La guerra (persa) contro i ransomware

Indice

Da qualche tempo sento persone che, durante i convegni, parlano della regressione dei ransomware come fosse una vittoria meritata. La verità è ben altra, ossia che la guerra contro i ransomware l’abbiamo persa e anche amaramente…

Mettiamo qualche puntino sulle “i” perchè è doveroso e intellettualmente corretto. Non abbiamo vinto alcuna guerra contro i ransomware, forse qualche sporadica battaglia contro i modelli più datati e semplici. La verità è che il calo dei ransomware è dovuto alla scarsa remunerazione degli hacker rispetto al costo del pagamento del riscatto. No, non è un “nostro merito” ma semmai una serie di situazioni che fanno preferire altri metodi di attacco a quello del “riscatto”.

Il fallimento

Ciò è grave perchè nonostante i sedicenti sforzi di molte software-house, i ransomware non sono stati fermati. Ci sono stati un numero non indifferente di falsi positivi e di installazioni bloccate e antivirus fermati da “provetti” anti-ransomware.

No, diciamoci la verità…è stato un gigantesco fallimento. Un fallimento che, tra l’altro, ha interessato due aspetti importanti dell’ignoranza dell’utente: il primo riguardava l’impiego corretto dei ruoli utente, evitando di usare account administrator come impostazione predefinita. Il secondo riguardava il corretto uso delle credenziali su file/cartella in modo da disattivare, in talune cartelle a rischio, la facoltà di eliminare il file. 

I ransomware hanno fatto letteralmente “strage” dei computer ma non erano uno strumento sufficientemente conveniente. Ve lo immaginate un utente medio dover gestire l’intero processo di invio di cripto-valuta, magari su rete TOR, senza avere alcun tipo di conoscenza in merito? Siamo realisti, era improponibile. 

I veri perdenti

A perdere, tuttavia, sono state le software-house capitanate dalla stessa Microsoft. Pur giocando in casa e avendo dalla sua anche un firewall e antivirus proprietari (Windows Defender), non è riuscita a mettere in campo una soluzione efficace. Eppure di soluzioni ce ne erano e molte venivano richieste dagli utenti sulla rete per evitare almeno la distruzione delle copie. L’inserimento manuale di un codice per la disabilitazione delle copie shadow e della cronologia dei file, in modo da non permetterlo al virus. Il riconoscimento ed il conseguente blocco del comando massivo “rinomina” e “cancella”, soprattutto quando la rinomina avveniva su un formato sconosciuto o non legato ad alcuna applicazione installata. Insomma le idee, per quanto stravaganti, c’erano e si sarebbe potuto mettere in campo qualcosa perchè, a dire la verità, c’era anche il tempo (e ci sarebbe tutt’ora).

Intendiamoci, qualcosa è stato fatto ma ben poca cosa. Ecco perchè quando leggo o sento le frasi sulla vittoria nei confronti dei ransomware, o sulla loro diminuzione, penso sempre che non è da considerarsi un merito, anzi…

Se non c’è stato l’interesse di mettere in campo soluzioni concrete quando erano in auge, figuriamoci ora che sono anche diminuiti in percentuale. Ma questo dovrebbe  anche aprire una riflessione che abbiamo fatto molte volte: deve cambiare il concetto di sicurezza e deve cambiare la consapevolezza dell’utente. È un po’ come con la raccolta differenziata, l’utente è stato messo in condizione di farla.

L’informatica deve mettere gli utenti in condizioni di usare in maniera più consona le ACL e deve fornire strumenti più sicuri. Spesso questo significa fare scelte impopolari ma ritengo che questo sia il segreto del successo “sul lungo periodo”. Mi viene in mente quando Steve Jobs abbandonò Flash per chiari segnali di scarsa sicurezza di questa tecnologia. Una scelta impopolare che nel giro di 5 anni cominciarono adottare tutti. Nel 2019 abbiamo una pervasività di strumenti on-line e off-line pazzesca: non è ammissibile che il sistema operativo ospitante non sia in grado di tutelarsi, o di essere tutelato adeguatamente, senza che vengano chiamati sedicenti esperti a blindare il tutto.

Conclusioni

All’informatica serve realismo, non propaganda. Ogni qualvolta si mente su dati, o sulla situazione di un determinato contesto, non si fa altro che ingannare gli utenti. Rammarica vedere quanta scarsa professionalità c’è in giro e speriamo che i prossimi anni siano migliori di quelli attuali altrimenti difficilmente si potranno applicare politiche di sviluppo informatico degne di essere definite “sicure”.