Blog

Dovrebbe essere saltato agli occhi di tutti, Microsoft da maggio con wannacry ha preso a rilasciare patch anche per Windows 2003 e XP, anche se commercialmente non esistono più per microsoft....o forse invece ne esistono ancora troppi?

I nostri desktop e portatili ormai sono Windows 7, 8 o per la maggiore Windows 10, ma il fatto che MS abbia deciso di rilasciare patch per due sistemi ormai chiusi da anni è significativo e ci deve far riflettere. Ovvero Microsoft sa di  per certo che c'è una parte "importante" di servizi  in cui ancora i vecchi window non riescono ad essere sostituiti, e quando ci sono eventi eccezionali... l'unica soluzione è riattivare il patching di questi prodotti ormai chiusi.

Ma quali sono gli ambienti in cui questi sistemi non riescono ad essere aggiornati e perché?  Ci sono ambienti in cui il software è fortemente "sedimentato" al punto che sostituire o aggiornare il sistema operativo corrisponde spesso a cambiare l'intero macchinario. Abbiamo provato a fare una lista non esaustiva di quelli che sono gli ambienti in cui i vecchi Windows sono ancora in funzione e non possono essere sostituiti

  • Macchine industriali certificate con Windows XP o con Windows 2003
  • Macchine a controllo numerico il cui software gira solo su queste piattaforme
  • Sistemi ATM (per la verità pochi in Italia ma in altre parti del mondo lo scenario è ben diverso...)
  • Registratori di cassa, magari con dispositivi barcode non più supportati 
  • Stazioni self service
  • Totem e pannelli informativi
  • Sistemi di Automazione industriale:
    •  controllo accesso varchi
    •  gestione illuminazione 
    • gestione climatizzazione
  • I dispositivi sanitari

 

in ognuno di questi ambiti spesso si è diffidati dal fare anche i normali aggiornamenti di sicurezza. Purtroppo l'impossibilità di aggiornare questi sistemi a versioni Windows più recenti è, nella maggior parte dei casi,  da addebitare al software che ci gira sopra, progettato specificatamente per operare con un certo ambiente e con cervt versioni di librerie di sistema. Un aggiornamento del sistema operativo nella migliore delle ipotesi causa un blocco di alcune funzioni e nella peggiore l'impossibilità di fare qualsiasi cosa.

E quindi le aziende si tengono le loro piattaforme comprate oltre 10, 15  anni fa  e pagate care, perché sostituire windows XP o Windows 2003 vorrebbe dire buttare via  e ricomprare tutto ex novo; un investimento che una grossa azienda può anche fare, ma che certo una PMI difficilmente si può sostenere. 

Mi domando, il Garante Privacy dove sta? le misure minime che prevedono "aggiornamenti periodici dei programmi per elaboratore volti a prevenire la vulnerabilità di strumenti elettronici e a correggerne difetti sono effettuati almeno annualmente" dove sono applicate in questi contesti? qualcuno mi dirà che sulle macchine a controllo numerico non ho un trattamento di dati personali o sensibili e quindi non ha senso, verissimo ma quella macchina potrebbe essere un vettore di attacco o infezione per quei sistemi che effettuano il trattamento. in caltri casi invece il trattamento di dati personali o sensibili è palese, come per il registratore di cassa o per tutto l'ambito sanitario. 

Sappiamo bene tutti che l'ufficio del Garante è sotto dimensionato, ma   invece di andare a fare ispezioni rigorosissime alle aziende che usano l'informatica come strumento per realizzare il loro business, forse... sarebbe il caso di andare a controllare se chi apparati appliance, allinone e  software che mette all'interno di tanti dispositivi si impegna a rilasciare aggiornamenti che permettano di mantenere aggiornato e in sicurezza il sistema.

Non possiamo pensare che il controllo accessi di un'azienda debba rimanere su Windows XP perché non esiste una versione per windows 10 e che l'alternativa sarebbe cambiare il sistema controllo accessi, né che una macchina per la molatura metalli a controllo numerico continui a girare su Window XP perchè altrimenti devo cambiare macchina, tantomeno possiamo accettare che il  registratore di cassa che accetta la nostra carte di credito e scannerizza la nostra tessera fedeltà giri solo su Windows XP, per non parlare del mondo sanitario dove sicuramente nessuno è disposto ad accettare che l'ecografo continui a funzionare ancora con il  Windows XP rilasciato il 21 ottobre 2001 trattando i nostri dati sanitari. Tutto questo  per non parlare di tutto l'Internt of Things!!!

 

Wind Tre dovrà comunicare per iscritto agli oltre 5mila clienti di aver subito un attacco informatico lo scorso 20 marzo che ha consentito di visualizzare e acquisire in chiaro le user id e le password necessarie per l’accesso al loro profilo online e al rischio di furto dati fra cui nominativo, codice fiscale, numero di telefono, mail, indirizzo e fatture degli ultimi sei mesi per chi li ha richiesti. 

Lo ha stabilito con estremo ritardo il Garante Privacy nel suo provvedimento n. 226 dell’11 maggio scorso. Se queste sono le prove tecniche di GDRP e gestione del data breach iniziamo male. Nel mondo interconnesso di oggi nessuno, neanche il Garante Privacy si può permettere di essere lento in particolare quando la questione riguarda il furto di dati personali. Tempestività è una delle parole chiave del GDPR per la gestione di un breach ed è chiaro che è mancata, 1 mese e mezzo non è certo un indicatore di tempestività.
L'altro concetto chiave è "digital investigation"; l'ispezione del garante ha accertato come i dati dei 5000 clienti fossero presenti in un file generato nel corso di un intervento tecnico che per errore non era stato cancellato a termine delle operazioni ed era divenuto oggetto di furto. Purtroppo però non ha chiarito come e da dove "ignoti" si siano potuti introdurre nei sistemi di Wind Tre per poter sottrarre quel file.

Le aziende, anche nelle più grandi, continuano a concentrarsi esclusivamente sull’aspetto tecnologico di difesa informatica, la cyber difesa, falsamente rassicurati dal marketing  di vendor e consulenti cyber, si illudono di non poter essere attaccati e di non correre rischi.

Troppo spesso questa falsa sicurezza fa si che si scelga di non si predisporre nè di formare team dedicati alla gestione degli incidenti, che abbiamo le competenze e gli strumenti per il monitoraggio, la tracciatura, indagine e raccolta delle digital evidence per un'analisi forense di un attacco informatico.
Un Team CSIRT oltre a monitorare la sicurezza aziendale e monitorarne eventuali compromissioni, deve essere in grado di dare seguito ad una indagine forense su un data breach o un leak per eventualmente poter avviare la tutela legale e assicurativa nel post incidente.

 

Wannacry non è un attacco normale, ha colpito 156000 computer e se ne parla come ne avesse colpiti 2 Milioni, ci sono tante botnet da 2 Milioni di pc di cui nessuno parla di cui non ci si preoccupa... Per Wannacry hanno usato un exploit pubblicato da ShadowBrokers il 14 aprile, un mese fa. Un exploit che non doveva funzionare se qualcuno si fosse preoccupato di gestire il patching dei sistemi, sopratutto dopo l'uscita dei tools di ShadowBrokes...


Il venerdì sera del 12 Maggio ti arrivata Wannacry, in italiano "voglio piangere" un nome, un programma. Nel giro di poche ore mette KO, Telefonica, Renault, FedEx e gli ospedali britannici... oltre a tante altre realtà in tutto il mondo
Vi sembra normale che colossi come Telefonica e Renault siano vulnerabili a questi attacchi? Non dovrebbero avere un team dedicato a gestire la sicurezza IT con tempestività?  l'interrogativo più interessante arriva ora. Wannacry è stato disattivato, cioè è stato premuto il pulsante rosso di Emergenza.. da quando in qua chi scrive codice malware mette a disposizione un pulsante di emergenza???? Da quando in qua i ramsoware si bloccano con il pulsante di emergenza?

A meno che non si trattasse di una prova fatta per misurare i tempi di diffusione, la capillarità, o i tempi di risposta. Da bloccare ad un certo punto.... perché di pazzi il mondo è pieno ma di pazzi che mettono il pulsante di arresto sulle bombe...non ne ho mai visti, ci sono sempre voluti gli artificeri per disinnescarle.

Per me tutta la questione ha più il sapore di un sottile gioco strategico, della serie vediamo quanti sistemi riesco a compromettere in x ore, o vediamo quanto tempo impiegate a trovare il pulsante di emergenza..
Dietro tutto questo c'è sicuramente una mente diabolica che ha un piano molto più ampio di wannacry, che ha usato la disattenzione, l'incompetenza e il semplice menefreghismo di chi è alla guida di aziende IT e non si preoccupa realmente di trasformare la sicurezza in quotidianità

E ora cosa ci dobbiamo attendere se ciò che abbiamo visto è stata solo una esercitazione... non ho idea, forse altre esercitazioni stile wannacry prima di un grande attacco globale per il quale non sarà sufficiente staccare i computer da Internet ma dovremo spengerli... Dobbiamo prendere coscienza del fatto che abbiamo costruito, all'insegna del motto "soldi subito", un mondo IT estremamente fragile: l'IoT è fragilissimo e potrebbe diventare un grande boomerang, inoltre ci sono migliaia di exploit 0 day sicuramente più pericolosi di quello usato da wannacry che potrebber colpire da domani..

Vediamo quindi, se la "lesson learned" serve a qualcosa, se incominciamo rapidamente a porre maggiore attenzione ai rischi sicurezza, a mettere persone skillate a gestire la sicurezza e l'IT, ma sopratutto se smettiamo tutte le volte di ragionare come spesso mi capita di sentire
"non è capitato fino ad ora... perchè dovrebbe succedere ora.." se non impariamo da wannacry... avremo tanti episodi di wannacry 2,3,4... come per le più famose serie... ma con impatto sul mondo reale: finanza e posti di lavoro

 

Joomla templates by a4joomla