Get in touch

via S.Lucia 143
Napoli, ITALY

Tel.: 081 011 85 17
Fax: 081 011 36 67
P.Iva IT 08591891216
REA NA 969849

Contattaci

Italian Italian
it Italianzh-CN Chinese (Simplified)en Englishfr Frenchde Germanel Greekiw Hebrewja Japanesept Portugueseru Russianes Spanish
  • Home
  • Blog
  • Ransomware: il lato oscuro della Crittografia - "wannacry" il virus che tiene in scacco mezzo mondo

Ransomware: il lato oscuro della Crittografia - "wannacry" il virus che tiene in scacco mezzo mondo

Scritto il .

È notizia di queste ultime ore che un nuovo ransomware, “wannacry”, si sia diffuso molto rapidamente in tutto il mondo, infettando decine di migliaia di computer.

Diciamolo subito: il ransomware “wannacry” attacca solo i sistemi basati su Microsoft Windows e non i sistemi Linux, FreeBSD, OSX, ecc.

Un ransomware è un software che viene installato nel computer dell’utente e che, una volta in esecuzione, cripta i documenti che trova: foto, video, documenti pdf, fatture, atti, ecc. 

 Le estensioni principali dei file colpiti dal ransomware sono le seguenti:

  • ufficio (.ppt, .doc, .docx, .xlsx, .sxi, .odt)
  • archivi (.zip, .rar, .tar, .bz2, .mp4, .mkv)
  • email ed archivi di mail (.eml, .msg, .ost, .pst, .edb)
  • file di database (.sql, .accdb, .mdb, .dbf, .odb, .myd)
  • codice sorgente (.php, .java, .cpp, .pas, .asm)
  • chiavi crittografiche di cifratura e firma digitale (.key, .pfx, .pem, .p12, .csr, .gpg, .aes)
  • file master grafici (.vsd, .odg, .raw, .nef, .svg, .psd)
  • macchine virtuali (.vmx, .vmdk, .vdi)

Come si evince il target è estremamente ampio.

Il computer diventa vittima dell’infezione aprendo, ad esempio, file infetti che si sono ricevuti via mail o anche navigando su siti web in grado di iniettare il malware.

 

Il ransomware “wannacry” utilizza un exploit (una grave falla di sicurezza) di Microsoft Windows, chiamata in codice “EternalBlue”.

“EternalBlue” consente l’esecuzione remota di codice utilizzando una vulnerabilità del servizio SMBv2 (Server Message Block), un protocollo di rete usato per la condivisione in rete e per implementare comunicazioni autenticate tra diversi processi, dando garanzia dell’autenticità degli attori della comunicazione.

Così come certificato dall’ “Official website of the Department of Homeland Security” in data 16 marzo 2017, la Microsoft ha rilasciato un aggiornamento di sicurezza il 14 marzo per risolvere questa vulnerabilità.

US-CERT: https://www.us-cert.gov/ncas/current-activity/2017/03/16/Microsoft-SMBv1-Vulnerability

Microsoft: https://technet.microsoft.com/library/security/MS17-010

 

I sistemi a rischio sono quindi, potenzialmente, tutti quelli su sistema operativo Windows non aggiornati alla data di marzo 2017 con il critical update 4013389.

Occorre rilevare che il rischio che si è poi concretizzato con il ransomware “wannacry” non è inaspettato poiché già il 16 gennaio 2017 la US-CERT forniva delle best practices da implementare, come la chiusura di alcune porte TCP-IP utilizzate dal protocollo SMBv1.

https://www.us-cert.gov/ncas/current-activity/2017/01/16/SMB-Security-Best-Practices

 

La Microsoft descrive inoltre la procedura per la disattivazione di SMBv1 su Windows in un articolo datato febbraio 2017, un mese dopo la comunicazione della US-CERT sulle best practices ed un mese prima del rilascio del critical update 4013389.

https://support.microsoft.com/it-it/help/2696547/how-to-enable-and-disable-smbv1,-smbv2,-and-smbv3-in-windows-vista,-windows-server-2008,-windows-7,-windows-server-2008-r2,-windows-8,-and-windows-server-2012

 

Azione preventiva è chiudere le porte 135 e 445 del protocollo TCP digitando al prompt (se il servizio firewall è in esecuzione…): 

	netsh advfirewall firewall add rule dir=in action=block protocol=TCP localport=135 name="Block_TCP-135"
	netsh advfirewall firewall add rule dir=in action=block protocol=TCP localport=445 name="Block_TCP-445"

 

L’algoritmo crittografico utilizzato da “wannacry” è a chiave pubblica, RSA4096, quindi con chiave da 4096 bit non attaccabile, in tempi ragionevoli, tramite “brute force” - un attacco dove vengono testate tutte le possibili combinazioni in un insieme di cardinalità definito dal numero in bit della chiave.

Per una descrizione dell'algorimo RSA vedere le slide ed il video di Mario Rossano "Crittografia, da Cesare ai quanti" tenuto durante i Workshop@UniNA 2014

https://netlogica.it/blog/45-workshop-unina-crittografia-da-cesare-ai-quanti

 

Lo scopo dei cybercriminali è quello di ottenere un riscatto in cambio della fornitura, alla vittima, della chiave di decifratura, in modo da permettergli di recuperare i propri documenti.

 

La Crittografia, solitamente utilizzata per proteggere documenti e comunicazioni da osservatori indiscreti, diventa così un’arma rivolta contro di noi, rendendoci non più accessibili i nostri dati personali o aziendali.

 

Al momento, fonte Kaspersky Lab, tramite “wannacry” vi sono stati oltre 45000 attacchi in 74 nazioni.

wannacry 03

 

wannacry 04

 

Come sempre avviene nel settore della cybersecurity, l’azione migliore da fare è quella preventiva e non a posteriori quando i danni, ormai, ci sono già stati.

 

Una breve nota: devo rilevare un difetto di precisione riportato dall’AGI che indica come oggetto dell’attacco “pc con sistemi operativi così vecchi da non essere più aggiornati dalle case di produzione (XP)”.

Falso, poiché sono oggetto dell’attacco anche i sistemi Windows10. La frase sembrerebbe quindi rassicurare gli utenti con Windows7 oppure 8 mentre invece questi sistemi operativi sono potenzialmente soggetti all'attacco.

L'AGI indica inoltre, nello stesso articolo, che per difendersi occcorre installare la “patch MS 17-010, rilasciata da Microsoft il 17 marzo, e quella del 9 maggio”, patch non installabile sui sistemi Windows XP poiché il supporto ufficiale a questa versione di Windows si è conclusa ad aprile 2014.

Tuttavia la situazione è talmente allarmante che Microsoft ha appena rilasciato (13 maggio 2017) un aggiornamento di sicurezza per Windows XP del tutto straordinario e che mette al sicuro da "wannacry".

La patch per Windows XP è scaricabile QUI

 

COSA FARE

Contro i ransomware, ma non solo, la regola è sempre una: prevenire.

 

Occorre prevedere scenari dettagliati di disaster recovery che, nel caso dei ransomware come l’ultimo “wannacry” (e non sarà l'ultimo), devono passare necessariamente per sistemi di backup automatici e verificati.

  • Backup automatici in modo da bypassare l’invervento umano ed avere certezza nella schedulazione del processo.
  • Backup verificati poiché un backup non esiste se non si è verificata la correttezza della procedura di restore ivi compresa l’integrità dei singoli file.
  • I backup automatici e verificati dovranno poi essere salvati in ambienti scissi da quello di produzione e, possibilmente, dislocati geograficamente.

L’intervallo di tempo tra due backup successivi deve essere valutato caso per caso e deve comprendere i documenti, i database fino alle macchine virtuali eventualmente presenti.

 

Il monitoring, costante ed automatico, è inoltre un “occhio aperto” su cosa avviene sui files - ad esempio dei nostri server - ed è una conditio sine qua non di ogni sistema di cybersecurity.

A tal proposito Netlogica, già da dicembre del 2016, ha iniziato lo sviluppo, tuttora in corso, del software netShield:

https://netlogica.it/blog/59-netlogica-rilascia-netshield-ver-0-3

NetShield verifica i files in modo da rilevare immediatamente modifiche non autorizzate, portate ad esempio dal ransomware di turno, così da ripristinare la versione non infetta.

 

Azioni di buona norma da intraprendere immediatamente, soprattutto da parte degli utenti Windows, sono:

  • Aggiornare Microsoft Windows
  • Aggiornare il software antivirus
  • Effettuare il backup di tutti i dati su unità esterna e non connessa alla LAN
  • Evitare di aprire allegati mail senza preventiva scansione antivirus e da mittenti sconosciuti
  • Disabilitare il protocollo SMB 1.0 come indicato in precedenza in questo articolo.
  • Disconnettere dalla rete locale eventuali computer infetti ad evitare la propagazione dell'infezione.

 

La sicurezza informatica è un complesso di processi e buone abitudini che non possono essere demandate esclusivamente ai robot software e su questo occorre investire.


Chi ha aggiornato regolarmente il suo sistema e a maggior ragione chi ha investito in sistemi di backup non ha nulla da temere dal più pericoloso cryptolocker mai visto.

 

Sento spesso nel mio lavoro che la sicurezza è una spesa non presente nel budget: affermazione questa molto grave poiché la sicurezza dovrebbe essere vista come un investimento, tuttavia ci si rende conto di questo solo quando ormai è troppo tardi.

Come rilevavo in un mio breve intervento del 2012 sul blog Netlogica: “Sicurezza e Crittografia, si ma… in Italia?”, gli investimenti in questo campo non ci sono o non sono sufficienti e soprattutto se ci sono sono tardivi (ma meglio tardi che mai!).

https://netlogica.it/blog/26-sicurezza-e-crittografia-si-ma-in-italia

 

Nel 2016 oltre un terzo delle aziende ha subito violazioni di tipo informatico, con il danno accessorio di perdita di clienti e mancate entrate anche nell’ordine del 20%, così come riportato dal Cybersecurity Report 2017 di Cisco.

http://www.cisco.com/c/dam/m/digital/1198689/Cisco_2017_ACR_PDF.pdf

In sintesi, il 23% delle società ha subito perdite di opportunità di sviluppo, il 29% ha perso fatturato ed il 22% ha anche perso clienti.

 

Di seguito le best practices da seguire, indicate dall’Italian Cybersecurity Report 2016 ad opera del CINI e del CNR.

https://netlogica.it/blog/63-italian-cybersecurity-report-2016

 

Un paradigma della sicurezza informatica è quello della catena in cui l’anello debole determina la resistenza del tutto.

La sicurezza deve essere innanzitutto uno stile di vita, al pari di una dieta equilibrata e sana attività fisica, occorre seguire buone norme ma queste norme devono essere parte integrante della cultura informatica di base di ogni individuo, soggetto economico e istituzionale per comprendere, intimamente, che investimenti – e non spese – sono necessari quanto prima.

Come si diceva in un vecchio spot pubblicitario: "prevenire è meglio che curare" e questo, in materia di ransomware, è l'unica cosa davvero utile da fare (in tempo però).

 

Mario Rossano, CTO Netlogica

 

N.B. Questo articolo sarà aggiornato non appena sarà reso disponibile il tool per la decifratura dei files criptati dal ransomware “wannacry”.

 

0-day su Apache Web Server

Apache è il secondo webserver al mondo come numero di installazioni: ne deriva che i problemi di sicurezza su Apache possono impattare sensibilmente su una gran parte dell'universo "web" e non solo....

Leggi tutto

Pillole di sicurezza digitale - i webinar di Programma il Futuro

Mario Rossano, CEO/CTO Netlogica, e la dott.ssa Isabella Corradini, Presidente e Direttore Scientifico "Centro Ricerche Themis", hanno tenuto due webinar rivolti agli insegnanti di ogni ordine e grado intitolati: "Pillole di sicurezza digitale".

Leggi tutto

Phishing, Malware e Ransomware: difendersi con SPF

Da alcuni giorni una nuova versione del ransomware FTCODE ha come obiettivo gli utenti di lingua italiana. Come altri ransomware, l'azione principale svolta da FTCODE è quella di criptare i files della vittima, lasciandole come possibilità per il recupero l'acquisto della chiave di decifratura previo pagamento di un "riscatto" in bitcoin al malintenzionato (v. anche dal blog Netlogica "Ransomware, il lato oscuro della crittografia").

L'azione svolta da FTCODE non si ferma però alla sola cifratura dei files, ma si estende alla lettura delle password salvate nel browser ed, in alcuni casi, a quelle inserite nel programma di posta elettronica...

Leggi tutto

Classifica Top Shop - Clienti Netlogica nei top 200 e-commerce italiani

Netlogica è da sempre attenta alle ottimizzazioni software ed infrastrutturali per i suoi clienti e-commerce e nella fattispecie Prestashop: un negozio online che non garantisca adeguati livelli di sicurezza nei dati di pagamento che transitano o che risulti lento, è destinato a perdere terreno (e fatturato) con i suoi competitors.

L'articolo "Pagamenti sicuri e consegne rapide 200 store online promossi con lode" pubblicato su "la Repubblica", sezione Affari&Finanza, indica che l'Istituto Tedesco di Qualità e Finanza (ITFQ)  ha inserito uno dei nostri clienti e-commerce, Sampey, tra i migliori 200 siti italiani, al 9° posto nella sua categoria.

Leggi tutto

PrestaShop - Come reindicizzare il database prodotti in modo efficace

Prestashop è uno dei principali CMS specializzati per e-commerce (commercio elettronico). Tra i suoi punti di forza la semplicità, dovuta ad un'interfaccia utente intuitiva e leggera; la possibilità di personalizzazione del negozio elettronico mediante un'ampia disponibilità di estensioni, plugin e temi; le funzionalità avanzate come la gestione integrata del mail-marketing, differenti modalità di spedizione, rispondenza delle modalità di pagamento alla normativa europea con gestione delle tasse in funzione della nazione, gestione dei coupon, statistiche di vendita e tanto altro ancora.

Tuttavia un punto sensibile esposto da Prestashop è la necessità di re-indicizzare periodicamente i prodotti, al fine di generare sul database la tabella aggiornata per una ricerca veloce sul sito. L'operazione di reindicizzazione sin dalle prime versioni di Prestashop, come pure nelle ultime, è particolarmente heavy (gravosa), tanto che solitamente il processo PHP sul server va in timeout, con il risultato di produrre un database incompleto impedendo de facto una ricerca efficiente dei prodotti agli utenti/clienti. Questa circostanza non favorisce di certo gli acquisti che sono l'obiettivo finale dei nostri clienti hosting Prestashop.

Leggi tutto

Server IMAP - Rubrica contatti: come generarla dalla posta in arrivo

La rubrica contatti, specialmente per alcune categorie professionali, riveste un'importanza cruciale nel lavoro.

Come per tutte le informazioni su database, Netlogica provvede ad effettuare backup verificati per un eventuale recupero su richiesta del cliente ma in alcuni casi, spesso a valle di un trasferimento dominio con annesso servizio di posta elettronica, dove già prevediamo di trasferire sul nuovo mailserver tutti i messaggi di posta in giacenza sul precedente mailserver, può essere utile riprodurre sul webmail anche la rubrica.

Leggi tutto

Linux Day Napoli 2017 - JSON Web Tokens - RFC 7519 - Programma il Futuro

Slide del talk di Mario Rossano CTO/CEO Netlogica durante il Linux Day presso l'Aula Magna "Leopoldo Massimilla" di Ingegneria - Univ. Federico II.

JSON Web Tokens (JWT) è una tecnologia utilizzata per l'autenticazione utente che non necessita di sessioni - e quindi di frequenti query al database - con conseguente incremento della scalabilità e riduzione della complessità a vantaggio anche della cybersecurity del sistema.

Leggi tutto

Riavvio dei servizi? Automatico è meglio!

E' inutile negarlo! I processi in esecuzione su un server prima o poi si interrompono inaspettatamente. La questione non è quindi SE ma nemmeno QUANDO: la vera questione è COSA fare in una situazione di discontinuità di servizio.

Leggi tutto

ePub3 - l'ebook come app per i licei in rete di Napoli

Netlogica web agency and software engineering, progetta e rilascia per i licei in rete di Napoli (Liceo Garibaldi,  Liceo Genovesi, Liceo Umberto I, Liceo Vittorio Emanuele II) la collana di ebook "Engaging the future - Il futuro ha radici antiche" come supporto multimediale ed interattivo alla didattica.

Gli ebook, progettati nello standard open ePub3, comprendono funzionalità tipiche delle app come il salvataggio delle risposte ai moduli questionario integrati negli ebook e la verifica delle risposte negli stessi ebook previo inserimento di password OTP (one time password), generate con un algoritmo progettato da Netlogica, attingendo all'esperienza maturata in ambito cybersecurity, per cui le password cambiano istante per istante ed una volta generate hanno una validità di 10 minuti.

Leggi tutto

Ransomware: il lato oscuro della Crittografia - "wannacry" il virus che tiene in scacco mezzo mondo

È notizia di queste ultime ore che un nuovo ransomware, “wannacry”, si sia diffuso molto rapidamente in tutto il mondo, infettando decine di migliaia di computer.

Diciamolo subito: il ransomware “wannacry” attacca solo i sistemi basati su Microsoft Windows e non i sistemi Linux, FreeBSD, OSX, ecc.

Un ransomware è un software che viene installato nel computer dell’utente e che, una volta in esecuzione, cripta i documenti che trova: foto, video, documenti pdf, fatture, atti, ecc. 

Leggi tutto

Rilasciato online ReputationAgency.eu

Rilasciato online il nuovo portale dell'agenzia di comunicazione Reputation Agency, tra le cui attività vi è la comunicazione del progetto Programma il Futuro (del MIUR - CINI) e la pubblicazione della rivista Reputation Today, la prima rivista di reputation in Italia con interviste, analisi, news dal mondo della comunicazione e del mercato.

Leggi tutto

Italian Cybersecurity Report 2016

Netlogica, tramite il suo CEO/CTO Mario Rossano, è stata accreditata all'Italian Cybersecurity Report 2016.

Leggi tutto

Netlogica rilascia netShield ver. 0.3

Security is never too much.

Netlogica sta sviluppando un tool software di sicurezza (cyber security) il cui core sarà rilasciato open source non appena superata la fase iniziale di beta testing.

Leggi tutto

Camera dei Deputati - Relazione di progetto Programma il Futuro

Presentata alla Camera dei Deputati la relazione "Professioni, arti e mestieri al tempo del coding" sui risultati raggiunti nei primi due anni da "Programma il Futuro", il progetto congiunto dal MIUR e dal CINI. Nella sala Aldo Moro anche il CEO/CTO di Netlogica, Mario Rossano, che ha curato lo sviluppo della piattaforma software di "Programma il Futuro".

Leggi tutto

Cyber security - intervento Netlogica su SIOI e ROMUNSIOI - United Nations in Rome

Completati gli interventi infrastrutturali a protezione dei siti web della SIOI (Società Italiana per l'Organizzazione Internazionale, Associazione Italiana per le Nazioni Unite) e ROMUNSIOI (The Official Model United Nations in Rome, official partner United States Diplomatic Missions).

Leggi tutto

App Android e iOS per il quotidiano ildenaro.it

Pronta la app per i nuovi servizi su mobile per il quotidiano ildenaro.it.

Leggi tutto

Intervista a Mario Rossano su Ora del Codice e Pensiero Computazionale

Il valore del Pensiero Computazionale, l'Ora del Codice e l'attività svolta da Programma il Futuro, questi i temi dell'intervista fatta da Chiara Grande di Seeweb a Mario Rossano CTO/CEO di Netlogica.

Leggi tutto

In HP per il progetto Edoc@Work

Mario Rossano CTO/CEO Netlogica presso il quartier generale di HP Italia per discutere delle linee relative alla consulenza che Netlogica dovrà fornire per il progetto Edoc@Work.

Leggi tutto

Pubblicato online il nuovo web del quotidiano ildenaro.it

Netlogica è lieta di annunciare il suo rilascio online del nuovo progetto del quotidiano online "ildenaro.it"

Leggi tutto

Pubblicato WhazART - the Professional Social Network of Contemporary Art

Netlogica è lieta di comunicare di aver rilasciato sulla sua infrastruttura cloud il progetto congiunto del social network WhazART per cui ha progettato ed implementato il software.

Leggi tutto

La buona scuola italiana, dove si programma (divertendosi)

Intervista al prof. Enrico Nardelli, del Dipartimento di Matematica dell'Università di Roma "Tor Vergata" ed al prof. Giorgio Ventre, del Dipartimento di Ingegneria delle Telecomunicazioni dell'Università degli Studi di Napoli "Federico II", promotori del progetto Programma il Futuro del CINI.

Leggi tutto

Netlogica software recensito su Tom's Hardware

"Programmazione nelle scuole italiane: un successo senza precedenti", così il titolo dell'articolo apparso sul prestigioso portale di settore "Tom's Hardware" entrato a far parte anche della famiglia di "Repubblica".

Leggi tutto

Linux Day 2014 - Napoli - Programma il Futuro: una scelta open source

Presentazione di Mario Rossano CTO/CEO Netlogica e di Marco Ferrigno (IT Security Manager) del progetto Programma il Futuro durante il Linux Day presso la sede dell'Osservatorio Astronomico di Capodimonte - Napoli.

Leggi tutto

Programma il Futuro - MIUR CINI Code.org

Online il progetto di sviluppo software di Netlogica (sistema di registrazione / bridge verso code.org e hourofcode.com e dei servizi software annessi al portale programmailfuturo.it) per il CINI (Consorzio Interuniversitario Nazionale per l'Informatica http://www.consorzio-cini.it/) e il MIUR (Ministero dell'Istruzione, Università e Ricerca http://www.istruzione.it) in vista della settimana europea del codice (#codeeu codeweek.eu) e per la diffusione del pensiero computazionale come previsto dal piano del CdM #labuonascuola.

Leggi tutto

Il sito della Netlogica utilizza cookie tecnici e di terze parti anonimizzati, per fornire servizi in linea con le tue preferenze. Se prosegui con la navigazione accetti di ricevere i cookie.

Per non far apparire più questo avviso clicca su "Approvo" | Per saperne di piu'

Approvo

netlogica logo webtitle phone small

telefono 081 011 85 17

via S.Lucia 143
Napoli, ITALY

P.Iva IT 08591891216
REA NA 969849

X

Right Click

No right click