//L’azienda dove lavoro non ha preso WannaCry siamo stati bravi o fortunati?

L’azienda dove lavoro non ha preso WannaCry siamo stati bravi o fortunati?

0 votes
Share on FacebookShare on Google+Tweet about this on TwitterEmail this to someonePrint this page

Lunedì è stato un giorno di lavoro molto intenso per i sistemisti e gli addetti IT, infatti nel week end abbiamo appreso (da tutti i media) della giga infezione mondiale WannaCry. In questo articolo vorrei fare il punto della situazione sopratutto relativa all’azienda media italiana (come quella dove lavoro).

WannaCry cos’è?

Da un ottimo articolo di Wired e da uno di Punto-informatico ho appreso i dettagli relativi a questo Ransomware.
Apprendo quindi che (tralascio i dettagli che potete leggere dalle pagine linkate):

  • la falla sfruttata su Windows è stata patchata a Marzo 2017 per quanto riguarda le versioni ancora supportate (quindi Win 7, 10 e le versioni server) e per le versioni non più supportate a infezione in corso (è carino notare che alcune aziende hanno pagato per il supporto esteso e quindi la patch era già pronta);
  • la falla è relativa a SMB, il sistema di condivisione file di Windows, abilitato di default anche su macchine Client;
  • Wannacry è diviso in 2 componenti:
    • il ramsoware vero e proprio
    • un componente che cerca all’interno della rete computer vulnerabili e si replica
  • un ramsoware è un software che cripta alcuni file (non ho capito come sceglie le cartelle da criptare) e richiede un riscatto (in bitcoin) per fornire la chiave di decriptazione
  • la finestra sotto riportata è multilingua (anche in italiano);
  • nel ramsoware è presente anche una demo di decriptazione.

 

 

Come si è diffuso?

Semplice 1: Microsoft ha giustamente abbandonato a se stessi Windows XP, VIsta, Server 2003 e altri sistemi obsoleti (per tutti i clienti che non hanno richiesto, e pagato, il supporto esteso) che in alcuni ambiti sono ancora presenti. Facciamo alcuni esempi:

  • alcune aziende hanno software vecchi, magari sviluppati da software house non più esistenti, e quindi hanno mantenuto XP
  • in alcuni ambiti esistono dei macchinari (connessi alla rete locale e/o a Internet) che non sono aggiornati. Ad esempio mia moglie in ospedale usa dei macchinati XP per fare le analisi del sangue.
  • in molti ambiti vige la legge: “se funziona perché devo cambiare

Oltre a versioni non più supportate sono state infettate anche macchine con versioni di Windows supportate, come è possibile? Semplice 2: Molte aziende non abilitano gli aggiornamenti automatici o peggio non li fanno..
L’ultimo punto sembra fantascientifico ma vi giuro che è così. Il motivo? I motivi sono vari:

  • da martedì il PC che uso per lavoro (un i5 abbastanza recente) ha perso il 10% della sua reattività nelle operazioni di tutti i giorni
  • gli aggiornamenti escono una volta al mese
  • richiedono riavvii multipli.

Il secondo problema sembra preoccupare molto gli amministratori di rete e posandoci il pensiero non è di poco conto. Immaginate una rete di 100 macchine Win che il secondo martedì del mese ricevono 100 MB di aggiornamenti, che fine fa la rete? Diventa inutilizzabile come è stata inutilizzabile fra Lunedì e Martedì di questa settimana. Ovviamente le aziende più furbe usano servizi appositi che scaricano una sola volta gli aggiornamenti, ma il passaggio di dati sulla rete c’è lo stesso (anche se credo si possa schedulare) e il tempo di upgrade idem (con riavvii a ripetizione e molto tempo con il pc lento)

L’azienda dove lavoro

Come già scritto in altre occasioni, sono un vile addetto paga per un’azienda. La sede di lavoro è decentrata e da anni operiamo attraverso una WAN, con antenne sparse per la città. Ci siamo salvati ma siamo stati bravi? Come avrete capito assolutamente NO!!!  Abbiamo avuto semplicemente fortuna (chiamasi CULO).
Di recente (un anno e mezzo circa) l’azienda ha aggiornato tutto il parco macchine e salvo alcuni portatili più recenti si è puntato sul testato Windows 7. Solo che è prassi aziendale non abilitare gli aggiornamenti automatici per i problemi di cui sopra (anche perché chi gestisce la rete non ha insistito riguardo al servizio che scarica gli aggiornamenti una volta sola) che vengono fatti in casi eccezionali e/o quando una macchina ha un problema e finisce nelle sapienti mani degli addetti IT.
Quindi posso affermare senza mezzi termini che il 90% delle macchine era vulnerabile.

Abemus CULO

Conclusioni

La fortuna aiuta ma non è bello traversare tutte le sere fuori dalle strisce vestiti di nero perché si è stati fortunati.
Aziende vi prego gli aggiornamenti di sistema sono importanti e vanno fatti.

Conclusioni 2

Durante la scrittura dell’articolo mi sono posto alcune domande e sono giunto alla conclusione che è un po anche colpa dell’utente (molto poco ovviamente). Sto quindi valutando l’ipotesi di informare il corpo sociale (la mia azienda è una cooperativa) o come minimo il CdA del pericolo scampato.
I dati aziendali sono importanti e in parte sono sotto responsabilità di chi usa le macchine aziendali. Utenti ribellatevi chiedete che l’azienda obblighi l’IT a l’installare gli aggiornamenti di sistema.