E l’ultimo chiuda la porta (…almeno del firewall)

E l’ultimo chiuda la porta (…almeno del firewall)

Tempo di lettura: 6 min

L’antefatto

Lo avevo salutato la settimana scorsa, era emozionato per questo viaggio in Cina.

Omar Saltafossi, mio amico imprenditore, si muove bene in Europa ma un volo intercontinentale non è di tutti i giorni.

Sapevo che sarebbe stato via un paio di settimane per cui mi stupii che mi arrivasse una chiamata dal suo interno telefonico (non hanno ancora un centralino VoIP… ma di questo parleremo magari un’altra volta).

20170511-e-lultimo-chiude-la-porta-01

Risposi e, in effetti, non era Omar. All’altro capo della linea c’era invece Ermes Gutturnio, responsabile IT della Saltafossi.

Era molto agitato, parlava a macchinetta e riuscii a cogliere solo alcuni passaggi “i dati, tutti andati…”, “criptati, sono tutti criptati,…”, “tutti fermi, tutti fermi”.

Capii che la cosa era grave e cercai di farmi spiegare cosa fosse successo. E perché mi stesse chiamando dal telefono di Omar.

Quella mattina la Saltafossi aveva preso un Cryptolocker! Ermes era strasicuro che NESSUNO avesse cliccato su nessuna mail. L’azienda era ancora chiusa!

Ermes non è uno sprovveduto. Aveva fatto delle analisi sul server su cui c’erano i dati criptati e risultava che il programma di criptazione fosse stato lanciato proprio da Omar!

Ecco perché era andato alla sua scrivania, al suo computer. Ma lì era tutto spento. Anzi, Omar – che è un po’ “crosta” come diremmo a Brescia – aveva anche staccato la spina a video e computer, per “tenere a mano”, cioè per risparmiare sulla corrente elettrica.

Non poteva quindi essere stato lui! Cos’era successo e cosa si poteva fare adesso?

Bisogna distinguere i due aspetti:

  1. ripartire alla svelta
  2. analizzare l’accaduto

Ripartire alla svelta

Da poco più di un mese avevamo attivato per la Saltafossi il nostro servizio di cloud backup, cioè di backup con copia esterna del dato nel nostro datacenter.

Diedi quindi subito istruzioni al nostro reparto tecnico di ripristinare i dati nel nostro laboratorio, per velocizzare le operazioni.

 

Analizzare l’accaduto

Chiesi quindi al mio alter ego tecnico, Stefano Corradetti di verificare cosa fosse successo. Dalla sua analisi emerse che c’era stata una connessione di tipo “desktop remoto” proprio dalla Cina dalle 7.47 alle  8.01 ora italiana, fatta con l’utenza di Omar!

E che il giorno prima, stavolta da un indirizzo IP del Kazakistan, era stata fatta un’altra connessione di circa 39 minuti.

C’è stato quindi un “sopralluogo” e poi il furto vero e proprio!

Ma come avevano fatto a rubare le credenziali di Omar? Dopo averlo raggiunto telefonicamente in hotel ci spiegò che, un paio di giorni prima, si era connesso in remoto al server della ditta ed era stato ben contento di trovare una bella rete wifi completamente gratuita, senza richiesta di credenziali, dal nome “free wifi”. Una pacchia!

Una pacchia anche per i furbacchioni che erano riusciti a cuccare un po’ di dati e di credenziali di accesso di chi si era connesso a quella rete, creata apposta per questo scopo.

Chiesi allora ad Ermes come si connettesse da remoto il buon Omar. E lui mi rispose: “in remote desktop!”. Quindi senza VPN, senza altre sicurezze? “No”, mi rispose, il loro consulente diceva che così era più semplice.

Sicuramente è stato più semplice, anche per chi si è connesso da remoto al server della Saltafossi, per fare i suoi porci comodi!

C’erano un po’ troppe porte aperte, nel senso informatico del termine. La porta d’accesso per il remote desktop era aperta da tutto il mondo!

Do istruzioni al loro consulente di riconfigurare il firewall, per evitare che il fattaccio si ripetesse di lì a qualche ora.

Nel frattempo i nostri meravigliosi tecnici avevano recuperato su un disco USB i dati della Saltafossi e li stavano portando, insieme ad un server muletto, presso la sede della ditta. La mattina successiva al “disastro” la Saltafossi è potuta ripartire, un po’ zoppicante, ma era tornata in piedi.

 

C’era ancora tanto da fare

C’era però ancora tanto lavoro da fare!

  1. Il server oggetto dell’attacco andava formattato. Non ci si può fidare di quali porcherie siano state installate sulla macchina, oltre al programma di encryption.
  2. La sicurezza “del perimetro” della Saltafossi non poteva più essere gestita in questo modo.
  3. La sacrosanta esigenza di connettersi da remoto andava gestita in altro modo.
  4. Un giorno intero di fermo era troppo? Si sarebbe potuto fare di meglio?

 

Per dare una risposta a queste domande abbiamo deciso di aspettare che Omar ritorni dalla Cina la prossima settimana e vi terremo aggiornati degli sviluppi. Bisogna sedersi con lui e con Ermes perché NON si tratta solo di questioni tecniche ma coinvolgono proprio il business, il cuore dell’azienda.

Nel frattempo, per citare Nick Carter e “SuperGulp – fumetti in TV”, “tutto è bene ciò che finisce bene…” e “l’ultimo chiuda la porta” (almeno quella sul firewall)!

0 Commenti

Lascia una risposta

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

*