Marco Calamari

Lampi di Cassandra/ Attacco? No, menefreghismo

di M. Calamari - Perché i media si ostinano da giorni a definire WannaCry un "attacco", contribuendo così a creare disinformazione e a fomentare il panico?

Roma - Cassandra e i media non sono mai andati molto d'accordo, ma c'è mancato poco che stavolta ne scrivesse positivamente, perché le prime coperture dell'affaire WannaCry, fatte la prima sera da Sky e Rai 3 erano discrete; poca enfasi, attenzione ai fatti, opinioni di intervistati abbastanza esperti.

Poi la frana. Dal giorno dopo "Il Più Grande Attacco Hacker Del Mondo" si è impossessato delle news in prima serata, e annunciatori in orgasmo hanno iniziato a straparlare facendo a gara tra chi seminava più allarmismo e chi seminava più disinformazione. È continuato per giorni. Difficile dire chi ha vinto.
L'informazione e gli ascoltatori hanno certamente perso.

Cassandra doverosamente proverà a fare un po' di chiarezza sui punti principali, lasciando a persone più esperte come Matteo Flora riassumere i particolari tecnici e "storici."

Primo: non c'è stato nessun attacco.

Come il vocabolario Treccani insegna:
attacco s. m. (der. di attaccare) (pl. -chi). - (...) 3. Assalto con forze militari, azione offensiva svolta decisamente, con impeto e grande impiego di forze allo scopo di sopraffare e disorganizzare il nemico: preparare un a.; (...)

Non c'è stato nessun attacco perché non esisteva nessun nemico da attaccare o da cui essere attaccati; solo una manica di cialtroni può definire attacco un'epidemia, anzi una pandemia di un malware.
È avvenuta un'azione di criminalità informatica senza target precisi, del tutto usuale, che ha semplicemente assunto dimensioni maggiori (anche se non così tanto) del solito.
E ha dimostrato forse che i sistemi informativi degli ospedali inglesi stanno peggio di quelli delle nostre ASL.
L'obiettivo? Il solito, semplicemente fare soldi a spese di chiunque.

Secondo: il modus operandi dei criminali in questione e i mezzi usati sono del tutto ordinari.

Il ransomware/cryptoware con pagamento del riscatto via bitcoin è in giro da fine 2013, e ha colpito anche in Italia un sacco di persone. Davvero non avete un amico/conoscente/antani che se lo sia preso?

Terzo: c'è qualcosa di nuovo che ha reso questo malware così infettivo?

Si, c'è; il vettore di attacco è un (ex)zero day del protocollo SMB, che fa parte del malware rilasciato a marzo in Vault7.
Lasciate a Cassandra la soddisfazione di ricordare "Io ve l'avevo detto".

Non era difficile prevedere che la massiccia pubblicazione di malware battezzata "Vault7" avrebbe fornito mezzi nuovi e più potenti ai normali criminali informatici.
Perché allora nessuno se ne è (pre)occupato?

Proprio a marzo Microsoft ha rilasciato una patch di questa vulnerabilità, quindi prima che WannaCry colpisse. Patch ovviamente esistente e autoinstallata solo dalle versioni di Windows più recenti, lasciando indifese come un branco di agnelli a Pasqua una fetta cospicua delle installazioni di Windows collegate a Internet o anche solo in LAN.

Quarto: Di chi è la colpa?

Questa è facile; la colpa è delle aziende e degli enti che tengono in piedi sistemi informativi, anche critici, tagliando o azzerando anno dopo anno i budget per la sicurezza e per l'aggiornamento dei sistemi. Stavolta sarebbe bastato usare GNU/Linux, oppure installare le patch, oppure segregare in reti separate i sistemi Windows che non potevano essere aggiornati, oppure airgappare quelli appartenenti a sistemi o infrastrutture critiche.

Ma anche voi, voi che non fate i backup, che tenete tutti i dati in linea, che vi state riempiendo la casa di oggetti smart e di IoT il cui firmware non verrà mai aggiornato, che vi affidate al modem/router del provider o peggio acquistato e dimenticato, siete attori dello stesso film.
Solo che non vi hanno ancora chiamato in scena.
Questa volta vi è andata bene. La prossima sarà peggio.

Marco Calamari - @calamarim

Le profezie di Cassandra: @XingCassandra
Videorubrica "Quattro chiacchiere con Cassandra"
Lo Slog (Static Blog) di Cassandra
L'archivio di Cassandra: scuola, formazione e pensiero
Notizie collegate
108 Commenti alla Notizia Lampi di Cassandra/ Attacco? No, menefreghismo
Ordina
  • bastava creare una regola nel firewall, anche quello già integrato in XP (costo zero), e non ti saresti preso alcun virus!
    Non lo hai fatto? SEI DA LICENZIARE IN TRONCO, IT MANAGER DEI MIEI STIVALI!
    non+autenticato
  • - Scritto da: alex_
    > bastava creare una regola nel firewall, anche
    > quello già integrato in XP (costo zero), e non ti
    > saresti preso alcun virus!
    > Non lo hai fatto? SEI DA LICENZIARE IN TRONCO, IT
    > MANAGER DEI MIEI STIVALI!

    Questo presumendo che in azienda non si usi Samba, giusto?
    Shiba
    4103
  • Samba? Guarda che quelli a cui hai risposto manco sa cosa sia.
    non+autenticato
  • Questo auto messaggio vi distruggerà entro X secondi!!

    Firmato; Capitan Abyx III
    non+autenticato
  • mai, dico MAI, preso un virus.
    niente patch, niente antivirus, niente aggiornamenti oltre SP3. Mai preso un virus.

    ah dimenticavo: e mai nemmeno connesso ad internet.
    non+autenticato
  • - Scritto da: ...

    > ah dimenticavo: e mai nemmeno connesso ad
    > internet.

    ah eccoA bocca aperta
    non+autenticato
  • Forse non hai mai neppure inserito un floppy, utilizzato un cd o dvd, inserito una chiavetta in un qualsiasi buco.
    Mai utilizzato un wifi, mai condivisa una cartella con altri nella rete e quindi neppure mai collegato ad altre cartelle di rete su altri pc. Insomma, il tuo pc risulta spento da decenni e mai utilizzato, perfino, come diceva svicolone.
    non+autenticato
  • - Scritto da: radd
    > Forse non hai mai neppure inserito un floppy,
    > utilizzato un cd o dvd, inserito una chiavetta in
    > un qualsiasi buco.

    solo dvd per installare vecchi giochi 3 vecchi giochi (si, ci sarebbe wine sul quale ora girano, ma sono pigro e avevo in giro un vecchio disco da 80G e un cd con Xp, quindi...

    > Mai utilizzato un wifi,
    mai

    > mai condivisa una
    > cartella con altri nella rete e quindi neppure
    > mai collegato ad altre cartelle di rete su altri
    > pc.
    mai.

    > Insomma, il tuo pc risulta spento da decenni
    > e mai utilizzato, perfino, come diceva
    > svicolone.

    a te foerse. a me risulta risulta acceso da anni (nel senso che lo accendo di quando in quando) ma non sono cosi folle da mettere in rete una macchina Windows.
    lo uso solo per giocare, quei tre giochi li': per le cose serie, c'e' GNU/Linux.
    non+autenticato
  • maniacoooooooooooooooooooooo
    user_
    1084
  • Siamo in sintonia ...
    non+autenticato
  • Mai nemmeno acceso !

    - Scritto da: ...
    > mai, dico MAI, preso un virus.
    > niente patch, niente antivirus, niente
    > aggiornamenti oltre SP3. Mai preso un
    > virus.
    >
    > ah dimenticavo: e mai nemmeno connesso ad
    > internet.
    non+autenticato
  • Piuttosto che prendersela con le macchine embedded, dove non gira XP normale, ma XP embedded che di solito non ha il file sharing abilitato ma protocolli più seri, magari dire due paroline sulle politiche brainless di sicurezza Microsoft ?

    Giusto per uscire dalla semplice demagogia, si poteva per esempio accennare al meraviglioso mondo di Windows Home presente sui PC a basso costo e quindi per Microsoft anche a bassa sicurezza (tanto sono home).

    Quando mi sento porre domande idiote dal sistema operativo, tipo "Questa rete è classificata pubblica, vuoi attivare la condivisione di files e stampanti su reti pubbliche ?" sinceramente non mi sento di dare degli idioti ai sistemisti, più di quanto lo darei a chi ha fatto in modo che me la si ponesse.
    non+autenticato
  • Ma daaiii in Microsoft l'azienda più capitalizzata tra quelle IT, vuoi che non abbiano la creme de la creme degli sviluppatori ed esperti di sistemi operativi?

    Dai su, anche tu... Se non sono bravi loro...
    iRoby
    9639
  • Io ho una idea precisa su Microsoft.
    Penso che siano tra i pochi in grado di fare software veramente in modo professionale e con un altissimo livello di ingegnerizzazione. Le loro applicazioni sono belle, veloci e solide.

    Il problema è la politica commerciale che è sempre stata assurda. Ci sono situazioni evidenti in cui ti accorgi che avrebbero potuto fare una cosa nel modo più semplice e logico, e invece l'hanno complicata per obbligarti ad adottare le loro soluzioni, o farti pagare robe assurde come il Backup compresso progressivo che invece dovrebbe ovviamente essere incoraggiato.

    Questo sommato al livello utonto medio che solo perché sa accendere il PC si vanta di conoscere l'informatica, crea casini su casini.



    - Scritto da: iRoby
    > Ma daaiii in Microsoft l'azienda più
    > capitalizzata tra quelle IT, vuoi che non abbiano
    > la creme de la creme degli sviluppatori ed
    > esperti di sistemi
    > operativi?
    >
    > Dai su, anche tu... Se non sono bravi loro...
    non+autenticato
  • Giusto una precisazione che mi sembra corretto fare, WannaCry si basa su una vulnerabilità documentata nel rilascio di ShadowBrokers non in Vault7 di Wikileaks. Anche se le previsioni di disastri rimangono le stesse.

    Ciao, BarbaPeru
  • - Scritto da: BarbaPeru
    > Giusto una precisazione che mi sembra corretto
    > fare, WannaCry si basa su una vulnerabilità
    > documentata nel rilascio di ShadowBrokers non in
    > Vault7 di Wikileaks. Anche se le previsioni di
    E questo conferma il livello di competenza che qualcuno più sopra aveva esaltato ... va beh, sorridi, sei su PI
    non+autenticato
  • Intendi ShadowBrokers 1, ShadowBroker 1 (la demo, anche se non mi pare ci fossero vulns su smb, hta o frameworks per w32/dropper o ransomeware-like in genere) o ShadowBroker 2?
    Io ho ancora quel giga e passa di archivio in fresco e stò ancora aspettando la chiave..
    non+autenticato
  • - Scritto da: BarbaPeru
    > Giusto una precisazione che mi sembra corretto
    > fare, WannaCry si basa su una vulnerabilità
    > documentata nel rilascio di ShadowBrokers non in
    > Vault7 di Wikileaks. Anche se le previsioni di
    > disastri rimangono le stesse.
    yes...... e tra l'altro anche la timeline e' "curiosa"..... ossia a meta' aprile gli Shadow mollano questo paccone.. con dentro EternalBlue e EternalRomance (tool che abusano dei bug qui usati) ..... sembrano 0day ma poi si nota che M$ li ha gia' patchati (senza credits verso alcuno e senza che sia documentato niente in the wild) nella MS17-010 di meta' MARZO..... (ovviam i sistemi abbandonati tipo 7,2003,win8 non sono inclusi)
    non+autenticato
  • - Scritto da: bubba
    > - Scritto da: BarbaPeru
    > > Giusto una precisazione che mi sembra corretto
    > > fare, WannaCry si basa su una vulnerabilità
    > > documentata nel rilascio di ShadowBrokers non in
    > > Vault7 di Wikileaks. Anche se le previsioni di
    > > disastri rimangono le stesse.
    > yes...... e tra l'altro anche la timeline e'
    > "curiosa"..... ossia a meta' aprile gli Shadow
    > mollano questo paccone.. con dentro EternalBlue e
    > EternalRomance (tool che abusano dei bug qui
    > usati) ..... sembrano 0day ma poi si nota che M$
    > li ha gia' patchati (senza credits verso alcuno e
    > senza che sia documentato niente in the wild)
    > nella MS17-010 di meta' MARZO..... (ovviam i
    > sistemi abbandonati tipo 7,2003,win8 non sono
    > inclusi)

    mi autoquoto xche la 'curiosita' e' un po' criptica...
    - i shadow hanno mollato i nomi degli exploit a gennaio ,quindi
    a) nsa ha spiegato a M$ che roba era e hanno silentemente patchato? mhhhh
    b) M$ ha segretamente comprato il paccone di roba da shadow? mhhhh
    c) randome clue
    non+autenticato
  • C'è un riferimento diretto ai "curiosi tempi di microsoft" e alla patch day di febbraio misteriosamente skippata nel sedicente comunicato di shadowbrokers di qualche ora fà.

    Non c'é verificabilità, però la mia bussola personale (il modo in cui scrive/scrivono e gli argomenti che toccano) mi fanno pensare che siano davvero loro.
    Riecco il link: https://web.archive.org/web/20170516090047/https:/...
    non+autenticato
CONTINUA A LEGGERE I COMMENTI
Successiva
(pagina 1/2 - 8 discussioni)