lunedì 15 maggio 2017

Osservazione sul worm Wannacry / Wannacrypt (o come caspita si chiami)

In questi giorni è in corso un "attacco informatico" che ha colpito, pare, più di 200.000 utenti, in più di 10.000 organizzazioni, in più di 150 paesi.

Su questo evento si possono fare molte riflessioni, sia di carattere tecnico sia per la società nel suo complesso. Ne faccio qui una di carattere tecnico: semplice e banale. Ma importantissima.

Nei miei corsi di sicurezza informatica mostro quasi sempre una slide che riassume uno studio fatto qualche anno fa da Google. Chiesero a 231 esperti di sicurezza e a 294 utenti non esperti di sicurezza di descrivere il proprio comportamento dal punto di vista della sicurezza informatica.

Come si può vedere, l'accorgimento numero 1 per gli esperti è molto semplice: aggiornare i sistemi. Questo accorgimento non compare nella lista dei non esperti:



Bene, l'attacco di questi giorni è stato reso possibile proprio dal mancato aggiornamento dei sistemi.

L'attacco ha sfruttato una vulnerabilità (errore software) presente in alcune versioni di Windows e corretta da Microsoft il 14 Marzo 2017. L'attacco ha cioè colpito solo sistemi che non avevano ancora applicato una correzione emessa due mesi fa, o versioni ormai obsolete per le quali la correzione non era stata emessa.

E' interessante notare quanto siano ripetitivi gli avvisi emessi a seguito dell'incidente:
Riporto di seguito considerazioni analoghe fatte da esperti di altissimo livello:

  1. Ross Anderson (University of Cambridge): "...in well over 90% of NHS organisations, the well-meaning amateurs managed perfectly well. What they did was to keep their systems patched up-to-date; simple hygiene, like washing your hands after going to the toilet."
  2. Matt Blaze (University of Pennsylvania): "Pre-ransomware advice: - Backup - Patch - Turn off unneeded features;  Post-ransomware advice: - Backup - Patch - Turn off unneeded features"
  3. Rob Graham (Independent consultant):  "1/ Patch your stuff"
  4. Troy Hunt (Independent consultant): "It's because you didn't upgrade or patch your things"

Concludo con un estratto da un comunicato del President e Chief Legal Officer di Microsoft. Estratto che contiene una verità sacrosanta sulla quale ognuno di noi dovrebbe riflettere:

As cybercriminals become more sophisticated, there is simply no way for customers to protect themselves against threats unless they update their systems. Otherwise they’re literally fighting the problems of the present with tools from the past. This attack is a powerful reminder that information technology basics like keeping computers current and patched are a high responsibility for everyone, and it’s something every top executive should support





Posta un commento