra carta di credito? Hacker impiegano 6 secondi con questo metodo

Un primo passo da compiere potrebbe essere quello di rendere il “vaccino” obbligatorio per tutti e quindi forzare l’utente a effettuare questo tipo di aggiornamenti. Una politica che però sarebbe praticabile se gli aggiornamenti fossero più snelli e soprattutto tali da non compromettere la funzionalità delle macchine. Ricordiamoci infatti che molti sistemi sono usati non solo da utenti “normali” ma anche da aziende che probabilmente non si possono proprio permettere di riavviare la macchina o interrompere o rallentare alcuni processi quando decide Microsoft, Apple, Google, etc. E in alcuni casi potrebbe essere la stessa ragione per cui migliaia di computer non sono stati aggiornati e sono rimasti con il vecchio XP.

In alternativa, e questa ci sembra la strada più percorribile, il software andrebbe centralizzato e blindato nei server della compagnia, che avrà la responsabilità di fare tutte le modifiche e gli aggiornamenti del caso, oltre a monitorare affinché nessun malintenzionato acceda e comprometta il codice presente sul server.

Badiamo bene che quelli da noi esaminati riguardano falle di sicurezza rese pubbliche dalle stesse compagnie e da agenzie terze e che solitamente vengono sfruttate malintenzionalmente attraverso sistemi come metasploit. In realtà nulla sappiamo sui bug non noti, ma comunque esistenti, che potrebbero essere sfruttati dagli hacker su scala globale. Il discorso della sicurezza informatica andrebbe inoltre allargato all’internet delle cose: sono molti ormai i dispositivi connessi alla rete e nei prossimi anni il numero non farà altro che salire. Motori di ricerca come Shodan hanno dimostrato quanto sia semplice accedere a webcam, all’impianto di riscaldamento di un sito industriale, controllare veicoli etc.

Le compagnie nei prossimi anni avranno molto lavoro da fare per rendere la rete più sicura e dimostrare di essere in grado di gestire i rischi che si apriranno con l’internet delle cose. La sicurezza informatica, al pari dei cambiamenti climatici, è una delle sfide che l’umanità dovrà affrontare in questo secolo, ed è quella variabile che può compromettere la società dell’informazione, trasformandola nella società del caos. In tal caso, anche i governi dovrebbero iniziare a portare il tema al tavolo di discussioni internazionali (G7 e/o G20) e inziare a proporre soluzioni che costringano queste compagnie a farsi carico di questi problemi. Se il problema continuerà ad essere affrontato con la solita superficialità di sempre, se le responsabilità continueranno a essere scaricate sugli utenti finali, possiamo stare certi che nei prossimi anni continueremo ad assistere ad altri attacchi informatici, più vasti, più pericolosi e più compromettenti.

ORA GUARDA: 5 dispositivi che aiutano gli hacker a spiarvi: anche le cuffie con microfono disattivato