Ransomware: 50 milioni per avere i dati. Dopo gli attacchi alla sanità Lazio, cosa potrebbe succedere nelle scuole?
Il meccanismo non è semplice. Dopo aver sperimentato i “virus” ransomware nel privato, questi provano a fare sul serio attaccando grandi banche dati e chiedendo riscatti milionari.
Cosa è successo effettivamente la notte tra sabato 31 luglio e domenica 1 agosto? Da che mondo è mondo i furti e gli scassi avvengono sempre nelle notti tra sabato e domenica, quando nessuno se ne accorge. Anche in questo caso siamo di fronte ad un accesso da copione.
Cerchiamo di capire, intanto, cosa sia un attacco alla sicurezza con inoculazione di software “ransomware”. Di fatto il malintenzionato bucando la sicurezza dei sistemi informatici riesce a piazzare dentro i server che contengono i dati un banale software che cripta i dati e li rende inaccessibili. La decapitazione necessita, ovviamente, di una password, una chiave a 2048 bit senza la quale la grande mole di dati diventa di fatto spazzatura. Inutile provare con computer potenti, il punto di rottura di codici del genere richiede migliaia di anni di elaborazioni al PC. Praticamente nel frattempo tutti i pazienti censiti nei sistemi della regione Lazio saranno morti.
A questo punto nascono diverse domande: come è stato possibile bucare un sistema così complesso e pieno di dati sensibili? Come mai addirittura è stato possibile criptare anche le copie di backup? Di solito esse risiedono su altri server che necessitano di altre credenziali di alto livello che i tecnici ordinari non possiedono.
La risposta alla prima domanda forse risiede nello smartworking. Al di là dei vari gossip che si susseguono e che interessano poco, di fatto il dipendente che si è collegato da casa e dal cui PC è partito tutto, lavorava da casa. Si sa che gli standard di sicurezza per gli accessi alla rete dalle connessioni domestiche sono di certo di livello più basso rispetto a quelli aziendali. Ora noi non sappiamo che genere di accesso avesse il dipendente quindi risulta difficile capire come sia possibile impossessarsi dell’intero sistema informatico partendo da un account, tuttavia appare chiaro che le credenziali del dipendente in questione potevano essere lette già facilmente magari dopo essersi beccato qualche virus che apriva un varco tra il suo portatile e la rete da li captare le password digitate.
I dati criptati quindi sequestrati
L’accesso non bastava, occorrerà rendere i dati inutilizzabili, come? In modo semplice come è successo ai PC di alcuni di noi: cifrandoli e tenendosi la chiave di cifratura. Di solito la cifratura è una pratica usata per rendere i dati inaccessibili a malintenzionati, stavolta succede effettivamente il contrario.
Sarebbe come se dei ladri fossero entrati nel caveau di una banca e avessero cambiato la serratura, chiedendo il riscatto in cambio della chiave.
C’è di più: i dati sicuramente risultavano illeggibili e inaccessibili ai malintenzionati ma questo non ha impedito loro di chiuderli in cassaforte e chiedere il riscatto. Quindi non si può neanche parlare di rischi certi per la privacy, magari i dati erano a loro volta protetti. Come dire: metto la tua cassaforte dentro una cassaforte più grande, io non posso accedere ma a me interessa che non possa accedere neanche tu.
Dove sta il backup?
Il backup a volte è quella cosa che fai ogni notte ma quando la cerchi nei momenti di bisogno spesso ti crea problemi: è incompleto, è vecchio, oppure? Oppure, come è avvenuto in questo caso anche il backup è sotto chiave. Ma come è possibile? Non dovrebbe esserci un bel muro tra dati e copie di sicurezza? Il male è riuscito a passare dai server ordinari a quelli di backup? Strano!
Intrigo internazionale
Inutile dire che gli attacchi partono da indirizzi IP difficilmente tracciabili che portano a non meglio precisate aree geografiche, insomma i malintenzionati non sono individuabili.
Anche il riscatto ha del surreale: acquisto BitCoin, valuta vuota di contenuto ma usata per veicolare somme di denaro senza tracciatura alcuna. La richiesta è cospicua: 50 milioni di dollari. Non si sa e non si capisce come possa un ente pubblico come lo Stato a dover sottostare ad una simile richiesta, pena la perdita di tutti i dati, cosa da evitare assolutamente.
Di certo di mezzo ci saranno figure chiave come avviene per i sequestri di persone all’estero. Anche in quei casi, ad esempio, non sapremo mai se lo Stato abbia pagato o meno il riscatto.
Secondo la mia umile opinione tutto avverrà senza che ci sia dato sapere. Fra qualche giorno sapremo che il sistema è stato ripristinato grazie all’intervento di bravi tecnici. Esattamente come avviene quando si riesce a liberare un ostaggio come per incanto.
Situazione inquietante anche per altri apparati come la scuola
Cosa potrebbe accadere per altri apparati importanti dove lo smartworking è diffuso? Si pensi ad esempio ai sistemi informatici delle scuole, ormai accessibili dalle singole scuole ma residenti sempre in rete. Se al dipendente della sanità laziale è bastato lavorare da casa, cosa possiamo dire dei casi di ben 8300 scuole con reti colabrodo?
Qualche mese fa ricordiamo che era successa una cosa simile anche se di minore entità agli archivi del registro elettronico Axios (leggi qui). Non si sa bene cosa ma per fortuna i backup erano integri, Anche in quel caso il colpo fu messo a segno nella notte tra un sabato e una domenica.
L’innovazione tecnologica porta con sé una buona dose di rischi soprattutto laddove concentriamo i dati in un unico grande contenitore.