Cybersecurity - Quello che non abbiamo mai fatto
Dopo i recenti fatti di WannaCry e Samba, ho riflettutto un po' su quello che era (ed è) il mio approccio alla sicurezza informatica, almeno per le infezioni. Ma prima di affrontarlo, riprendiamo un po' di storia.
Inizialmente, il vettore di attacco (ovvero il mezzo con il quale il virus attaccava) era un supporto di memorizzazione fisico: floppy disk, compact-disk, successivamente pennette USB e altri. A seconda se era un virus od un worm (passatemi la generica classificazione), doveva esser lanciato a mano mediante l'inganno dell'utente (ad esempio, facendosi passare per altro) oppure, i secondi, sfruttando delle falle nei sistemi di "protezione".
Con l'avvento di Internet, abbiamo solo visto incrementare esponenzialmente la "superficie d'attacco", ovvero l'area (ideale) che esponiamo verso l'esterno((La "superficie d'attacco" è l'insieme di tutto quello che esponiamo: porte e protocolli di rete, porte fisiche, dispositivi di input, etc.)). Nulla è cambiato nel modo di espandersi dei virus: con l'inganno invitano l'utente ad eseguirsi, oppure si infiltrano attraverso "buchi" lasciati scoperti. Certo, prima era il floppy disk che ci ha dato un collega, ignaro del fatto che il suo PC era infetto, mentre ora è una e-mail o un messaggio su un social network. Ma il processo è sempre lo stesso.
Anche l'obiettivo è rimasto lo stesso, quello di fare soldi (a meno di virus "mirati", ma questo è un altro discorso); cambia ovviamente il modo: inizialmente erano le pubblicità, poi si sono aggiunti i servizi "finti" che ti ingannavano, poi sono entrate le botnet e quindi si sono aggiunti, per ultimi, i ransomware, ovvero i virus che tengono in ostaggio i documenti e chiedono un "riscatto".
È cambiato qualcosa nei sistemi di protezione? Certo che si: mentre inizialmente erano poco sviluppati, molto generici e poco efficaci, adesso sono ad un livello molto alto.
Quindi sorge la domanda spontanea: come mai adesso, tolto il fatto che la tecnologia è presente in ogni dove, le infezioni sono in rapporto le stesse? La risposta è altrettato spontanea: le protezioni non si utilizzano (le aziende). Per dimostrare questa ultima frase, porterò l'esempio di WannaCry.
WannaCry sfrutta una vulnerabilità di SMB tramite un exploit chiamato EternalBlue, sviluppato dalla National Security Agency statunitense per attaccare sistemi informatici basati sul sistema operativo Microsoft Windows. EternalBlue era stato rubato da un gruppo di hacker che si fanno chiamare The Shadow Brokers e pubblicato in rete il 14 aprile 2017.
Dalla pagina di Wikipedia in italiano, alla voce WannaCry
Sicuramente, in questo caso, la colpa dell'NSA è evidente: un buco della sicurezza così grande andava segnalato, e non sfruttato in modo totalmente illecito per spiare chiunque.
Tolte le battaglie contro gli enti governativi (che non spettano alle singole aziende), analizziamo quello che possiamo/potevamo fare noi. In primis, il protocollo: SMB, Server Message Block. Dagli annali dei CERT, sappiamo che questo protocollo è sempre stato un problema, specie insieme a Windows. Non era progettato per l'utilizzo intensivo sulla rete Internet.
Pensiamo ai casi d'uso che hanno spinto tante società a rendere pubblico l'accesso a SMB da parte di Internet sulle loro macchine:
- Pigrizia/ignoranza nella definizione delle regole dei firewall (scommetterei sulla percentuale maggiore di questa motivazione)
- Necessità di condividere file con dipendenti/consulenti/partner tramite Internet
Nel primo caso è chiaro che il problema è di cultura; ma pensiamo al secondo caso: è davvero necessario che tutti gli host di Internet siano in grado di comunicare con la mia azienda? Oppure posso impostare delle policy più restrittive? Posso, ad esempio, restringere tutto all'interno di una VPN? Posso usare altri protocolli/implementazioni più controllabili? La risposta a tutte queste domande è si: posso filtrare per IP, posso mettere alcuni computer fidati all'interno di una VPN, posso persino usare Samba o implementazioni di FTP su una macchina dedicata (considerata "a rischio", visto l'accesso dall'esterno dell'azienda). Questo avrebbe eliminato, se fatto correttamente, il mezzo di infezione diretto.
Secondo punto: uno dei mezzi di infezione è l'e-mail. Qui da padrona la fa la cultura, ovviamente, ma anche i sistemi di protezione possono evitare il contagio: ci sono stati casi di macchine (con Windows, ndr) in catene di montaggio che, infettate, hanno bloccato un'azienda. Perché tali macchine sono in comunicazione diretta (tramite SMB sopra citato) con quelle macchine che gli utenti utilizzano per leggere le e-mail? La risposta, in molti sennon tutti i casi, è no: ci sono soluzioni più sicure, come l'utilizzo di firewall e la definizione di aree interne, che permettono di evitare ciò.
Terzo punto: gli aggiornamenti! Anche qui, come in innumerevoli casi, l'epidemia è arrivata dopo la disponibilità di aggiornamenti. Non solo, questo ha riportato alla luce un altro problema, che in molti avevano dimenticato: molte aziende sono rimaste con sistemi obsoleti, non più aggiornati (parlo di Windows XP). Questo denota la scarsa propensione di tutti nel tenere aggiornato un sistema: è un costo che ogni buon sistemista/sviluppatore/caporeparto IT deve tenere bene in mente. Non si può installare un sistema e lasciarlo lì; serve manutenzione ordinaria, servono riavvii e verifiche: il costo della manutenzione ordinaria è ben al di sotto del danno economico che si avrà in caso di problemi.
Tutte le soluzioni citate esistevano già prima di WannaCry? Certo: da anni si dice che è necessaria una "cultura della sicurezza informatica" anche per i non tecnici, da decenni esistono protocolli e modi migliori per gestire una rete informatica.
Quello che è successo si ripeterà se non iniziamo a gestire correttamente le piattaforme. Ogni buon tecnico IT conosce bene quali sono le best practices, e se non le ricorda, si trovano fior di documenti su internet e persino nella legislazione vigente.
Io ho sempre gestito la sicurezza nel modo principe delle best practices, e continuo a credere che sia il modo più corretto: meno privilegi possibili, meno superficie d'attacco possibile. Se una cosa non è espressamente permessa, è vietata. Se fosse stato utilizzato questo schema, secondo me questa epidemia sarebbe stata molto meno violenta.