Metti da parte le tue opinioni personali politiche. E’ un dato di fatto che un numero notevole di minacce informatiche provengono dall’Est.

Russia, Cina, una volta anche la Romania era brava, ma ha perso colpi.

Parlo di minacce informatiche comuni, ovvero attacchi portati da criminali o organizzazioni criminali, non di cyberwarfare, ovvero il mondo degli attacchi informatici portati da enti governativi: come detto in passato quello è un altro campionato che ci tocca poco a meno che non siate direttamente coinviolti in attività governative.

Che succede?

Succede che da anni gli attacchi informatici comuni stanno convergendo verso dei cliche:

• sono Ransomware/Blockware ovvero vi bloccano il pc e chiedono un riscatto

• chiedono il riscatto in criptovalute

• se infettano un dispositivo russo o simile, si disattivano e si cancellano dal pc.

I cliche sono tali perchè hanno successo. Squadra che vince non si cambia si dice, anche in caso di estorsioni digitali.

Perchè vi annoio su questa cosa? Perchè dovete installare la tastiera russa sul vostro pc. Non sto scherzando.

All’inizio nel mondo della cybersec la notizia era passata come una trovata goliardica, sebbene fosse nata dai volti più noti e importanti del pantheon della sicurezza informatica. Poi ha iniziato ad avere riscontri e poi valutazioni di assenza di impatti negativi: attualmente i principali strumenti malware in circolo si disattivano se vedono installate sul computer la tastiera/lingua russa. Non vuol dire che dovete comprate una tastiera reale russa, basta solo dire a windows di installare il pacchetto della lingua russa ed è fatta. Impostazioni, lingua, aggiungi russo. Fine. Tutto a costo zero.

Sembra folle, sembra stupido, sembra banale. Lo è. E’ una soluzione efficace: assolutamente si. E’ una soluzione risolutiva: per ora si, tra qualche anno non più, ma per ora funziona.

Perchè funziona: perchè sfrutta una debolezza degli attaccanti che per non correre il rischio di compromettere i pc dei connazzionali hanno deciso di identificarli attraverso la lingua/tastiera installata: il malware appena si installa su un pc fa proprio una verifica formale di tutte le tastiere configurate, se anche solo una di queste corrisponde a una presente in una lista interna sua, allora il malware fa fagotto e si disinstalla.

Troveranno un altro modo?

Certo, ma ci vorrà tempo. Nel frattempo avere la tastiera in russo è un ottimo antimalware che non costa nulla e che non aumenta i rischi. Sono state condotte analisi approfondite e oramai tutti i più grandi esperti1 convengono che è una soluzione assolutamente efficace, anticonvenzionale e che ovviamente prima o poi perderà la sua efficacia in maniera proporzionale alla sua diffusione. Per ora pochissimi lo stanno facendo, quindi è credibile che i cybercriminali si stiano ben guardando di cambiare i loro sistemi malware, che sono abbastanza complessi, solo per quella manciata di persone che installerà la tastiera russa per evitare attacchi. Inoltre i criminali sanno bene una cosa: aggirare queste soluzioni esotiche non sempre paga lo sforzo perchè chi le implementa sono persone informate (io, voi) che hanno un minimo grado di preparazione sul tema e che quindi sarebbero comunque un difficile bersaglio anche senza questo trucco. Quindi continueranno a preservare i pc russi in questo modo e fine. Se state pensando che ci sia sotto un esplicito mandato governativo russo in tutto questo, ecco, non è un ipotesi azzardata: ne parleremo in futuro se è un argomento interessante per voi.

Questo è il famoso metagame ovvero l’eterno gioco delle guardie e ladri, del gatto e del topo: l’attaccante che cerca un modo per colpire i punti deboli, il difensore che impara dagli attacchi subiti e si difende rendendo inefficaci gli attacchi, l’attaccante che allora riparte da capo a cercare altri punti deboli…

Per questo la sicurezza non è vendibile, produttificabile: è un processo in continua evoluzione. Oggi un’ottima difesa è avere installato una tastiera in cirillico per fare quello che si è fa anche in guerra: camuffamento.

до свидания2

Ecco perchè leggermi vi ripaga:

Un mese fa vi raccontavo nella sesta puntata dell’attacco ransomware che investi in pieno Colonial Pipeline, l’oleodotto americano, provocando danni enormi all’economia americana. E’ notizia di questi giorni la scoperta della vulnerabilità che gli hacker hanno utilizzato per entrare nel sistema:

una password mai cambiata (che girava nel darkweb a causa di uno dei tanti furti di dati) di un account VPN che si pensava dismesso.

Questa svista è costata 4 milioni e mezzo di dollari pagati in riscatto e decine di milioni di danni per i fermi causati. Per fortuna il dipartimento di giustizia americano è riuscito a recuperare gran parte del riscatto.

Se avete letto con attenzione le puntate precedenti avete già capito dove voglio arrivare:

• Perchè l’account della VPN era ancora attivo se doveva essere dismesso?Ne parlavo nella puntata 5: fare pulizia dei software non utilizzati e relativi accessi.

• Perchè la password non era stata cambiata in seguito alla sua esposizione nel darkweb? ve no ho parlato nella puntata 8. Gli hacker non hanno fatto altro che scaricare un file con sopra utente e password, non hanno utilizzato chissà che tecniche raffinate. Nessuno aveva cambiato la password.

• Mancava anche la MFA. Lo so, per voi è una parolaccia, ma ne parliamo settimana prossima!

Questo vuol dire che i consigli che vi sto dando, anche se ai vostri occhi sembrano assurdi o troppo banali, sono quelli che servono per evitare i disastri. E perchè i disastri avvengono? Perchè molti di noi, confessiamolo pure, non fanno nulla per proteggersi. Solo il 16% dei miei lettori della puntata 8 ha cliccato sul link per verificare le password: l’altro 84% ?

Non avete ancora cambiato le password? siete ancora in tempo, veloci!