In questi giorni sempre più PC aziendali vengono attaccati da virus come The Extortioner che cifrano tutti i dati dei PC aziendali: perché e come evitarli?
Questo tipo di virus, che agisce senza trovare ostacolo nell’antivirus, è chiamato zero-day attack, cioè un attacco su una vulnerabilità non ancora nota per cui l’antivirus non lo può intercettare e rimuovere in nessun modo.
Ecco come avviene:
Una volta scoperto il virus, in pochi giorni o in ore, le case produttrici aggiornano i propri software antivirus e il virus può essere rimosso dagli elaboratori infettati.
Ormai però il danno è fatto.
Gli elementi usati per l’attacco sono:
Vengono quindi manomessi:
Qualche anno fa la creazione e distribuzione di virus era portata avanti prevalentemente per divertimento.
Oggi esistono strutture create apposta per costruire di continuo nuovi virus con software che, 24 ore su 24, cercano la breccia per entrare nella vittima. Una statistica della Kaspersky riporta una media di 200.000 nuovi virus al giorno, ma era il 2013, ora sono in aumento.
Una volta trovata la breccia il virus sconosciuto e senza antidoto arriva sul PC ed esegue la cifratura di tutti i dati che trova allo scopo di ottenere un riscatto.
A quel punto fa apparire la scritta con la richiesta del riscatto, pagabile solitamente in bitcoin. Se l’utente paga il riscatto, forse, verrà ricevuta la chiave per decodificare tutti i propri dati.
Molti non accettano di pagare il riscatto e ripartono dalle copie, ma spesso i PC attaccati sono quelli che operano frequentemente scollegati dalla rete e quindi non hanno copie effettuate di recente.
Perché proprio quel tipo di PC? Lo vediamo poco più avanti.
Il firewall e tutti i sistemi di protezione perimetrale proteggono dagli attacchi che avvengono dall’esterno.
In questo tipo di attacco invece la parte attiva la fa l’utente, decidendo deliberatamente di essere attaccato: la porta viene aperta ai ladri dagli stessi utenti.
Tra il 2013 e il 2014 è emerso da una serie di ricerche che gli utenti direzionali e gli utenti della ricerca e sviluppo e progettazione sono quelli che sono configurati come amministratori del proprio PC.
Questo perché:
quindi, per comodità, hanno il proprio utente configurato come amministratore del PC o del Mac.
Ad aggiungersi a questa costante vulnerabilità, questi utenti operano spesso scollegati dalla rete perché spesso in viaggio, quindi non hanno i dati salvati sul server aziendale, ma direttamente sul PC.
In questa configurazione basta una distrazione, un click su un sito malevolo o su una email contenente uno zero-day attack che il PC viene cifrato ed i dati importanti persi irrimediabilmente.
I PC così configurati sono aperti a qualsiasi minaccia, ecco perché c’è chi ha scritto: “anche il miglior antivirus è inutile“.
Il metodo fondamentale di protezione viene suggerito da questa ricerca che mostra come oltre il 90% delle minacce vengono risolte ponendo gli utenti dei PC in USER MODE.
Rimuovendo i privilegi amministrativi si evita la maggior parte degli attacchi.
Questo rimedio rappresenta una soluzione parziale per tre motivi:
Immaginiamo un direttore che arriva a mezzanotte in una sede periferica dell’azienda e per collegarsi alla rete dati deve impostare un certo indirizzo IP statico e non può… Non vorrei essere nei panni del responsabile IT che ha (saggiamente) settato il PC in USER MODE al direttore.
Invece di continuare a far la gara di velocità contro gli hacker, occorre ragionare all’opposto di come si è ragionato finora.
Solo un sistema elastico di gestione in whitelist (sistema che esclude tutto quanto è sconosciuto) può offrire il livello di sicurezza che realmente serve, riducendo al minimo i rischi.
La postazione di lavoro può essere fissa o mobile, online o scollegata dalla rete aziendale, ma deve avere a bordo un sistema whitelisting adattivo per scartare tutto quello che non serve all’attività.
Se io lavoro ad esempio con Word, Excel, Chrome e SAP il sistema deve scartare qualsiasi altro programma che non sia Word, Excel, Chrome e SAP. Quindi virus, cavalli di Troia, malware ed altro vengono automaticamente esclusi.
Questo nuovo metodo di lavoro in whitelisting adattivo è in grado di adattarsi all’utente che deve, ad esempio, collegarsi una stampante senza ricorre al tecnico informatico ed è intrinsecamente sicuro. Non a caso sta diventando lo standard delle maggiori banche mondiali.
Lasceresti la tua bici col lucchetto aperto?
Probabilmente no, eppure lo facciamo costantemente con i PC che contengono dati importanti dell’azienda.
Photo credits: Flickr CC Henry Burrows
Ottimizza l'efficienza del tuo lavoro
