Passati alcuni giorni dagli effetti più virulenti dell’attacco Wannacry, che abbiamo cercato di raccontare nel dettaglio fin dalle prime ore anche con esclusivi approfondimenti, è utile ragionare sulle peculiarità dell’attacco e sulle conseguenze per il pianeta sicurezza. Come racconta in esclusiva a Digital4Trade Luca Bechelli, esperto di sicurezza e membro del Clusit, ci sono infatti degli aspetti che sono passati in sordina nelle prime ore. «Tendenzialmente giudico WannaCry un attacco sovradimensionato da un punto di vista mediatico rispetto a quelli che sono poi stati i veri e propri effetti. È vero che soprattutto l’Inghilterra ha avuto delle conseguenze serie, ma non si può certo parlare di attacco più grosso del decennio o senza precedenti. Le botnet che sono presenti da anni hanno colpito in passato un numero superiore di macchine rispetto a Wannacry. È vero anche il numero di paesi coinvolti è stato ampio, ma non è certo la prima volta che capita e le conseguenze maggiori hanno interessato soprattutto un paio di nazioni.
Indice degli argomenti
Le peculiarità di WannaCry
Questo però non induce l’esperto di sicurezza a sottovalutare le peculiarità dell’attacco e le sue caratteristiche. «Innanzitutto occorre rilevare che la vulnerabilità sfruttata da WannaCry è stata sottratta lo scorso alla Nsa e, sicuramente, non si tratta neppure dell’unica. Dunque c’è una sorta di responsabilità indiretta dell’agenzia governativa, che custodiva questa vulnerabilità come arma di offesa e se l’è fatta sottrarre, come un arsenale mal custodito. La prima lezione è che da parte di queste agenzie governative serve più attenzione e una gestione diversa delle conseguenze degli attacchi. È infatti molto probabile che anche in futuro capiteranno violazioni di questo tipo: per mitigarne le conseguenze, serve un’adeguata comunicazione, altrimenti gli utenti comuni non potranno approntare le difese opportune e gli attaccanti continueranno a giovarsi di questa carenza di informazioni. Un’altra considerazione da fare è che, a quanto pare, le conseguenze più gravi dell’attacco informatico sono state bloccate grazie all’intervento di un giovane ricercatore, che in maniera un po’ casuale è riuscito a scoprire la formula del disinnesco. Questa volta è andata bene, ma le conseguenze di un intervento autonomo di un singolo sarebbero potute essere diverse, al punto da peggiorare la situazione. In questi casi servirebbero interventi più coordinati. C’è infatti una grossa impreparazione alla gestione degli incidenti, in termini di coordinamento e analisi, che invece sono d’obbligo nella della vita reale».
Un attacco sin troppo virulento
Inoltre c’è da evidenziare che l’attacco ha avuto delle conseguenze, che però sono state meno clamorose di altri attacchi, magari passati più sotto silenzio. Perché? Probabilmente Wannacry è stato troppo virulento all’inizio, dunque è stato da subito evidente e quindi si è riuscito a contenere. I virus informatici più pericolosi, così come capita per la salute umana, sono invece quelli che hanno un lungo periodo di incubazione e che rimangono sotto traccia. In questo modo riescono a diffondersi e poi a creare i maggiori danni. Ma allora perché WannaCry ci ha fatto così tanta paura? «Ci sono stati effetti importanti sul sistema sanitario inglese, è questo è stato un aspetto davvero grave, ma d’altronde noi come Clusit lo diciamo da tempo. Siamo di fronte a dei soggetti che non hanno alcuno scrupolo a colpire bersagli critici come le aziende ospedaliere, non preoccupandosi minimamente delle conseguenze per la vita delle persone, ad esempio dei pazienti che hanno dovuto rimandare un intervento. Tanto che secondo me si può parlare di vera e propria malavita organizzata».
Pronti al peggio
Ma perché le conseguenze per l’Italia sono state meno serie rispetto a quelle del Regno unito? Secondo l’esperto del Clusit, non dipende certo da una maggiore sicurezza complessiva del nostro Paese, dal momento che l’Italia è perennemente in testa alle classifiche del ransomware. Piuttosto a pesare è stata la strategia non molto avanzata dell’attacco. Inoltre il nostro Paese non possiede un elevato rado di interconnessione tra le piattaforme dei servizi pubblici, dunque questo ci paradossalmente salvaguardato da Wannacry, che si è diffuso non soltanto via mail ma tramite le reti locali. Tutto questo porta Bechelli a dire che «le reti aziendali dovrebbero essere più segmentate, con un accesso che dovrebbe essere più limitato. Le porte vanno messe non soltanto in casa. Per il futuro dobbiamo aspettarci il peggio da questi attacchi e i comportamenti delle aziende devono adattarsi a questo scenario».
