Il worm informatico Morris o "La stessa procedura di ogni anno".
Come all'inizio di ogni anno, anche nel 2023 sono disponibili innumerevoli previsioni sulla direzione in cui si svilupperà il panorama della criminalità informatica. Tuttavia, guardare nella sfera di cristallo - anche se le indicazioni disponibili sono numerose - è sempre e solo una scommessa sul futuro. È quindi più interessante dare uno sguardo alle cause degli attacchi informatici nel corso della storia. E qui diventa subito chiaro che, in linea di principio, da diversi decenni inciampiamo sempre sulle stesse tre teste di tigre.
Il nostro riferimento storico risale al 2 novembre 1988, giorno in cui ebbe inizio un drammatico worm su Internet. Chiamato così in onore dell'informatico Robert T. Morris, il malware si diffuse a una velocità allarmante oltre 30 anni fa ed è considerato il primo grande attacco malware. Il worm Morris aveva tre meccanismi primari di auto-replicazione basati su tre comuni errori di programmazione e di gestione del sistema:
- Errata gestione della memoria:
Morris sfruttava una vulnerabilità di buffer overflow in un servizio di rete di sistema molto diffuso all'epoca e otteneva l'RCE (esecuzione di codice in remoto). - Scarsa capacità di indovinare le password:
Morris ha utilizzato un cosiddetto attacco a dizionario per indovinare le probabili password di accesso. Non è stato necessario indovinare tutte le password: è stato sufficiente decifrarne una sola. - Sistemi non patchati:
Morris ha cercato server di posta elettronica configurati in modo insicuro e successivamente non aggiornati per correggere la pericolosa falla di esecuzione di codice remoto di cui ha abusato.
Suona familiare? Dovrebbe, perché se analizzati collettivamente, abbiamo continuato a soffrire dello stesso tipo di problemi di cybersicurezza l'anno scorso e continueremo ad avere a che fare con queste "teste di tigre" nel 2023. In pratica, anche quest'anno si tratta della "stessa procedura di ogni anno": non abbiamo bisogno di nuove previsioni sulla cybersicurezza per avere un'idea precisa di dove iniziare.
In altre parole: Non dobbiamo perdere di vista le basi quando creiamo concetti di cybersecurity e dobbiamo evitare di risolvere solo problemi di sicurezza specifici e che attualmente fanno notizia. Solo affrontando i peccati del passato in materia di cybersecurity potremo affrontare efficacemente le moderne minacce informatiche.
Cosa bisogna fare, dunque? La buona notizia è che, per quanto riguarda la programmazione, i fornitori stanno migliorando nell'affrontare molti di questi problemi della vecchia scuola. Per esempio, Sophos sta imparando a utilizzare pratiche di programmazione più sicure, linguaggi di programmazione più sicuri e a inserire il codice in esecuzione in sandbox con un migliore blocco del comportamento per rendere più difficile lo sfruttamento dei buffer overflow.
Stiamo tutti migliorando nell'imparare a usare i gestori di password, anche se questi comportano i loro affascinanti problemi. Stiamo diventando più esperti nell'utilizzare tecnologie alternative di verifica dell'identità o nel non affidarci a semplici password che speriamo nessuno possa prevedere o indovinare. Ma l'autenticazione a più fattori è ancora meglio e dovremmo usarla ovunque sia possibile.
E non solo stiamo ricevendo più velocemente le patch dai fornitori (almeno quelli responsabili - la battuta secondo cui la S di IoT sta per sicurezza sembra ancora molto attuale, purtroppo), ma stiamo dimostrando sempre più la volontà di applicare patch e aggiornamenti più velocemente sia in ambienti privati che aziendali.
Sophos, come altri operatori del settore, è anche un forte sostenitore delle moderne tecnologie CaaS, come XDR e MDR, il che significa accettare che la gestione degli attacchi informatici non si limita a trovare il malware e a rimuoverlo quando necessario. Al giorno d'oggi, molto più di qualche anno fa, i fornitori tendono a dedicare tempo non solo alla ricerca di materiale cattivo conosciuto da correggere, ma anche ad assicurarsi che il materiale buono che dovrebbe essere presente lo sia davvero e che faccia effettivamente qualcosa di utile.
Anche Sophos dedica più tempo alla ricerca proattiva di elementi potenzialmente dannosi, anziché aspettare che i proverbiali avvisi appaiano automaticamente nei dashboard di cybersecurity. E questi sono i migliori prerequisiti per mettere i criminali informatici al loro posto - e saltare elegantemente sopra la testa della tigre - nel 2023.