ILOVEYOU: LETTERA DI HACKER IN ALLEGATO!

21anni fa, uno dei primi attacchi hacker di massa che ha cominciato a far aprire gli occhi alle aziende su quanto sia importante costruire una difesa adeguata per il proprio business.

Noi c’eravamo ed oggi possiamo dire che solo correndo al riparo con un’azione piuttosto dirompente siamo riusciti a limitare l’impatto di uno dei più grandi cyber attacchi della storia per uno dei nostri fedeli clienti.

Vi raccontiamo la nostra esperienza intervistando chi quel giorno era arruolato in prima linea!

A. Era l’anno 2000, ci vuole raccontare che cosa successe quel giorno?

P. Tante telefonate, ma veramente una dopo l’altra. “ho ricevuto una mail ma non riesco ad aprire l’allegato…”

Nessuno degli utenti aveva il dubbio che si potesse trattare di un allegato pericolosissimo.

E ancora un’altra telefonata emblematica “Ho ricevuto una mail con un allegato, ma non riesco ad aprirlo… Era tanto che ci speravo, proprio da quella persona che aspettavo da un po’..” aveva così tanto creduto al messaggio che non riusciva a realizzare il fatto di esser caduto in trappola.

Una semplice mail, ma che semplice non era affatto, se non nel caderci dentro.

A. Siete stati i primi ad accorgervi del pericolo, in che modo?

P. La stessa mail era arrivata a tutti, consulenti IT compresi. Abbiamo istantaneamente diffidato del messaggio ed eliminato la mail. È stato il primo virus anche per noi che comunque non ci aspettavamo. Nessun utente pensava che fosse un virus se non il personale IT specializzato a supporto.

Da allora si sono aggiornati i software e ci sono stati diversi cambiamenti e miglioramenti. Per esempio, le evoluzioni successive di Microsoft Office hanno cominciato a bloccare di default gli allegati che risultavano essere file eseguibili.

A. Qual è stata la prima cosa che avete fatto?

P. Abbiamo inviato una mail informativa urgente a tutta l’azienda, ma per molti non bastava.

Un’azione non sufficiente vista la mancata consapevolezza e conoscenza in materia dei non esperti. Al tempo, tante risorse si approcciavano al pc per la prima volta e la tendenza era di abusare delle email per scambiare informazioni, comunicazioni, file di tutti i tipi… (un po’ come oggi utilizziamo le app di messaggistica istantanea, allora le email erano ancora tra le novità)

Ci siamo divisi in due gruppi, uno rispondeva al telefono, e l’altro? Via le cravatte e correre negli uffici per staccare i cavi di rete sotto alle scrivanie. Abbiamo corso così tanto da frustare scarpe per spegnere i pc prima che questi ne infettassero altri in maniera esponenziale.

A. E quindi come avete “salvato” il bersaglio?

P. Siamo riusciti a frenare il “contagio” spegnendo tutti i computer che stavano ri-inviando le mail prima che questi trasmettessero il virus ad altri pc. Individuando la “regola” del virus abbiamo scoperto come fermarlo; seguiva l’ordine alfabetico per cui sapevamo dove andare a bloccarlo. Insomma siamo riusciti a limitare il danno staccando i cavi di rete dalle prese sotto alle scrivanie degli uffici, ed attivando un piano di reazione immediata per studiare il virus ed inibirlo in attesa di ricevere gli aggiornamenti degli antivirus.

Al giorno d’oggi, per farvi capire quanto le tecnologie e gli attacchi sono diventati sofisticati, il tempo che trascorre da quando viene identificato il virus per essere inviato alle aziende antivirus è di 3 ore circa, al tempo serviva almeno un giorno. In quei giorni prima di ricevere gli aggiornamenti degli antivirus, avevo analizzato il virus ed inventato il codice da distribuire a tutti i pc per bloccarlo.

A. Che impatto ha avuto tutto sommato questo evento?

P. Il contesto in cui si è verificato questo attacco improvviso era di grande novità. I computer erano passati da essere scatole contenenti schermi neri con caratteri lampeggianti per eseguire i programmi, a mostrarsi con un’ interfaccia nuova e bellissima per il momento dove le possibilità di azione erano tante di più.

Allora come oggi, l’hacker ha sfruttato il cambiamento tecnologico e l’ingenuità delle persone per portare a termine la sua missione.

L’obiettivo di ILOVEYOU non era di fare danni, ma di infettare il numero maggiore possibile di computer. Non era come i malware moderni, i virus degli anni ’90 erano scherzetti per ridere, mentre dal 2000 alcuni furbetti iniziano a capire che, con le loro abilità, si potevano creare azioni che permettevano di fare soldi. Per assurdo il virus di allora faceva più danni ad un privato che ad un’azienda. Questo malware, ad esempio, infettava documenti come foto e audio con estensione .jpeg, .mp3 ed .mp2, file poco presenti in un ambiente aziendale.

A. Quali sono state le principali difficoltà?

P. Far capire agli utenti che era un virus davvero e far comprendere che poteva creare danni non indifferenti, anche se per fortuna poi non è stato così.

Lo scoglio rimane sempre il far capire alle risorse che le azioni che fanno possono avere grandi conseguenze, impatti economici e non solo seriamente importanti, anche se loro stessi pensano che sia un azione innocua.

Far capire che le stesse risorse ben formate hanno il potere di difendere il proprio lavoro, ma al tempo stesso è facile cadere nel tranello dei malintenzionati e sapere che possono fare anche tanti danni.

A. Quali sono state le considerazioni del cliente che sono emerse a posteriori?

P. Il cliente si è accorto che comunque il fermo produttivo è stato un impatto reale, perché abbiamo spento fisicamente i pc per poterlo bloccare, di conseguenza le risorse non hanno potuto mandare avanti le loro attività.

Al tempo non esisteva il servizio di consulenza cybersecurity, l’unico strumento di difesa era l’antivirus. Ed è stato riconosciuto il supporto prestato.

Purtroppo è dovuto accadere per davvero l’evento negativo che ci ha messo faccia a faccia con il nemico per allarmare e far realizzare ai vertici direzionali che non basta far funzionare le cose e sperare che a noi non succeda, perché quando succede è ormai troppo tardi.

A. Quanto sono cambiati gli attacchi ed i mezzi per difendersi?

P. Gli attacchi si sono evoluti sensibilmente, adesso lo scopo è far soldi, non solo quattro risate. Parliamo di azioni organizzate da cybercriminali che sfondano reti piccole da utilizzare come ponti per attaccare le grandi aziende, questo per non far identificare il sito sorgente, il proprio indirizzo.

Negli anno ’90, spesso erano ragazzini che all’età di 15 anni facevano malware per divertirsi e a 25/30 anni capirono che attraverso queste azioni ci si poteva guadagnare e cominciarono a farlo per fare soldi attraverso riscatti, da qui sono nati i malware moderni come i Cryptolocker. Il cybercrime ha da qualche tempo iniziato a fare spionaggio industriale, attacchi APT, gli hacker sfondano la rete aziendale ed in maniera silente monitorano tutto quello che succede, rubano per esempio le ricerche, i progetti di sviluppo che spesso comportano know-how e svariati anni di lavoro.

E le tecnologie di difesa aumentano il tempo di attacco necessario, e vengono scelte sulla base di strategie strutturate per individuarlo e bloccarlo tempestivamente. La garanzia di avere il tuo dato al sicuro qual’ è? Il tempo che ti porta ad accedere abusivamente a quel dato deve essere più lungo del tempo di vita del dato.

Non si può pretendere di trovare quella strategia che assicuri il dato in protezione per sempre, ogni sistema di protezione viene studiato con lo scopo di dare la garanzia che il dato sia in sicurezza per il suo intero ciclo di vita. Di fondamentale  importanza è sicuramente anche garantire un aggiornamento costante delle tecnologie e delle strategie di cybersicurezza.

A. Quali sono i suggerimenti che daresti oggi dopo 21 anni?

P. Mettere in ON il cervello prima cliccare; farsi un paio di domande se arriva qualcosa di strano.

Chiamare il mittente e chiedergli se conferma quanto hai ricevuto. Verificare l’anteprima del sito posizionando sul link il cursore del mouse, NON cliccarlo. Chiamare il tuo supporto IT per assicurarti che sia una email attendibile!

Gli strumenti tecnologici hanno grandi poteri e potenzialità, è doveroso conoscerli e saperli utilizzare in maniera responsabile. “Non si può pretendere di costruire auto che non facciano incidenti, ci sono sistemi a supporto che limitano le distrazioni, piuttosto serve istruire le persone a guidarle bene.”

Noi siamo i tuoi esperti di IT e anche di Cybersecurity, forma le tue risorse con i nostri programmi di Security Awareness, mettile alla prova con progetti di Phishing Amico, e verifica costantemente lo stato di sicurezza dei tuoi sistemi con le nostre soluzioni di Security Assessment. Siamo pronti in prima linea per aiutarti a difendere il tuo business!

Contattaci

Non ne hai
abbastanza?

DISCLAIMER: Ci piace lasciare in questa bacheca alcuni pezzi di storia che rendono le nostre giornate in FTP uniche. Alcuni contenuti ti interesseranno, altri meno, forse non li capirai o forse  sorriderai: questo è il nostro piccolo spazio libero nella rete in cui mettiamo tutto quello che ci va!