wannacry e notpetya sono due

Di Gabriele Serra technology 9 min di lettura
wannacry e notpetya sono due

Ho visto un responsabile IT piangere davanti a un server rack in un seminterrato di Milano perché aveva convinto il suo consiglio di amministrazione che una patch per SMB fosse lo scudo definitivo contro ogni minaccia. Pensava di aver risolto il problema della vita, ma due settimane dopo l'intera catena logistica dell'azienda è colata a picco non a causa di un riscatto non pagato, ma perché i dati erano semplicemente spariti, cancellati per sempre da un codice che non aveva alcuna intenzione di restituirli. Questo succede quando dimentichi che Wannacry E Notpetya Sono Due entità con scopi e meccaniche radicalmente diverse, e trattarli come un unico "virus da patchare" è l'errore più costoso che puoi commettere oggi. Se pensi che basti aggiornare Windows per dormire tranquillo, non hai capito come si è evoluta la guerra digitale negli ultimi anni.

L'illusione della patch universale e il rischio Wannacry E Notpetya Sono Due

Il primo errore che vedo ripetere costantemente è credere che la vulnerabilità EternalBlue sia l'unico filo conduttore che conta. Certo, entrambi hanno usato quel buco nero nel protocollo di condivisione file di Microsoft, ma fermarsi lì è come dire che un'auto medica e un'auto bomba sono la stessa cosa perché entrambe hanno quattro ruote. Ho lavorato su incidenti dove le aziende avevano installato la MS17-010 ovunque, sentendosi invulnerabili. Poi è arrivato il disastro.

Il problema è che mentre il primo cercava soldi, il secondo cercava la distruzione totale delle infrastrutture civili. Se configuri la tua difesa solo per bloccare la propagazione laterale automatica, lasci la porta aperta a chi usa credenziali legittime rubate tramite Mimikatz. Wannacry era un verme goffo, scritto male, con un interruttore di emergenza trovato per caso da un ricercatore. NotPetya, invece, era un'arma cibernetica di Stato progettata per paralizzare l'Ucraina e chiunque facesse affari con lei. Se non capisci questa distinzione, sprecherai il tuo budget in strumenti di scansione inutili mentre il vero nemico entra usando le chiavi di casa che hai lasciato sotto lo zerbino digitale.

Perché il backup non ti salva se è online

Molti amministratori pensano: "Ho i backup, se mi colpiscono ripristino tutto". In un attacco distruttivo, il malware cerca attivamente le tue partizioni di ripristino e i tuoi server di backup collegati alla rete. Ho visto intere farm di server protette da sistemi moderni venire polverizzate in meno di dieci minuti perché il software di protezione non distingueva tra una crittografia per riscatto e una cancellazione intenzionale del Master Boot Record.

Credere che il ransomware sia sempre una questione di soldi

C'è questa idea pericolosa secondo cui gli hacker siano solo criminali in cerca di Bitcoin. È una visione rassicurante perché implica una transazione commerciale: io pago, tu mi dai la chiave. Ma quando si analizza la storia, ci si accorge che questa logica è fallace. NotPetya somigliava a un ransomware, chiedeva soldi come un ransomware, ma la sua funzione di crittografia era irreversibile. Non c'era modo di recuperare i dati, anche pagando un milione di euro.

Ho visto aziende perdere mesi di lavoro cercando di contattare un supporto tecnico inesistente su un sito nel dark web che non aveva mai previsto una procedura di sblocco. Il tempo perso a negoziare con un fantasma è tempo tolto alla ricostruzione manuale da zero, che spesso è l'unica via d'uscita. La differenza tra l'estorsione e il sabotaggio cambia completamente la tua strategia di risposta agli incidenti. Se ti prepari per un'estorsione, accumuli criptovaluta e cerchi mediatori. Se ti prepari per il sabotaggio, investi in segmentazione della rete estrema e backup immutabili offline. Sbagliare questa valutazione significa fallire prima ancora che il primo pacchetto malevolo colpisca il tuo firewall.

L'errore di ignorare la catena di approvvigionamento software

Ecco come sono andate le cose in un caso reale che ho seguito personalmente. Un'azienda di trasporti aveva una sicurezza perimetrale da manuale. Firewall di ultima generazione, autenticazione a due fattori ovunque, monitoraggio h24. Eppure, sono stati messi in ginocchio. Non perché qualcuno abbia cliccato su una mail di phishing, ma perché un software di contabilità ucraino che usavano, chiamato M.E.Doc, è stato compromesso alla fonte. L'aggiornamento "ufficiale" conteneva il codice distruttivo.

Da non perdere: questo post

Questo è il punto dove Wannacry E Notpetya Sono Due storie che divergono profondamente nella pratica difensiva. Il primo si diffondeva come un incendio in una foresta secca: bastava una scintilla e un po' di vento. Il secondo è stato un avvelenamento mirato del pozzo d'acqua della città. Se la tua strategia di sicurezza si limita a guardare cosa entra dalle mail o dai download degli utenti, sei cieco di fronte ai software che consideri "fidati". Non puoi più permetterti di fidarti cecamente dei vendor. Devi isolare i software critici in zone della rete dove non possono comunicare con il resto dell'infrastruttura a meno che non sia strettamente necessario.

Analisi del movimento laterale

Una volta entrato tramite un software legittimo, il codice malevolo non ha bisogno di nuove vulnerabilità. Usa gli strumenti di amministrazione del tuo sistema, come PSExec o WMI, per muoversi. Ho visto esperti di sicurezza restare a bocca aperta vedendo i propri server cadere uno dopo l'altro usando i comandi che loro stessi usavano per la manutenzione. È un'ironia amara che costa migliaia di euro al minuto.

Confondere la compliance con la sicurezza reale

In Italia abbiamo questa ossessione per le certificazioni e le carte in regola. Ho incontrato dirigenti che sventolavano fieri il loro certificato ISO 27001 mentre i loro database venivano rasi al suolo. La compliance ti dice cosa dovresti avere, non come funziona sotto pressione. Un audit annuale non rileverà mai se un amministratore di sistema ha lasciato una sessione RDP aperta per pigrizia o se una password di root è "Admin123".

La sicurezza reale è fatta di attrito. Se la tua rete è comoda per gli utenti, è comoda anche per chi vuole distruggerla. Ho visto la differenza tra un'azienda che seguiva solo la compliance e una che praticava la difesa attiva. La prima ha impiegato sei mesi per tornare operativa, la seconda solo tre giorni. La differenza non stava nei software acquistati, ma nella cultura di non dare nulla per scontato. La segmentazione della rete non deve essere un grafico su un foglio di carta presentato ai revisori, deve essere un muro di cemento armato digitale che impedisce a un'infezione nell'ufficio marketing di spegnere i macchinari della produzione.

👉 Vedi anche: tim x parlare con un operatore

Il confronto tra l'approccio reattivo e quello proattivo

Per capire meglio, guardiamo come due aziende diverse hanno gestito una minaccia simile. L'azienda A (approccio reattivo) ha investito tutto in antivirus e firewall. Quando il malware è entrato, il loro sistema ha generato migliaia di avvisi. Il personale, sommerso dal rumore, ha impiegato quattro ore per identificare il paziente zero. In quelle quattro ore, il codice aveva già cifrato il 70% dei server. Hanno provato a ripristinare, ma hanno scoperto che i backup erano stati cifrati anch'essi perché risiedevano sulla stessa rete logica. Costo totale: 4 milioni di euro tra mancata produzione e costi di recupero dati parziale.

L'azienda B (approccio proattivo) partiva dal presupposto che sarebbe stata colpita. Avevano implementato una micro-segmentazione rigorosa. Quando lo stesso malware è entrato tramite una chiavetta USB di un fornitore, è riuscito a colpire solo tre macchine nel reparto logistica. Il sistema di rilevamento ha isolato automaticamente quel segmento di rete in cinque minuti. I backup erano salvati su un sistema "air-gapped", fisicamente disconnesso dalla rete principale tranne che durante le finestre di scrittura protette. Hanno perso mezza giornata di lavoro di un ufficio. Costo totale: 15.000 euro, inclusa la pizza per il team IT che ha lavorato extra.

Questo non è un esempio teorico da manuale, è la sintesi di decine di rapporti post-incidente che ho scritto. La tecnologia non è la soluzione, è solo lo strumento. La differenza la fa la strategia di contenimento del danno, non la speranza di impedire l'ingresso.

Sottovalutare il fattore umano nella gestione delle crisi

L'errore finale, quello che trasforma un incidente in un fallimento aziendale, è la mancanza di un piano di comunicazione e decisione. Quando i sistemi vanno giù, il panico prende il sopravvento. Ho visto amministratori delegati urlare contro tecnici che non dormivano da 48 ore, peggiorando solo le cose. Senza un protocollo chiaro su chi ha il potere di spegnere l'intera rete aziendale per salvare i dati, si perde tempo prezioso in riunioni inutili mentre il malware corre.

📖 Correlato: schema videocitofono bticino 2 fili

In molti casi, la decisione di staccare la spina a un intero data center deve essere presa in pochi minuti. Se devi aspettare l'autorizzazione di un comitato che non capisce la differenza tra un bit e un byte, hai già perso. La preparazione non riguarda solo i firewall, ma anche le esercitazioni "tabletop" dove i dirigenti simulano cosa farebbe l'azienda se domani mattina non esistesse più un solo computer funzionante. Se la tua risposta è "chiamiamo l'assistenza", sei in guai seri.

La gestione dei privilegi amministrativi

Spesso il disastro avviene perché troppe persone hanno diritti di amministratore che non dovrebbero avere. Ho visto stagisti poter accedere a server finanziari critici solo perché era più facile dare permessi totali che configurare quelli specifici. Ridurre i privilegi è un lavoro noioso e scatena lamentele in ogni ufficio, ma è l'unico modo per limitare il raggio d'azione di un attacco. Se un utente normale viene colpito, il danno deve restare confinato ai suoi file personali, non deve poter scalare i privilegi e diventare il padrone del dominio.

Controllo della realtà

Non esiste una soluzione definitiva. Se qualcuno ti vende un software dicendo che ti proteggerà al 100% da attacchi simili, ti sta mentendo per prendersi le tue provvigioni. La verità è che la sicurezza informatica è un esercizio di gestione del rischio, non di eliminazione del rischio. Non puoi vincere questa partita in modo permanente; puoi solo renderla troppo costosa e faticosa per l'attaccante, o limitare i danni quando inevitabilmente qualcosa andrà storto.

Serve onestà brutale: la maggior parte delle infrastrutture italiane è vulnerabile perché costruita su stratificazioni di tecnologie vecchie di vent'anni, tenute insieme da script precari e speranza. Non risolverai il problema con un nuovo firewall luccicante se non hai il coraggio di ridisegnare la tua rete da zero, isolando i sistemi critici e accettando che la comodità dell'utente deve passare in secondo piano rispetto alla sopravvivenza dell'azienda. Non è una questione di "se" verrai colpito, ma di quanto sarai in grado di rialzarti velocemente quando succederà. Tutto il resto è solo rumore di marketing che non ti servirà a nulla quando lo schermo diventerà nero e apparirà una richiesta di riscatto o, peggio ancora, un semplice messaggio di errore del sistema operativo che annuncia la fine dei tuoi dati.

GS

Gabriele Serra

Gabriele Serra segue i temi più discussi del momento con spirito critico e attenzione all'impatto sociale delle notizie.

Articoli correlati

Il mito dell'indipendenza tecnologica e il vero ruolo di Samsung nell'economia globale

Il mito dell'indipendenza tecnologica e il vero ruolo di Samsung nell'economia globale
Il Governo Italiano Approva il Piano Stol It per Rinnovare le Infrastrutture Digitali della Pubblica Amministrazione

Il Governo Italiano Approva il Piano Stol It per Rinnovare le Infrastrutture Digitali della Pubblica Amministrazione
L'illusione del benessere leggero e la verità su Fitbit Air

L'illusione del benessere leggero e la verità su Fitbit Air
La Grande Illusione del Microchip e il Vero Prezzo della Sovranità Digitale

La Grande Illusione del Microchip e il Vero Prezzo della Sovranità Digitale