Cosa sta accadendo nel mondo dei ransomware?
Andiamo con ordine, proviamo a dare un rapido sguardo a cosa accaduto a Regione Lazio.
Un gruppo di criminali ha attaccato il sistema sanitario di Regione Lazio attraverso l'infezione di una macchina di un tecnico che, quindi, aveva privilegi elevati. L'attacco ha messo fuori uso tutti i sistemi di backup, inclusa la tape library (almeno, da quanto ci è dato sapere).
La Tape Library è, per chi non lo sapesse, un sistema a cassette (tape) che vengono ciclate da un sistema meccanizzato all'interno di un "mangianastro" con lo scopo di mantenere delle copie di backup. I sistemisti affezionati al sistema lo richiedono ancora, seppur via via sempre con meno fermezza, considerandolo un sistema più sicuro dei NAS normalmente utilizzati allo scopo. Software come veeam backup si poggiano sui driver della tape e ne utilizzano le funzionalità per stoccare tipicamente copie di backup precedentemente effettuati sui NAS. Tecnicamente si tratta di un backup del backup, ma poco cambia. Oggi è utile? Non lo è? Personalmente non amo particolarmente questo strumento in quanto estremamente lento e costoso, ma andiamo con ordine.
Come molti sanno, un dato cancellato non lo è realmente fin quando quello spazio non viene sovrascritto (volontariamente o involontariamente) da altri dati. E' evidente, chi attacca un sistema, si assicura che i backup non vengano solo eliminati/crittografati, ma anche sovrascritti così da risultare effettivamente irrecuperabili. Questo è ovviamente accaduto su ogni fronte, tuttavia la Tape Library è un elefante lento e macchinoso, sovrascrivere tutto potrebbe richiedere svariati giorni... e poi diciamoci la verità, questo sistema è conosciuto appena, è "roba vecchia", "dai sù... basta una cancellazione dei nastri e pace" avranno pensato.
Quando tutto era perduto, gli specialisti hanno recuperato, invece, tutto quanto proprio dalla tape library che era stata sì cancellata, ma non sovrascritta. (ripeto, almeno così ci è dato sapere, ma a mio avviso è tecnicamente plausibile).
I sostenitori della Tape Library di tutto il mondo hanno stappato bottiglie di spumante agitando il proprio dito di biasimo esclamando "ve l'avevo detto io!!! E voi che non volevate spendere 10, 15 o 30 mila euro di tape library!!". Bhè, come dargli torto... ma a mio avviso la lezione è diversa.
I detrattori della Tape Library, invece, hanno saggiamente fatto notare che quindi la tape (ritenuta inviolabile e "offline") è vulnerabile tanto quanto i NAS, nè più nè meno. Ed è solo per pigrizia che gli attaccanti non hanno investito tempo su questo strumento... state certi che non accadrà più, perdere qualche decina di milione di dollari per un errore è un monito più che sufficiente ad indottrinare generazioni di attaccanti per qualche decennio almeno.
L'attacco ai sistemi di Regione Lazio ci ha insegnato qualcosa, motivo per cui la direzione che ha preso il GDPR circa la necessità di rendere noti i dettagli degli attacchi informatici è da me estremamente condivisa non solo per motivazioni legate ad eventuali lesioni derivanti dall'utilizzo improprio dei dati, ma anche per raccogliere eventuali errori e mettere in atto contromisure adeguate alla rapida evoluzione che il settore sviluppa. Ci ha insegnato che il vecchio detto che "solo oggetti spenti sono sicuri" (più o meno, al netto di WoL), è vero. E lo è sempre più. A tal punto che il backup totalmente offline o in un cloud a sè stante è una risorsa fondamentale. A patto di non commettere errori del tipo "portarsi il disco in chiaro a casa e farselo rubare dalla macchina". Un evergreen.
