Negli ultimi mesi abbiamo visto un proliferare sempre più esteso di un particolare tipo di ramsomware (ovvero software dannosi atti ad estorcere denaro o informazioni agli utenti): CRYPTOLOCKER.
La particolarità di questo software dannoso non è quella, come alcuni suoi predecessori tra cui ricordiamo quello della “polizia postale”, di inscenare finti blocchi del sistema o sequestri giudiziari senza toccare in alcun modo i dati presenti nel computer, ma, al contrario, procedere in modo ATTIVO e METICOLOSO a criptare i file presenti nel nostro sistema, senza darlo a vedere all’utente, se non al riavvio con una finestra a video.
Per chi non lo sapesse criptare significa rendere illeggibili file di qualunque natura a meno di non conoscere un’apposita chiave, che in base alla formula matematica (l’algoritmo) che ne sta alla base può essere più o meno complessa.
Siamo passati quindi a un nuovo livello, se prima i PC erano soggetti a virus che ne rendevano lento l’avvio o si replicavano in modo più o meno efficiente, ma lasciando i dati utente fondamentalmente inalterati (o quasi), ora abbiamo una nuova categoria di software dannoso che punta attivamente alle informazioni (che sono a tutti gli effetti la parte più importante del lavoro).
A che scopo quindi attaccare gli utenti? Per estorcere denaro, ovviamente. I malcapitati saranno costretti, una volta che il programma avrà finito di lavorare, a pagare un riscatto per il recupero dei propri dati.
Utilizzando il sistema di denaro virtuale BITCOIN, il quale per sua stessa natura fornisce transazioni non rintracciabili e quindi è un veicolo ideale per un simile sistema di truffa.
La chiave di de-criptazione è cifrata a 128 o 256 bit (molto complessa) cosa che rende la possibilità di trovarla e quindi procedere autonomamente al recupero dei dati, virtualmente impossibile.
CRYPTOLOCKER è quanto mai efficiente nella sua opera di criptazione infatti procede secondo le seguenti priorità :
File recenti
File su unità di rete
File locali degli utenti
Questo significa che quando l’utente si accorgerà che i sui documenti (solitamente sul desktop o al massimo nella cartella documenti) non sono più leggibili, ormai gli archivi su server o Nas (dispositivi per l’archiviazione dei dati in rete) saranno già compromessi.
A questo punto a CRYPTOLOCKER non resta che avviare la richiesta a video all’avvio della macchina e palesare la sua presenza, che fino a questo punto è rimasta del tutto trasparente all’utente.
Il danno è fatto e, a meno di avere qualche backup NON direttamente accessibile dalla macchina infetta, si dovrà pagare per accedere ai propri file nuovamente o rassegnarsi alla perdita.
Purtroppo software di questo genere sfruttano quella che è la falla di sicurezza più grande in qualunque rete, ovvero l’utente.
Purtroppo un programma come CRYPTOLOCKER non è facilmente individuabile dai software antivirus poiché non effettua comportamenti “illegali”, ovvero non occupa processi del sistema in modo massivo, così come non effettua connessioni ad internet in modo massivo, effettua una piccola connessione, scarica delle immagini e documenti e modifica file, fondamentalmente quello che effettua un’utenza media durante l’orario di lavoro, per questo i software AV attuali non riescono a rilevarlo.
La diffusione di virus, malware, trojan horse o ramsonwre, nasce sempre da una scarsa oculatezza dell’utilizzatore delle risorse informatiche o, ancor peggio, di comportamenti contrari ai regolamenti aziendali, come il download di programmi o la visita di siti poco raccomandabili.
Quindi come fare a tutelarsi ?
I passaggi sono semplici seppur complessi :
1 – ISTRUIRE IL PERSONALE
E si, il primo passo per tutelarsi da simili software dannosi (che vale anche per programmi futuri) è che gli utenti della nostra rete siano coscienti di quello che stanno facendo ed edotti sulle meccaniche che sono dietro al funzionamento del computer (nulla di tecnico, ma che si sappia la logica delle cartelle, dei file, dei percorsi, delle estensioni, ecc…).
2 – DIFFIDARE DA DOCUMENTI SOSPETTI
I principali veicoli per i software dannosi sono :
Mail fittizie con finti documenti.
Crack o altro software non regolare scaricato da internet.
Siti di Crack o porno.
Nel primo caso, l’apertura degli allegati deve essere sempre scrupolosa e fatta con cervello :
Non sto aspettando fatture, o non le sto aspettando da un certo cliente ?
Telefonare al cliente prima di aprire un documento sospetto.
Non sto aspettando pacchi? Non aprire finte mail di tracking di falsi corrieri, specialmente se richiedono procedure diverse dalla semplice apertura di una pagina web.
Arriva una fattura o un altro documento da un indirizzo mail mai letto ? Eliminarla subito, in particolare se scritta in un italiano scorretto o con riferimenti errati.
Qualunque allegato alle mail deve essere coerente con quanto indicato, se sto aspettando un PDF non mi deve arrivare un file .SCR .BAT, .COM o .EXE per questo è buona norma che le estensioni siano visibili ( e che l’utente soprattutto sappia cosa sono).
Nel secondo caso, su sistemi aziendali non dovrebbe essere presente software di questo tipo,
ma se per qualche motivo si deve provare del software del genere, allora è opportuno provarlo in un ambiente virtuale (macchina o bolla applicativa) che ne impedisca la diffusione sul sistema.
Nel terzo caso come per il secondo è opportuno non consultare siti di questo tipo in una rete
aziendale e le precauzioni sono le stesse che per il software di natura incerta.
3 – TENERE L’ ANTIVIRUS E IL SISTEMA AGGIORNATI
Inutile dire che un antivirus non aggiornato è un antivirus inutile, pertanto è buona norma generale che sia aggiornato (e che l’utente sappia come aggiornarlo e verificarne il funzionamento).
Stesso discorso per il sistema e per il firewall, se il primo richiede ALMENO l’installazione dei Service Pack più recenti, quando non direttamente degli aggiornamenti successivi il secondo deve essere, a seconda dei casi, attivo sulle singole macchine (nel caso di pc isolati) o centralizzato per la rete, in quest’ultimo caso va mantenuto da personale qualificato.
4 – DISABILITARE L’AUTOPLAY
Sulle macchine degli utenti andrebbe disabilitato l’autoplay su tutti i dispositivi, questo per impedire l’esecuzione di codice virale nel caso di doppio click su chiavette e affini, ottima cosa insegnare agli utenti l’uso del tasto destro del mouse e dalla relativa voce esplora o apri.
5 – UTENTI NON AMMINISTRATORI
Questo è un punto piuttosto controverso, se da una parte un’utente NON amministratore non può modificare il sistema, dall’altra è una limitazione che spesso rende il lavoro, soprattuto dei tecnici, molto farraginoso.
Inoltre nel caso di CRYPTOLOCKER il software lavorerà comunque sui file criptando tutti i contenuti accessibili all’utente, e nel caso di utenza amministrativa o contabile il disastro è comunque inevitabile, indipendentemente se l’utente è amministratore o meno.
6 – PLUG-IN
Lo stesso discorso fatto con i programmi vale per i plug-in dei browser, queste componenenti aggiuntive devono essere aggiornate regolarmente e non devono essere presenti componenti invasive o dannose.
7 – SOFTWARE REGOLARE
Spesso capita di scaricare da internet software regolare come Acrobat Reader o Flash player, ma bisogna stare attenti ai siti che offrono il download, se devo scaricare Adobe Reader il sito dovrà essere qualcosa tipo adobe.com non, per esempio, adobe.sofware.com, il primo è il sito ufficiale adobe mentre il secondo è un sito che, magari, ci farà scaricare adobe reader ma insieme ad esso anche vari programmi per la modifica delle preferenze internet o addirittura virus.
Questo è un punto fondamentale dell’istruzione per l’utenza.
8 – BACKUP
I salvataggi dei nostri dati devono essere regolari e centralizzati in modo da non disperdere dati su differenti elaboratori e di conseguenza non avere il controllo della situazione.
Inoltre, nel caso di CRYPTOLOCKER i backup non devono essere accessibili da alcuna macchina direttamente, in modo che non siano corruttibili da software in rete.
I backup andrebbero eseguiti dal server o dal nas su un dispositivo con un’unica utenza amministrativa estranea agli utenti.
Va da se che nessuno, nemmeno il sistemista deve usare un server come un pc per navigare o quant’altro.
CONCLUDENDO
Per questi motivi la migliore sicurezza, oltre a un lavoro tecnico qualificato e scrupoloso, è un utente cosciente di quello che sta facendo, non contano solo le competenze nella propria mansione, ma anche la competenza nell’uso dei propri strumenti, soprattutto in un modo dove l’informatica è ormai al centro della produttività in quasi tutti i settori.