Gli attacchi e i virus “RansomWare” si stanno pericolosamente diffondendo ovunque e chi li sviluppa ora è talmente spavaldo che attacca direttamente gli esperti di sicurezza o i fornitori di software in modo che saranno essi stessi, a loro insaputa, ad infettare tutte le aziende che usano i loro software. Criptano tuti i file, se riescono anche i backup, e chiedono un riscatto. In seguito, in totale spregio alla privacy e al GDPR, vendono tutti i dati sottratti sul dark-web. Già perché ultimamente proprio la normativa su Privacy e GDPR ci ha impegnato molto – e probabilmente troppo – sul piano leguleio ma non ci ha dato reali strumenti di difesa: abbiamo ignari responsabili del trattamento, improbabili DPO e amministratori di sistema tirati per la giacca…
“Dum Romae consulitur, Sagantum expugnatur” – abbiamo perso tempo con i cookie e le informative e ora siamo completamente disarmati di fronte a questi attacchi che – ironia della sorte – ci rubano proprio i dati che la legge ci chiede di proteggere.
Come fare?
Precisiamo che è davvero difficile difendersi: basta un allegato email aperto per errore per scatenare l’infezione. Può essere un dipendente dei nostri uffici ma anche un dipendente dell’azienda che sviluppa i nostri software, perfino il nostro responsabile della sicurezza. Sono proprio i sistemi che usiamo per proteggere che ci rendono vulnerabili.
- Dominio, server e sistemi di management centralizzati
Al virus poco importa la password dell’utente o le policy di sicurezza, a lui basta infettare un un PC qualsiasi, poi sfruttando diverse tecniche tenterà la scalata dei permessi e del server, se tutti i PC sono coordinati da un unico server ancora meglio, una volta arrivato al server sarà in grado di accedere a tutti gli utenti e a tutti i sistemi. Purtroppo la normativa si concentra proprio sulla corretta profilazione degli utenti e gli esperti di sicurezza fanno lo stesso da decenni, per gestire le organizzazioni più complesse ci si affida a sistemi di management centralizzato ma è proprio il sistema centralizzato che consente la diffusione a tutta la rete. Basta un virus ben fatto per entrare nella nostra rete indipendentemente da password e restrizioni. Quindi o i sistemi di gestione centralizzata li sappiamo usare bene o saranno il primo parco giochi del RansomWare. Va anche detto che proprio i sistemi che ambiscono a rafforzare la gestione e la sicurezza delle reti si concentrano più sul complicare la vita agli utenti (zero trust, impronte digitali, smart key, autenticazione a due fattori, mille restrizioni) che alla protezione efficace dagli attacchi. In sostanza danno agli amministratori l’illusione di un Dominio divino, ma non si accorgono facilmente se un PC è compromesso o peggio sono loro stessi infetti… insomma danno la caccia agli utenti e non ai software malevoli che lavorano di nascosto.
Soluzione? non usare mai il PC per altri scopi, evitare download di qualsiasi tipo, non guardare servizi streaming, non usare pennini usb trovati in giro, non aprire mai gli allegati mail, non accedere a siti sconosciuti, impostare il firewall del PC per non rispondere a nessuna connessione in entrata – proprio nessuna neanche la gestione remota…forse meglio non usare proprio un PC e usare un iPad!!!
E per i server? non usare un sistema unico di autorizzazioni (dominio) lasciare ogni server indipendente e senza troppe connessioni con gli altri. Evitiamo i software di gestione della sicurezza, e riduciamo al minimo i sistemi di gestione centralizzata, ultimamente sono proprio questi servizi che consentono al RansomWare di entrare e diffondersi in tutta la rete. - VPN
Per decenni sono state la migliore soluzione per collegarsi dall’esterno a una rete aziendale, con lo smart working migliaia di persone hanno potuto continuare a lavorare proprio grazie alle VPN, sono perfino una tecnologia abbastanza obsoleta, ultimamente ci siamo però concentrati su protocolli di sicurezza sempre più crittografati per evitare di essere spiati e su autenticazioni a due fattori ma basta avere un PC che a casa si prende un virus e che poi si collega in VPN per dare a quel virus un potere immenso e farlo entrare nella nostra rete a nostra insaputa. Inutile avere doppia/tripla password e crittografia a 2048 bit, il virus è nel pc che si collega e autentica correttamente. Sarebbe meglio collegarsi solo con iPad per evitare virus ma anche qui gli esperti di sicurezza preferiscono avere un PC aziendale, spesso indietro con il sistema operativo pensando ingenuamente di poterlo gestire con le policy di sicurezza del Dominio o con i Mobile Device Manager. Oggi sappiamo che il questi virus se ne infischiano delle policy e che se le cambiano pure per infettare gli altri PC.
Soluzione? se il PC è stato usato per altri scopi, se è inspiegabilmente lento e se presenta anche una minima anomalia non usarlo più per le connessioni VPN e procedere a un ripristino totale.
E sulle VPN site to site? queste sono pericolosissime, sarebbero da eliminare tutte, basta un nodo compromesso in una sede per devastare tutte le altre. Molte aziende fornitrici di software preferiscono avere un accesso diretto a tutta la rete del cliente per poter meglio gestire aggiornamenti e assistenza, ebbene questo è il veicolo principale degli attacchi ransomware: prima infettano l’azienda o il consulente e poi infettano tutti i suoi clienti sfruttando proprio l’accesso privilegiato!!! - Reti Locali VS Intranet
Le cartelle condivise, vecchie di 40 anni come Novell Netware, sono il terreno di caccia ideale dei ransomware, tutti i server accessibili in rete vengono spazzolati e i file criptati, ultimamente ci sono ransomware specifici per i NAS, per le Share di sistema e per i Backup quindi non si salva nessuno. E’ proprio l’essenza stessa delle LAN – la cartella condivisa – ad essere vulnerabile: basta anche un PC infetto per avviare il disastro.
Souzione? ripensare completamente le reti locali migrandole sul modello delle intranet, chiudere tutte le cartelle condivise e non riaprirle mai più, disabilitare tutti i NAS.
Intranet significa usare le tecnologie del web (internet) anche per gestire i nostri file (intra-net, inter-nos) è questa la soluzione che ci salverà dagli hacker cattivi e avidi, l’unica in grado di mettere al sicuro i nostri file in questo periodo difficile.
Possiamo usare Google WorkSpace o Microsoft 365 (sperando che non si becchino il virus anche loro) o ancora meglio SharePoint su 365 o SharePoint on premise limitando l’accesso al solo server Web. Ovviamente ci sono anche soluzioni open source come OwnCloud che però è ancora troppo vicino alla metafora dei file condivisi. Volendo, per molte aziende, potrebbe davvero bastare anche solo un buon CMS installato su un server robusto e sicuro per avere oltre alla condivisione file anche tutti gli strumenti moderni che ci consentono di lavorare in gruppo senza maneggiare i file: calendario condiviso, wiki, blog, gestione progetti, e così via.
https://www.associazionedschola.it/blog/intranet-senza-ransomware-sharepoint/ - Desktop Remoto
In passato oggetto di alcuni attacchi proprio RansomWare, ora con i giusti aggiornamenti e semplici regole sui firewall (cambiare le porte, consentire accesso solo a IP noti, certificati, ecc…), è decisamente più sicuro di qualsiasi VPN. Sono collegato al desktop di un PC remoto e ci lavoro a distanza ma la rete di casa e la rete dell’ufficio rimangono totalmente scollegate, il virus che ho preso a casa non può entrare in azienda, il virus del di chi fa assistenza software non intercetta la mia rete. La guardia va comunque tenuta alta perché un PC infetto potrebbe usare un keylogger per segnarsi le password, ma un accesso di desktop remoto al posto nostro o in contemporanea è abbastanza facile da scoprire (tipicamente mi trovo finestre aperte che non avevo aperto io). Anche per i sistemisti è da sempre la soluzione migliore e più sicura tanto che l’utility Remote Desktop Connection Manager di Microsoft ora è tornata in vita grazie a Sysinternals. Ovviamente non esiste solo il Desktop Remoto di Microsoft, Teamviewer, Anydesk e altri sistemi come il fantastico Apache Guacamole offrono funzionalità ancora migliori e perfino più sicure in quanto non richiedono porte aperte sui nostri firewall o nessun client per la connessione. Potremmo perfino pensare a un insieme di macchine virtuali tutte accessibili solo da desktop remoto, pronte a resettarsi dall’immagine di partenza a ogni minimo malfunzionamento o a ogni utilizzo, o ancora meglio non avere neanche più i PC e usare Windows 365
E con il desktop remoto i client possono essere qualsiasi cosa: smartphone, tablet, smart TV, console di gioco, MAC, RaspBerry e non solo i classici e sempre infetti PC.
Insomma le reti locali, organizzate come da manuale, sono davvero obsolete e per niente sicure, per uscirne bisogna fare il salto verso le intranet e il modello web. I sistemisti perdono troppo tempo nell’inutile tentativo di controllare i client, gli utenti le postazioni di lavoro mantenendole sicure, pulite e funzionali, giocano con mille policy e hanno troppo poco tempo per proteggere realmente i server. Per fare un esempio Amazon e Facebook gestiscono miliardi di utenti e non si preoccupano minimamente di voler controllare i PC di chi si collega, possono essere iPad super sicuri o PC marci strapieni di virus per loro è uguale, solo il loro server è al sicuro, il web è sicuro.
Eleonora Panto