17 Mag 2017

WannaCry: su tutti gli schermi!

Business

L’epidemia del Trojan Ransomware WannaCry ha già causato un mare di guai ad ogni tipo di azienda. Ad ogni modo, ci aspettiamo che le aziende le cui infrastrutture impiegano sistemi embedded siano particolarmente indignate con i creatori di questo malware.

Companies whose infrastructures employ embedded systems are feeling particularly unhappy with the authors of WannaCry

In teoria, i sistemi embedded non dovrebbero essere oggetto d’interesse dei creatori di ransomware (non ci sono dubbi sul fatto che in pochi pagherebbe il riscatto per un dispositivo puramente utilitaristico che non possiede alcun dato prezioso e il cui hard disk viene continuamente riformattato). Ma WannaCry non sceglie i suoi obiettivi. A causa della peculiare natura delle vulnerabilità che sfrutta, WannaCry si è diffuso tra le reti locali e ha infettato tutti i dispositivi senza patch e senza protezione.

Come un fulmine a ciel sereno

Non sarebbe giusto dire che questa epidemia abbia aperto gli occhi al mondo: il problema della scarsa protezione dei sistemi embedded non è nuovo e si sa da tempo che generalmente questi sono meno protetti (se mai lo sono stati) delle postazioni di lavoro e dei server. Ma WannaCry ha portato la questione sotto i riflettori.

Quando si parla di sistemi embedded, si può pensare ai bancomat e ai terminali POS. In effetti, alcuni di questi dispositivi sono stati infettati, anche se in genere hanno qualche protezione installata grazie alle normative e perché sono stati frequentemente osservati nei modelli di minaccia. L’infezione di sistemi come pannelli informativi, strumenti medici e distributori automatici sembrava essere una cosa davvero importante (per non dire altro).

I proprietari dei sistemi embedded infetti non si sentono meglio sapendo che non hanno pagato il riscatto ai criminali: hanno comunque subito danni notevoli.

  • I distributori automatici inutilizzabili, i bancomat o le macchinette automatiche che rilasciano i biglietti implicano una perdita di denaro.
  • Una richiesta di riscatto su uno schermo pubblico dice ai clienti “La nostra sicurezza è pessima”. È difficile valutare i danni che un messaggio del genere causa alla reputazione di un’azienda. Tornerà il cliente dopo aver visto quel messaggio?
  • I terminali infetti richiedono interventi di riparazione. Se utilizzate centinaia di terminali, potete calcolare quanti soldi spenderete, soprattutto tenendo in conto la distribuzione geografica e l’urgenza con cui il personale dovrà reinstallare i sistemi operativi ed effettuare modifiche nelle impostazioni di sicurezza. E alcuni dispositivi potrebbero utilizzare software non aggiornati che sono difficili se non impossibili da reinstallare.

A giudicare dai troll nei social network, queste schermate non sono passate inosservate.

Come risolvere il problema

Perché i sistemi embedded hanno una scarsa protezione? Ci sono due motivi. Innanzitutto, fino ad adesso la loro sicurezza è stata spesso trascurata. In secondo luogo, tendono ad utilizzare hardware vecchi, segnali Internet a banda stretta e sistemi operativi obsoleti. Sembrano semplicemente incapaci di avviare le soluzioni di sicurezza utilizzando il massimo delle risorse dei loro hardware.

Dobbiamo ammettere che in un certo senso, WannaCry ha aiutato il mondo facendo notare il primo problema. Ed è vero che i sistemi embedded di protezione potrebbero non essere efficaci con le soluzioni antimalware tradizionali. È proprio per questo che abbiamo sviluppato Kaspersky Embedded Systems Security per un’ampia gamma di sistemi embedded. La soluzione presuppone l’utilizzo di minori risorse rispetto a una soluzione di sicurezza per desktop, ma evita l’infezione grazie all’impiego di una serie di caratteristiche di sicurezza per desktop.

Nel caso di un attacco di un cryptomalware (incluso WannaCry), la soluzione funziona nel seguente modo:

  • La funzionalità Default Deny è la tecnologia di base del prodotto che impedisce l’esecuzione di qualsiasi codice, inclusi gli script, nel caso in cui non si trovino nella whitelist. Quindi anche se il cryptomalware è stato in grado di penetrare nel sistema nascondendosi, ad esempio, in un pacchetto software legittimo, non potrà avviarsi.
  • La componente Process Memory Protection analizza l’integrità dei processi in memoria e impedisce qualsiasi tentativo di sfruttare le vulnerabilità conosciute e non.
  • Kaspersky Embedded Systems Security include un firewall controllato a livello centrale che permette di disattivare rapidamente la porta usata da una vulnerabilità dopo essere stata scoperta.
  • La tecnologia che controlla i dispositivi USB quando sono collegati al PC migliora ulteriormente la soluzione. Questo evita le infezioni causate da un dispositivo USB poco sicuro; una cosa del genere potrebbe avvenire, ad esempio, durante le operazioni di manutenzione.
  • Il modulo antimalware, che rappresenta un’opzione disponibile, elimina dal sistema qualsiasi file infetto.

Stando ai nostri dati, nessuno dei dispositivi protetti da Kaspersky Embedded Systems Security è stato colpito dall’epidemia di WannaCry. Questa soluzione protegge centinaia di migliaia di sistemi embedded nel mondo, quindi è giusto dire che ha superato questa prova. Per questo motivo, se l’infrastruttura della vostra rete include sistemi embedded dotati di sistemi Windows Embedded, vi consigliamo vivamente di provare la nostra soluzione.