-di FEDERICO MARCANGELI-

Dal 12 maggio migliaia di computer sono stati infettati dal virus Wannacry. Lo scopo di questo “agente infettante” è quello di permettere ai suoi sviluppatori di guadagnare dalle vittime. Il Ransomware in questione (il suo nome tecnico) blocca i file personali del PC, richiedendo un riscatto al proprietario. L’operazione avviene attraverso la cifratura forzata delle cartelle interessate, generando successivamente una chiave che viene inviata agli sviluppatori. In questo modo solo loro potranno “sbloccare” i file. La cifra richiesta per questa operazione parte da 300 dollari ed aumenta nel corso delle ore (fino a 600 dollari), inducendo l’utente a pagare. L’infezione si è propagata in circa 200.000 macchine ed in 100 paesi. La sua diffusione è stata possibile grazie ad una falla presente nei vecchi sistemi Windows (XP e 7). Il “buco” riguarda il protocollo SMB, utilizzato per condividere tra i nodi di una rete informazioni o hardware di varia natura (stampanti, file ed altro). Attraverso questo processo i vari PC connessi riescono ad autenticare gli altri nodi, non permettendo la comunicazione con computer esterni. Sui sistemi XP e 7 non aggiornati è presente però una vulnerabilità. Per sfruttarla era stato creato uno script che permetteva di aggirare l’autenticazione. In questo modo ci si poteva introdurre nei PC della rete senza alcun tipo di interazione da parte dell’utente.

Questo exploit (EternalBlue) era stato elaborato dalla NSA (l’agenzia per la sicurezza nazionale americana), ma da tempo era finito nelle mani del gruppo di hacker chiamati The Shadow Brokers. I Distruttori dell’Ombra avevano trafugato qualche mese fa questa arma informatica, rendendola successivamente di pubblico dominio. Partendo da questa base si è creato l’ormai celebre “Wannacry”. Il suo funzionamento è tanto banale quanto efficace. Il primo computer viene infettato attraverso un file malevolo inviato via mail che, se aperto, autoinstalla il software. Una volta inseritosi nel PC, il virus infetta tutti gli altri presenti nella rete locale, senza che gli utenti possano fare alcuna operazione. Immaginatevi un ufficio pubblico con 50 computer datati ed un dipendente poco accorto: i danni sono immensi. La diffusione è stata rallentata grazie ad un ragazzo inglese di 22, che ha scoperto “l’interruttore” di Wannacry. Prima di avviarsi il malware contattava un indirizzo web non registrato; appena il dominio è andato online il virus ha rapidamente diminuito la sua corsa. Questo vuol dire che gli sviluppatori avevano inserito un kill switch di sicurezza, che fosse in grado di arrestare il processo d’infezione. I timori rimangono, visto che il virus potrebbe essere riscritto senza questo interruttore. Non bisogna abbassare la guardia ed è necessario comprendere appieno le modalità di difesa da Wannacry (ma un po’ da tutti i virus). Dopo tutto questo discorso, appare chiaro che le conditio sine qua non per essere infettati siano quindi due: non avere un computer aggiornato ed aprire un file malevolo. Windows aveva scoperto questa falla da Marzo ed aveva prontamente provveduto a risolverla. Il problema è che molti utenti dimenticano o rimandano gli update, rendendo inutile il lavoro di aggiornamento del produttore. Il consiglio è quello di non rimandare: quando vi viene richiesto procedete.

Il secondo punto è tanto banale quanto importante: non scaricate file di cui non siete certi. Un mittente sconosciuto, un ordine online che non avete fatto, una comunicazione della banca o delle poste: ognuna di queste mail è quasi certamente un virus. Occorre prestare molta attenzione perché lo stile grafico è spesso vicino alle originali, causando un po’ di confusione nell’utente. Nel dubbio non aprite ed aspettate ulteriori comunicazioni attraverso altri mezzi. Se invece il computer è già infetto, è comunque possibile cercare di recuperare i file. Wannakiwi è la contro-arma a Wannacry e consente di decriptare i file “rapiti”. Lo strumento funziona fino al primo riavvio, dopodiché i dati non potranno essere più riscattati.
C’è poco altro da dire su questo virus, che si è diffuso grazie alla pigrizia di molti utenti (e di molte amministrazioni pubbliche) ed alla scarsa attenzione nell’utilizzo dei PC. Oggi sono i file, ma domani potrebbero essere le credenziali della banca. Il succo del discorso è che non si deve prendere alla leggere la sicurezza informatica, perché ormai da questi oggetti passa buona parte della nostra vita.