Chi siete? Dove andate? 1 Bitcoin! Ovvero quanto ci costerà l’Internet of Things…

Un amico, il CFO di un cliente, mi scrive in chat su Facebook: “Ciao Alessio! Ti disturbo per una cosa un po’ strana… il ns titolare ieri sera in sauna mi raccontava che un suo amico è stato ricattato e costretto a pagare in bitcoin il riscatto dei dati presenti nel suo pc – bloccato da un virus. Io sinceramente non ne ho mai sentito parlare…Tu cosa mi dici? può essere vero?”.

Credo siano davvero poche le persone che si occupano professionalmente di security che non hanno mai sentito parlare dei vari ransomware, Cryptolocker[1] in primis. Mentre chi si occupa di altro, banalmente anche molti responsabili IT non specializzati sul tema security, possono avere questi dubbi.

Per questo io sono preoccupato.

Il problema, quindi, a mio parere, non è tanto quel che dobbiamo affrontare oggi, ma quello che dovremo affrontare a breve. Negli ultimi mesi non passa settimana senza che si abbia notizia di qualche grande entità che abbia dovuto litigare con un riscatto dopo avere avuto molti dati criptati. Da pochi mesi lo stesso trend iniziato anche smartphone e tablet, con le varianti dello stesso malware riadattati ai sistemi operativi mobili[2].

“Vuoi lavorare ancora? Ti servono i tuoi dati? 1 bitcoin”. Chi fa il mio lavoro è oramai abituato a questo fenomeno. Non esiste antivirus che tenga se clicchi la cosa sbagliata nel momento sbagliato. Nel “deep web” vendono le varianti di tali malware con garanzia “soddisfatti o rimborsati” che non verranno individuati dai più diffusi antivirus per le prossime 24/48 ore. Se necessario è possibile acquistare anche assistenza tecnica con SLA garantito. Cybercrime as a Service lo potremmo chiamare ☺.

L’unica certezza di non subire danni è avere un backup, recente, offline, che non sia cioè raggiungibile dal device infetto. Altrimenti anche il backup verrà criptato.

Ma non è questo a preoccuparmi.

Ne abbiamo riso, e molto, con l’amico Andrea Zapparoli Manzoni. La previsione è questa: oggi bloccano i nostri PC e ci chiedono il riscatto. E domani cosa succederà? Immaginiamo uno scenario apocalittico. “Vuoi usare ancora lo smartwatch? 1 bitcoin. Vuoi pesarti oggi? 1 bitcoin”. Questo succederà a chi come me ha vissuto tragedie famigliari avendo una bilancia “smart”, vale a dire connessa ad Internet e pilotata dall’iPad (“Corri, Corri! Fermala subito” urla mia moglie dal bagno. “Ferma la bilancia prima che posti il mio peso su Facebook!”). Saremo novelli Benigni-Troisi alla “dogana medioevale”, come nel film “Non ci resta che piangere”[3], a sentirci chiedere 1 bitcoin per ogni sciocchezza vorremo fare, come loro si sentivano chiedere un fiorino per ogni movimento sulla linea di confine.

Abbiamo già avuto notizia di frigoriferi “smart” infettati che inviano phishing[4]. Domani il frigo ti scriverà sul suo display: “Voglia di uno spuntino? 1 bitcoin per aprirmi!”. E la sera del derby la “Smart TV” ci scriverà sull’enorme display “Vuoi vedere la partita? 1 bitcoin!”. Non parliamo di un futuro che vedranno i nostri figli. Parliamo di cose che potrebbero accadere a noi entro qualche mese. L’Head UP Display della nostra auto, al mattino, mentre cercheremo di accenderla con la “smart key” ci chiederà “Vuoi andare in ufficio oggi? 1 bitcoin!”[5].
Per questo io ed Andrea ridevamo, ma di un riso amaro, immaginando questi scenari, davvero realistici, soltanto basandoci su notizie di cronaca già avvenuti.

Per questo io sono preoccupato.

Ve la immaginate la nonna a cui il forno chiederà “Vuoi cuocere la torta? 1 bitcoin!”. O la colf a cui l’aspirapolvere chiederà “Vuoi pulire il pavimento oggi? 1 bitcoin!”. Potrei continuare per ore, dal single a cui il microonde chiederà “Vuoi scongelare la cena oggi? 1 bitcoin!” alla mamma a cui sul piccolo display a cristalli liquidi del baby monitor apparirà “Vuoi sapere se tuo figlio piange o dorme? 1 bitcoin!”.
Perché questi oggetti si fanno chiamare “smart”, ma di smart hanno proprio poco. La “Smart TV” non ha nulla a che fare con l’oggetto con il tubo catodico che i miei genitori avevano in salotto. Il suo vero nome è “Stupid PC”. E’ un piccolo stupido computer, con un enorme bellissimo monitor. E nessuna security feature. Ma non voglio riempire pagine di esempi simili. Voglio invece preoccuparmi di quando questo colpirà le aziende come ha iniziato a fare oggi. “Vuoi stampare le fatture? 1 bitcoin!”. O le fabbriche: “Vuoi usare l’altoforno oggi? 1 bitcoin!”. O quando verranno colpiti servizi essenziali che ci servono non troppo spesso, ma quando servono, servono. “Vuoi usare la TAC oggi? 1 Bitcoin!” vedremo apparire sui PC del reparto radiologia di qualche ospedale… Mi preoccupo di quando il tuo bypass cardiaco ti manderà un popup sul tablet. “Per continuare a funzionare… 1 bitcoin!”. O di quando sullo smartwatch leggeremo “Per continuare a far funzionare il tuo dosatore di insulina, 1 bitcoin!”.

Per questo io sono preoccupato.

Si, Troisi e Benigni ci facevano ridere a crepapelle nella scenetta “1 fiorino”. Ma a ridere, in un futuro prossimo, saranno i criminali, non quelli cyber, quelli veri, quelli che di informatica capiscono poco o nulla, ma che hanno capito che con queste diavolerie elettroniche si possono fare soldi. Tanti soldi. Esentasse. Per questo sono preoccupato, perché tutti i più innocui dispositivi che utilizziamo oggi saranno domani fucina di rischi per la nostra vita di tutti i giorni. Perché di security si occupano solo “pochi poveri paranoici”. Ed i cattivi, quelli che di tecnologia capiscono poco, ma di truffa molto.

Sono preoccupato perché a mio parere afhgfUDWFGH gjdhas78354FWDF 76534jkkjgdksFY XEUBDYUEYDWZYNkgdjhgasgdj534762 32 t8768n8 x9eg3uxy2si. (per leggere le ultime righe dell’articolo invia 1 bitcoin a mayhem@obiectivo. it ☺)

NOTE

  1. http://it.wikipedia.org/wiki/CryptoLocker
  2. https://threatpost.com/cryptolocker-ransomware-moves-to-android/105937/
  3. http://it.wikipedia.org/wiki/Non_ci_resta_ che_piangere
  4. http://investors.proofpoint.com/releasedetail.cfm?releaseid=819799
  5. http://www.forbes.com/sites/andygreenberg/2013/07/24/hackers-reveal-nasty-new-car-attacks-with-me-behind-the-wheel-video/ ;
    http://www.csoonline.com/article/2872678/internet-of-things/insecure-snapshot-dongle-puts-2-million-cars-at-risk.html

A cura di Alessio L.R. Pennasilico, Security Evangelist @ Obiectivo Membro del Direttivo e del Comitato Tecnico Scientifico di CLUSIT

Articolo pubblicato sulla rivista ICT Security – Gennaio/Febbraio 2015

Condividi sui Social Network:

Articoli simili