Lasciami il tuo computer e diventerà mio

Nel lontanissimo (in termini tecnologici) anno 2000, un certo Scott Culp della Microsoft scrisse un articolo in cui definiva le 10 immutabili leggi della sicurezza; la numero 3 recita:

Se una persona disonesta ottiene accesso fisico illimitato al tuo computer, quello non è più il tuo computer.

Nel mio lavoro, ma anche nell'ambito privato, ho notato che questo tema sia particolarmente ostico agli utenti digitali "normali", probabilmente perché le pratiche basilari di sicurezza (tipicamente: la password, ed i permessi sui file) sono considerate sufficienti ed un fastidio già considerevole. In questo post cercherò di spiegare il senso pratico della legge sopra riportata e perché lasciare incustodito il proprio computer è sempre una pessima idea, al di là dei danni economici di un possibile furto.

Prima di tutto spieghiamo cosa intende dire la suddetta legge. Accesso fisico illimitato significa che la persona disonesta ha la possibilità di toccare "con mano" il computer e farci quello che vuole senza che nessuno lo ostacoli; non è più il tuo computer significa che, se riotterrai la disponibilità del computer, potresti trovarlo in qualsiasi condizione (vedremo dopo cosa significa) e soprattutto tutti i tuoi dati potrebbero essere stati violati e/o distrutti. Anche se le tecniche sono un po' diverse, quanto detto vale anche per smartphone e tablet, mentre nel seguito mi riferirò solo ai computer tradizionali (fissi, portatili, server), quelli con mouse e tastiera, per intenderci.

Veniamo a cosa posso fare se ho il "tuo" computer a mia completa disposizione.

Per prima cosa, posso spegnerlo: ho la possibilità di staccare l'alimentazione e, nel caso di portatili, di togliere la batteria (se è interna, è solo questione di un po' di tempo in più). Questo già significa che se il computer stava facendo qualcosa di importante, ti causo un disservizio.

Una volta spento, potrei staccare il disco fisso interno e quindi leggerlo o sovrascriverlo utilizzando un altro computer. Infatti, con un altro computer tutti i permessi eventualmente impostati sui file possono essere banalmente modificati dall'amministratore (che non sei più tu); e questo indipendentemente dal fatto che tu abbia utilizzato o no una buona password.

In realtà, non è nemmeno necessario staccare il disco, può tranquillamente rimanere dov'è: infatti io farò ripartire il "tuo" computer utilizzando però un mio drive USB con un sistema operativo alternativo di cui io sono l'amministratore. A quel punto ciò che posso fare è, semplicemente, tutto. Qualche esempio?

• Posso cambiare le password (senza bisogno di conoscerle) del "tuo" sistema operativo, così posso poi riavviare il computer ed impersonare te o l'amministratore;
• Posso leggere o modificare i file, indipendentemente dai permessi presenti sul "tuo" sistema operativo;
• Posso clonare l'intero disco (ogni singolo bit), con una tecnica che praticamente è quella usata per le indagini giudiziarie, così potrò poi leggere i tuoi file con calma e senza che tu nemmeno lo sappia;
• Posso collegarmi ad internet con il tuo provider e commettere atti illegali che risulteranno essere stati commessi da te;
• Posso sostituire completamente il sistema operativo e tutti i dati, così che dopo non riuscirai più ad utilizzare il "tuo" (ex) computer;
• Posso inserirti programmi (tipicamente, malevoli per te) a mio piacimento.

È bene precisare che quando dico "leggere i tuoi dati", mi riferisco, anche in questo caso, a tutto: password, numero della carta di credito, la cronologia della navigazione internet, i file che hai scaricato, le tue foto più intime... Evito di spiegare cosa succede se tra le password trovo quelle dei tuoi servizi internet (posta, social, disco remoto, etc): diciamo che anche quelli diventano non più tuoi.

Inoltre, il drive USB che citavo prima non è roba da hacker "cattivo": esso conterrebbe esattamente gli stessi strumenti che uso da anni per cercare di risolvere i malfunzionamenti dei computer. Non sono gli strumenti ad essere buoni o cattivi, ma l'uso che se ne fa.

Vuoi difenderti? Beh, intanto dovresti utilizzare una password anche nel BIOS (anche se ora si chiama UEFI) per avviare il computer, o anche solo per far avviare un sistema operativo diverso; ma comunque io sarò in grado di resettare il BIOS/UEFI e quindi cancellarti la password. Comunque non è banale e quindi è una misura semplice ed efficace per moltissimi casi.
Poi dovresti evitare di far ricordare le password dei vari servizi al browser e agli altri programmi... lo so, è tanto comodo, ma anche per i disonesti! E si, dovresti uscire tutte le volte e reinserire la password tutte le volte; oppure usare l'autenticazione a 2 fattori (il riconoscimento biometrico, invece, può non essere una buona soluzione).

Ma se vuoi davvero difenderti, ci sono solo 2 tecniche efficaci: la crittografia ed il backup. Con la prima ti proteggi dalla lettura dei dati che reputi "sensibili" (cioè, quelli che non vuoi far conoscere agli altri), con il secondo dalla distruzione dei dati. Ovviamente, per essere veramente efficaci queste 2 tecniche devono essere utilizzate con le giuste modalità. Per fare qualche esempio: la crittografia è inutile se la chiave si può trovare sullo stesso disco dove si trovano i dati protetti; la copia di backup (aggiornata!) deve trovarsi dove il malintenzionato non possa realmente accedere. Ma su questi argomenti ho già scritto (prova anche a vedere la sezione Suggerimenti) e continuerò a scrivere, vista la loro importanza.

Tutto chiaro, no? La sicurezza fisica dei computer non è secondaria a quella logica, su cui tanti spesso si soffermano, perché se è vero che è meno probabile (davvero?) venga violata per via della necessità dell'accesso, appunto, fisico, è anche vero che le conseguenze della violazione sono potenzialmente molto peggiori.

AGGIORNAMENTO: mi sono imbattuto in questo articolo che mina pure le certezze sulla crittografia come arma fondamentale contro i furti di dati; in realtà confermando anche il fatto che se la chiave è a disposizione "da qualche parte" che non sia la mia testa, un modo per recuperarla lo trovano sempre...

NO, I DON'T WANNA CRY!!!

Spero almeno questa volta che tutti sappiano di cosa parliamo: il famigerato virus soprannominato WannaCry ("voglio piangere": un premio all'inventore del nome), che ha creato scompiglio negli ultimi giorni in un po' tutto il mondo.

Cosa è successo, è stato abbondantemente raccontato, anche se coi consueti toni sensazionalistici e più o meno grandi inesattezze, anche dai giornali generalisti: il virus cifra tutti i file importanti dei computer (rigorosamente Windows, questa volta) rendendoli inservibili, richiedendo un riscatto per decifrarli; la diffusione avviene via rete grazie ad un errore presente nell'implementazione di un servizio, peraltro noto e risolto lo scorso marzo.

Ciò che voglio sottolineare è che al di là dei già citati toni sensazionalistici, ciò che dominava nelle notizie era la sorpresa: come è potuto succedere una cosa del genere? Inaudito! Peccato che non a tutti la cosa suona come nuova: per esempio, in questo interessante post dello scorso dicembre, più o meno tutto veniva preannunciato, sottolineando come i ransomware (la classe di virus a cui appartiene WannaCry) sono, già da qualche anno, il più grosso pericolo che circola nella Rete mondiale (il fatto che l'autore del post sia il sottoscritto è, ovviamente, puramente casuale... 😊).

I più attenti dei miei 7 o 8 lettori noteranno che non avevo previsto tutto: per esempio, non avevo previsto lo sfruttamento del baco (ma già citavo la possibilità di infezione da computer a computer via rete). In effetti un errore l'avevo commesso: tra le raccomandazioni che già ponevo alla vostra attenzione, non c'era quella di tenere aggiornato il sistema operativo; ed in effetti, confesso di essere stato io per primo mancante (nessuno è perfetto). Ma il punto fondamentale di questa storia non è nemmeno questo, o il baco, o il ruolo dell'NSA, o chissà cos'altro: è invece il fatto che il punto di ingresso dell'infezione, nei sistemi di un particolare ente, era il servizio accessibile da chiunque nel mondo, perché esposto su internet! La base di tutte le protezioni informatiche è il filtraggio delle connessioni di rete (soprattutto quelle pubbliche, cioè attraverso internet, tramite un sistema chiamato firewall), impedendo tutte quelle non indispensabili. Scommetto che molti non sanno di cosa sto parlando; e scommetto pure che si stupirebbero, scoprendo che sul router che avete installato a casa per la connessione internet, il firewall è presente; e scommetto anche che nella stragrande maggioranza dei casi, è disattivato. Se tutto ciò è vero, di che che potete lamentarvi? Il virus ve lo me-ri-ta-te!

Finita la filippica, passiamo ora ai consigli. Lo faccio attraverso un esempio molto pratico, cioè quello che abbiamo fatto (io e soprattutto i miei collaboratori) in azienda.

Ovviamente avevamo un firewall; ovviamente non avevamo quel servizio esposto fuori della rete aziendale; ovviamente avevamo i sistemi operativi che si aggiornano automaticamente; ovviamente avevamo gli antivirus aggiornati; ovviamente avevamo i backup giornalieri. Tuttavia, la sicurezza assoluta non esiste. Il virus poteva infettare un computer portatile aziendale mentre si trovava fuori dalla nostra rete, durante il fine settimana; una volta rientrato in azienda lunedì, poteva infettare tutto l'infettabile, cioè quei sistemi per cui gli aggiornamenti, per un motivo o per un altro, non si erano installati o non erano ancora applicati. Per cui abbiamo speso la mattinata a fare ulteriori (rispetto al consueto) controlli a tappeto sugli aggiornamenti dei sistemi operativi, dell'antivirus, dei backup, dei firewall dei portatili, etc. Risultato: non proprio tutto tutto era a posto (ora lo è), ma abbiamo avuto la fortuna che niente è successo; ad ulteriore dimostrazione che bisogna sempre pensarci prima. Anche perché se questa volta sono stati utilizzati questi veicoli di infezione, la prossima volta sarà qualcos'altro; ed il rischio concreto è di scoprirlo quando è troppo tardi. Purtroppo, nulla va trascurato, bisogna ridurre i rischi al minimo possibile in ogni momento.

Ricapitolando:

• mantenete aggiornati i sistemi operativi e l'antivirus
• attivate le protezioni di rete (firewall) ovunque possiate
• non vi fidate degli sconosciuti (sì, esattamente come quando eravate bambini), ancorché digitali
• fate (e mantenete aggiornati) i backup
• e soprattutto, informatevi!

P.S. Odio avere sempre ragione.

Il pericolo ransomware

La settimana che sta finendo ha portato agli onori della cronaca, almeno quella di settore, 2 episodi gravi: l'attacco che ha mandato offline milioni di utenti internet in Germania, e il ricatto informatico subito dalla Metropolitana di San Francisco. Sul primo non spendo parole in quanto ripropone lo stesso tema già trattato nel mio primo post. Sul secondo invece vale la pena di soffermarsi, anche perché personalmente lo ritengo il pericolo maggiore a cui siamo sottoposti tutti noi internauti, in questo momento storico.

Il ricatto in questione avviene attraverso una categoria particolare di virus, denominato "ransomware" (ransom in inglese è appunto ricatto), il quale agisce rendendo il nostro dispositivo in qualche maniera inservibile, e pretendendo soldi per "sbloccarlo". Il pagamento, per quanto mi riguarda, non è un'opzione: intanto perché si andrebbe ad alimentare il giro criminale ed a renderlo ulteriormente appetibile; inoltre, il pagamento normalmente è piuttosto complesso (viene richiesto di effettuarlo in bitcoin, una moneta virtuale ma dal valore reale, attraverso la cosiddetta "darknet", cioè quella porzione di internet usata soprattutto, non a caso, per commettere crimini).

Nella mia esperienza, una volta colpiti, resta poco da fare: estirparlo è complicato, e quasi sempre è necessario reinizializzare completamente il dispositivo, operazione lunga e non alla portata di tutti. In più, i dati spesso vengono persi, per effetto della reinizializzazione o perché vengono cifrati (è infatti questa la tecnica più diffusa per il blocco). In rari casi (solo se  i criminali sono degli sprovveduti) esiste la possibilità di decifrare i file; ma è comunque un'operazione non banale e lunghissima.

L'unica possibilità è difendersi ed essere pronti a questa eventualità.

La prima  e più importante difesa è il nostro comportamento! I ransomware (e più in generale tutti i virus) al giorno d'oggi si diffondono come allegati alle mail, come falsi avvisi di sicurezza o finti programmi da scaricare che si trovano sui siti web (attenzione: non solo quelli pornografici o per trovare materiale privato, capita anche su siti assolutamente normali), sulle chat, e solo raramente diffondendosi via rete da un dispositivo ad un altro. Esistono anche altri metodi di diffusione, ma in ogni caso è assolutamente necessario che siamo tutti in grado di riconoscere questi pericoli e quindi evitare di fare operazioni di cui non siamo assolutamente certi. Non dobbiamo  fidarci se non delle fonti che conosciamo con assoluta certezza, sapendo che i criminali fanno a gara per trovare il modo di confonderci e ingannarci! In definitiva, mai fidarsi, su internet.

Dal punto di vista tecnico, le difese ci sono. La più ovvia è l'antivirus: averlo e tenerlo aggiornato è indispensabile! Ma anche il miglior antivirus ha delle limitazioni, la prima delle quali è che tra l'uscita di un nuovo virus e l'aggiornamento che lo riconosce passano alcune ore, durante le quali siamo indifesi (succede; esperienza personale).

Ma cosa facciamo se tutto ciò non basta? Mettiamoci l'animo in pace e ripartiamo da zero. In realtà se siamo stati previdenti possiamo non ripartire proprio da zero, e limitare i danni in termini di tempo e dati persi. Essere previdenti significa avere salvato il contenuto del nostro dispositivo da "un'altra parte": i backup. Argomento questo talmente importante da meritare un post dedicato. Adesso mi preme sottolineare che dobbiamo averci pensato prima che si presenti il problema. Tra poco quel "prima" potrebbe diventare "tardi".