Una favola per non piangere: la minaccia WannaCry spiegata ad un bambino [1/4]

Nelle scorse settimane siamo stati letteralmente invasi dalle notizie riguardanti il RansomWare chiamato “WannaCry”, che ha infettato un numero spropositato di PC in tutto il mondo. Le segnalazioni riguardavano spesso il funzionamento dei RansomWare, e le modalità per prevenire l’infezione in questo specifico caso, ma solo in pochi casi si soffermavano sul meccanismo con cui WannaCry agisce realmente. Cercherò di spiegarvelo qui, con una semplice favola.


Tempo di lettura stimato: 8 minuti
Difficoltà:


Nelle scorse settimane siamo stati letteralmente invasi dalle notizie riguardanti il RansomWare chiamato “WannaCry”, che ha infettato un numero spropositato di PC in tutto il mondo. Le segnalazioni riguardavano spesso il funzionamento dei RansomWare, e le modalità per prevenire l’infezione in questo specifico caso, ma solo in pochi casi si soffermavano sul meccanismo con cui WannaCry agisce realmente. Cercherò di spiegarvelo qui, con una semplice favola.

Prima della favola, i compiti!

Se ancora non l’avete fatto, vi conviene correre subito ai ripari. Se avete un Mac oppure un PC Linux, allora potete dormire sogni tranquilli; nel caso in cui stiate usando un PC Windows invece, e specialmente se siete così sciagurati da utilizzare ancora Windows XP, 7 o 8, vi conviene installare subito gli aggiornamenti del sistema operativo e dell’antivirus.

Per essere sicuri, potete anche installare direttamente la patch MS 17-010 di Windows:

>> https://technet.microsoft.com/en-us/library/security/ms17-010.aspx <<

Fatelo, e poi tornate qui… Vi aspetterò per spiegarvi il perché di queste operazioni.

Prologo

Tanto tempo fa (ma neanche troppo), nel lontano regno di MonteRosso, viveva re Finestrone. Era un re ricco e saggio, che governava con giustizia e aveva saputo portare pace e prosperità al suo regno. Voleva molto bene a ciascuno dei suoi sudditi, ma voleva ancora più bene alle sue cinque bellissime figlie, di cui era molto geloso; era così geloso da tenerle sempre ben protette all’interno del suo castello, e nessuno poteva vederle senza il suo permesso.

Il regno era piccolo, ma soleggiato e fertile nella gran parte del suo territorio, e il popolo viveva felice; per questo motivo i grandi regni confinanti avrebbero voluto detronizzare il sovrano e annettersi le sue ricchezze; Re Finestrone decise quindi, non senza sforzo, di promettere a ciascuno dei principi delle terre vicine una delle proprie figlie in moglie, ben sapendo che da solo non avrebbe mai potuto vincere la guerra, e che le figlie prima o poi si sarebbero dovute sposare.

La bellezza e grazia delle cinque principesse era quasi leggendaria, e tutti i regni vicini accettarono con piacere l’accordo. Il re viveva quindi sereno, sicuro di aver assicurato pace al suo regno anche per i decenni a venire.

Nello stesso periodo, nel cuore dell’oscura Foresta del Pianto viveva il piccolo mago Ransomio. La foresta del pianto era all’interno del regno di MonteRosso, al confine con il grande regno del Nord, ma era così buia e intricata da permettere solo al mago e ai suoi folletti di viverci, e per questo motivo Re Finestrone non aveva nessuna autorità su di essa. Ransomio si considerava quindi a tutti gli effetti un Re, e quando venne a sapere dell’accordo con i regni vicini si sentì derubato di un suo diritto, e decise di vendicarsi.

Era un uomo alto e magro, gobbo e con un enorme naso aquilino; nonostante ciò era chiamato piccolo mago, perché sicuramente non poteva essere grande; conosceva infatti solo poche magie, e nessuna di esse incuteva particolare timore.

Ecco la situazione iniziale: noi siamo come Re Finestrone, con un tesoro da proteggere (i nostri files) e delle alte mura difensive (il nostro sistema, con antivirus, firewall e chi più ne ha più ne metta).

I creatori di WannaCry invece sono come il Mago Ransomio: vogliono le nostre ricchezze, e sanno che con dei semplici strumenti possono appropriarsene.

Capitolo primo: le mura del castello

Il mago Ransomio uscì quindi dalla Foresta del pianto, e si recò presso le pendici del monte, coperto d’erba rossa, su cui sorgeva il grande castello reale. A causa della natura delle sue magie, per poter raggiungere il suo scopo egli doveva aver assolutamente accesso alla camera delle principesse; il castello però era protetto da alte mura, inespugnabili per un piccolo mago come lui, e l’ingresso principale era protetto da un plotone di guardie armate fino ai denti.

Inizialmente avrebbe voluto utilizzare il suo potere più grande, che consisteva nel sottomettere al suo volere chiunque, uomini o donne, bambini o anziani, semplicemente afferrando loro una mano; avrebbe quindi voluto controllare una delle serve del castello, per far sì che essa gli rivelasse l’esistenza di un passaggio segreto da cui accedere. Purtroppo per lui, però, per la gelosia del re solo i suoi soldati più fidati potevano entrare o uscire dal castello, ed essi giravano sempre con la loro armatura, che comprendeva una protezione per le mani. Chiese quindi ai suoi folletti di cercare un passaggio segreto, o una debolezza delle mura difensive, ma la ricerca non portò alcun frutto.

WannaCry utilizza DoublePulsar, una Backdoor (cioè un accesso segreto al sistema) probabilmente sviluppato da quei simpaticoni dell’NSA, per trasferire e installare il pacchetto principale del RansomWare all’interno del sistema attaccato. Per i sistemi che erano stati infettati in precedenza da DoublePulsar, non c’è stata via di scampo: WannaCry ha avuto campo libero per portare a termine il suo piano. Negli altri casi, gli attaccanti hanno dovuto prima cercare un metodo per infrangere il sistema e installare la Backdoor.

Ransomio spiò per giorni i soldati, aspettando un momento di distrazione per attaccare. Finse di offrire regali per le principesse, ma i soldati li rifiutavano garbatamente. Li seguì nelle loro ronde in città, ma giravano sempre in gruppo e non abbassavano mai la guardia. Offrì loro da bere, ma la guardia reale era formata solamente dagli elementi migliori dell’esercito, e nessuno di loro beveva in servizio.

Dopo più di un mese, il mago stava ormai per arrendersi. Se ne stava seduto sul ramo di un albero, guardando con aria svanita l’impenetrabile castello, quando all’improvviso notò un omuncolo vestito di nero salire la collina, bussare sulle possenti mura e svanire al loro interno. Rimase sbalordito, e pochi minuti dopo, quando l’omuncolo sbucò dalle mura, lo riconobbe: era il grande mago Bondolo, piccolo di statura ma dotato di grandi poteri.

Ransomio sapeva di non poterlo controllare, perché era molto più potente di lui, quindi decise di rubare il suo segreto. Lo seguì per giorni e capì tutto. Le mura del castello erano state stregate: Bondolo bussava sulle mura in prossimità di un cerchio, disegnato con gesso azzurro, dicendo con la sua vocina “Permesso!”, ed immediatamente ogni singola pietra all’interno del cerchio si spostava, urlando con voce profonda “Avanti!”. Il grande mago usava questo trucchetto per entrare nel castello e nelle case dei più ricchi sudditi del regno, rubando piccole quantità di denaro, solo lo stretto indispensabile per la sua sopravvivenza. Le mura rimanevano aperte a piacimento, permettendo la fuga dell’intruso.

Ransomio provò ad imitare l’esperto collega, ed ecco che subito le mura si aprirono: la sua vendetta era pronta per essere compiuta.

Solitamente, i RansomWare utilizzano gli allegati delle mail o altri trucchi per accedere alle macchine bersaglio: devono approfittare di un’ingenuità dell’utente per accedere al sistema. WannaCry però non ha bisogno di attendere un intervento umano: l’attacco analizza i computer della rete, alla ricerca di quelli in cui è presente la vulnerabilità chiamata MS17-010, riguardante l’implementazione Microsoft del protocollo Server Message Block, per accedere ai sistemi non infettati da DoublePulsar. In particolare, è stato utilizzato l’exploit chiamato EternalBlue, per eseguire del codice arbitrario sulla macchina bersaglio. Lo scopo è molto semplice: accedere alla macchina per installare DoublePulsar.

Indovinate da chi è stato scritto EternalBlue? Esatto, ancora dall’NSA, che una volta scoperta la vulnerabilità ha deciso di utilizzarla a suo vantaggio, invece di avvisare Microsoft. Si sa, gli americani hanno una vera passione per gli accessi non autorizzati… E così, quando il codice scritto dall’NSA è stato rubato, DoublePulsar e EternalBlue sono diventati di pubblico dominio.

Ecco perché è importante installare l’aggiornamento: inibendo EternalBlue, WannaCry non può installare DoublePulsar, limitando l’infezione ai soli casi in cui è l’ingenuità dell’utente a garantire l’accesso.

Per oggi è sufficiente. Come vedete la storia si fa lunga, per questo motivo continueremo nella prossima puntata!

Pubblicato da Mauro Valota

Ingegnere informatico, appassionato di teatro e letteratura. O forse, più probabilmente, un permaloso Glitch in Matrix. Laureato in ingegneria informatica all’Università degli Studi di Bergamo.