Ritrovarmi a commentare una importante infezione come questa a cinque anni di distanza dall'ultimo serio evento worm vissuto sul campo a fianco dei clienti mi lascia un sapore agro-dolce. Il primo impulso a leggere i titoli delle testate online su questa notizia è quello di domandarsi (come immagino abbiano fatto molti clienti): possibile che non sia cambiato nulla in questi anni? In questo post mi piacerebbe riuscire a condividere con voi quanto sia cambiato, e in modo davvero notevole, e quanto no, desolatamente. Per farlo è opportuno declinare le considerazioni nei due ambiti, diversi tra loro, a cui questa situazione di infezione si applica: gli utenti finali e le aziende.
Gli utenti finali sono la parte "dolce" del sapore a cui accennavo in precedenza. Pensando alla situazione tipica di un utente finale che si connette ad Internet tramite la sua ADSL e un apparato tale da schermarlo rispetto agli attacchi dall'esterno, è altamente probabile che NON sia la parte interessata da queste infezioni da Conficker.B, per i seguenti motivi:
Quindi, a meno di non cadere in trappola rispetto ad allegati pericolosi di email (questa modalità di propagazione al momento non risulta utilizzata) o a chiavette USB/hard disk esterni infetti, gli utenti finali sono ragionevolemente al sicuro da tempo, ed ora probabilmente ulteriormente protetti dai loro software antivirus che dovrebbero essere in grado di rilevare il tentativo di infezione e bloccarlo. (L'uso del condizionale è dovuto al fatto di aver osservato un pericoloso ritardo da parte di alcuni vendor antivirus nella produzione di firme davvero efficaci).
Veniamo alla parte "acre" del sapore, le aziende. E' molto probabile che i numeri di questa infezione siano diventati significativi a causa del contributo da parte dei sistemi (PC e server) in azienda, dove stiamo assistendo ad una oggettiva difficoltà nel contenimento e nella bonifica di questo worm. Perché? Ecco, senza tediarvi con troppi dettagli tecnici (che volendo potete approfondire in questo mio post) si può riassumere la situazione in questo modo:
grazie alla capacità di questo worm di utilizzare 5 diverse modalità di propagazione per infettare altri sistemi della rete aziendale, la sua dinamica di diffusione sta mettendo a nudo e sta avvantaggiandosi di diverse inefficienze strutturali nella gestione della sicurezza da parte dei clienti, in qualche caso sul versante tecnologico, ma più frequentemente su aspetti procedurali e organizzativi.
Chi mastica un po' di sicurezza può scorrere l'elenco di queste 5 diverse modalità di propagazione e potrà convenire con me che si tratta di aspetti di sicurezza davvero di base (es. password deboli, anche per utenze amministrative!): farsi trovare impreparati su questi aspetti è sintomo di sicurezza non gestita. Altri esempi? Mancato uso della piena potenzialità degli strumenti di amministrazione dei sistemi, bizantinismi nei processi di valutazione degli aggiornamenti da installare (non essere riusciti a installare la patch a 2 mesi dalla sua disponibilità è un problema che era ragionevole 5 anni fa, non sostenibile oggi), assenza di processi di gestione delle emergenze, non chiara individuazione delle competenze e delle responsabilità, difficoltà di comunicazione tra le divisioni aziendali, potrei continuare ancora...
Questo è quello che stiamo osservando sui clienti aziendali che sono stati colpiti dal worm. D'altra parte abbiamo anche casi opposti, che confermano la tesi che vi ho esposto: alcuni grandi clienti italiani, davvero grandi (peccato non poter fare nomi!), che in questi anni hanno seguito le best practice, si sono davvero rafforzati e finora non hanno visto l'ombra di Conficker!
Quindi, sia detto con tutto il mio profondo rispetto verso i clienti alle prese con questa infezione (assieme a quali stiamo lavorando assiduamente per aiutarli), permettetemi di invitare a fare di necessità virtù: a infezione superata, vale la pena riesaminare quanto accaduto per porre mano a interventi strutturali di gestione della sicurezza, e tradurre questo incidente in opportunità di crescita. .
Il seguente post sul mio Security Blog contiene tutti i riferimenti utili all'approfondimento di questa problematica e sarà aggiornato man mano con tutti i consigli utili al contenimento di questa infezione:
Considerazioni per un efficace contenimento dell'infezione Conficker.B
Come si manifesta? Cancella i floppy, rivela i dati personali al tuo vicino, modifica un file in modo random?? Come faccio a capire che ho il virus? Perchè me lo dice l'antivirus o la patch di windows?
Il virus sasser si manifestava spegnendo il computer: ma da questo virus cosa mi devo aspettare?
Grazie per la risposta
Giovanni
|
Accedi |
Registrati