1 aprile 2009  2

Conficker ed il 1° aprile: a volte sono necessarie decisioni drastiche ed eccezionali

conficker worm Ogni sistemista che abbia in gestione non solo un’intera rete locale, ma anche una complessa rete territoriale, è perfettamente conscio del fatto che il problema più importante è proprio quello della sicurezza, sia interna che esterna. Il fenomeno ConfickerW (Downup, Downadup o Fido) esploso verso la fine del 2008 e che a tutt’oggi turba il sonno di tutti gli esperti del settore, ha dimostrato che, nonostante tutte le possibili precauzioni, un sistema sicuro al 100% è assolutamente non realizzabile e, aggiungerei, neanche ipotizzabile.

Le numerose versioni di questo worm, si sono attualmente concretizzate nella sua ultima incarnazione, ovvero la variante .d che, pur non essendo più pericolosa di quelle precedenti (in particolar modo la .b), ha comunque suscitato un notevole scalpore non solo in ambito mediatico, ma soprattuto tra gli addetti ai lavori, in virtù delle informazioni trapelate riguardo le specifiche date in cui esso si attiverà sui sistemi infetti.

Le potenzialità della nuova variante sono notevoli: sembra che il malware genererà per diversi giorni una lista di 50,000 domini Internet differenti ai quali tenterà di collegarsi.
Il worm/Conficker.C non colpirà solo il 1° Aprile ma anche nei giorni successivi, probabilmente il 2 e il  6 Aprile, generando per ogni giorno ulteriori liste di domini Internet differenti (50,000 domini differenti creati ogni singolo giorno menzionato). I domini generati sono di ausilio per il worm al fine di scaricare copie di se stesso o di altri malware sui pc infetti.

Personalmente, sono sempre restio a dare fiducia al sensazionalismo spinto e, soprattutto, al panico incontrollato che spesso campagne informative di questo tipo tendono a concretizzare. Il problema è che, per la prima volta, ci troviamo di fronte ad un malwareWconfezionato” con il preciso intento di destabilizzare i sistemi a livello mondiale, e non si parla semplicemente dell’attività di un “singolo”, ma sicuramente di un progetto ben strutturato e concepito con scopi che travisano la mera soddisfazione personale (da parte dell’hacker/programmatore ovviamente).

Non a caso la Microsoft ha fissato una taglia di ben 250.000 $ sull’autore (o autori) del virus in questione, autore che deve necessariamente avere una notevole conoscenza dei sistemi operativi di Redmond per poter aver partorito del codice così efficace e mirato. E non parliamo solo di una particolare abilità nella ricerca delle vulnerabilità, ma anche di un’organizzazione capillare a livello globale che consenta la repentina apertura e chiusura dei domini infetti ai quali far collegare di volta in volta il wormW in fase di attivazione dello stesso.

E’ evidente che tutto ciò non può essere imputato alla semplice attività di un singolo, quanto ad un’organizzazione criminale strutturata, e questo dovrebbe cominciare a far ragionare seriamente sui futuri pericoli della rete che l’etica comune impone sia libera ma, alla luce di queste ultime vicende, andrebbe probabilmente rivalutata in maniera completamente diversa.

Un caso reale

La mia esperienza con Conficker è stata delle peggiori. Nel mio ente ne abbiamo subito l’attacco alla fine di dicembre 2008, nella sua prima variante. I danni sono stati contenuti, ma la presenza di alcune macchine con Windows Xp Home ci hanno obbligato, come misura estrema, al loro ripristino mediante formattazione.

Impossibile recuperarne la configurazione iniziale anche dopo tutte le misure di “disinfezione” e “ripristino” suggerite sia dai maggiori esperti di sicurezza a livello nazionale che dalla stessa Microsoft.

L’esperienza insegna: questa volta abbiamo provveduto prendere tutte le misure precauzionali possibili per cercare di limitare al minimo i danni sia nel caso di infezione già avvenuta o idealmente prevedibile.

  1. Controllo a tappeto di tutte le macchine delle reti locali per verificare la presenza di tutti gli aggiornamenti Microsoft disponibili (a partire dal Service Pack 3) e, soprattutto, la corretta installazione della patch MS08-067 che corregge la vulnerabilità sfruttata appunto da Conficker.
  2. Verifica del corretto funzionamento dei client antivirus forzandone l’aggiornamento alle ultime definizioni disponibili (nel nostro caso il 31 marzo 2009)
  3. Verifica dell’aggiornamento del sistema di content filtering e protezione antivirus dell’appliance centralizzato utilizzato per l’accesso ad internet da parte di tutti i client della WANW.
  4. Divieto assoluto di utilizzo da parte degli utenti di qualunque dispositivo USB di memoria di massa esterna (Pen Drive, Hard Disk, ecc.) previa autorizzazione e controllo da parte del personale IT. Questo in quanto i maggiori rischi per la sicurezza delle reti aziendali son ormai statisticamente dovuti principalmente agli “attacchi dall’interno”.
  5. Chiusura dell’accesso a internet per i client di tutta la rete territoriale (inclusi quelli amministrativi e del personale IT) per il giorno 1° aprile (e ipotizzabile anche nella settimana successiva), garantendo l’accesso ai soli IP (contati sulle dita di una mano) relativi alle applicazioni gestionali usate per garantire il corretto funzionamento dei servizi ai cittadini.

Quest’ultima scelta, difficile, sofferta e forse anche un po’ estrema, a mio avviso, contribuisce a comprendere come il fenomeno legato a questo virus abbia comunque sensibilizzato molto anche le classi di utenze meno avvezze alla comprensioni dei “pericoli reali” legati alla gestione della sicurezza in ambito informatico.

Il risultato è stato a mio avviso positivo, perché dimostra un inizio di acquisizione dei rischi legati al settore IT, una volta inusitato nel nostro paese.

Sfortunatamente il fenomeno Conficker è solo l’apripista di una nuova generazione di malware mirato che porterà alla nascita, anche all’interno della rete delle reti, di fenomeni di criminalità al momento ancora appannaggio del mondo reale rispetto a quello virtuale.

I professionisti della sicurezza in ambito IT potrebbero diventare i cyber-poliziotti del futuro: ci aspettano, purtroppo, tempi e decisioni sempre più difficili.

Esprimi il tuo giudizio

Commenti (2) -

Andrea Moro
Andrea Moro
02 apr 2009 alle 22:58  01
Uhmmm sai che non si riesce a capire se è un bel pesce o no?
Cristiano
Cristiano
03 apr 2009 alle 08:55  02
@ Andrea Moro:
Non è uno scherzo. E' esattamente la politica di gestione della sicurezza che abbiamo deciso di adottare in questi giorni.
Inoltre abbiamo prolungato il fermo della connessione per i primi 3 giorni di aprile.

Aggiungi Commento

biucitecode
  • Commento
  • Anteprima
Loading


| |   |  

Codice QR

Codice QR - cristianofino.net

Ultimi Commenti