Technology HowTo

Tempesta cibernetica, come proteggere i sistemi Windows e Linux

Il 2023 prelude a un incremento degli attacchi cyber, tra cui quelli ransomware sono particolarmente dannosi, e non risparmiano nemmeno Linux. Di seguito, qualche indicazione per attuare strategie di difesa sui server e PC aziendali, ma anche sui computer usati nell’ambiente domestico

Aggiornato il 25 Lug 2023

Tempesta cibernetica

In un 2023 che si preannuncia incerto, instabile sotto il profilo economico e geopolitico, peggiorano anche le condizioni della cybersecurity, e nessun sistema operativo si può considerare immune agli attacchi cyber, Linux incluso. Nel clima d’incertezza i gruppi criminali prosperano, sfruttando con opportunismo ogni punto di debolezza. “C’è una tempesta cibernetica in arrivo” ha chiarito in un’intervista al meeting annuale 2023 del World Economic Forum di Davos, Sadie Creese, professoressa di cybersecurity all’Università di Oxford. “Questa tempesta si sta preparando, ed è davvero difficile prevedere quanto sarà grave”.

Intanto, gli attacchi informatici come phishing, ransomware e DDoS (distributed denial of service) sono già in aumento. Nell’ultimo trimestre del 2002, ha rilevato la società statunitense Cloudflare, fornitrice di servizi di security, gli attacchi DDoS hanno registrato un incremento del 79% anno su anno.

Inoltre, nel quadro di espansione delle minacce, le strategie di difesa della cybersecurity richiedono ormai un approccio olistico. Anche perché, in una fase delicata della trasformazione digitale, in cui la pandemia da Covid-19 ha spinto le organizzazioni a ridisegnare faticosamente le proprie infrastrutture digitali per rispondere alle esigenze del lavoro ibrido e della “nuova normalità”, il fronte di attacco indirizzabile dai cybercriminali si è esteso, dal perimetro aziendale, fino alle reti domestiche dei dipendenti. Su queste ultime, nell’attuazione delle strategie di difesa, le aziende hanno poca visibilità, sottolinea la società di sicurezza IT Trend Micro nelle proprie “Security predictions for 2023”.

Ransomware cross-platform per Windows e Linux

Anche il modus operandi del ransomware sta cambiando. Il ransomware è ormai multipiattaforma. Nel 2022, i ricercatori della società di cybersecurity Kaspersky hanno scoperto attività di nuove gang criminali, i gruppi RedAlert e Monster, per sferrare attacchi su differenti sistemi operativi. Gli esperti di Kaspersky hanno anche analizzato due famiglie di ransomware, Black Basta e Luna, in grado di colpire non solo computer con sistema operativo Windows, ma anche dispositivi Linux e macchine virtuali ESXi. Un altro dato rilevante arriva dal rapporto X-Force Threat Intelligence Index 2022 di IBM, secondo cui i ransomware Linux basati su nuovo codice hanno registrato un incremento anno su anno del 146%, indicando uno sviluppo del livello d’innovazione del ransomware che indirizza questo sistema operativo.

Linux è largamente installato su gran parte dei web server: secondo un report stilato dalla società di sondaggi sulla tecnologia web W3Techs, a gennaio di quest’anno i siti web che utilizzano Linux sono il 38,9%, contro il 19,8% di quelli che si basano su Windows. Quest’ultimo, d’altra parte, è il sistema operativo più usato dai computer desktop, con una quota di mercato di oltre il 70% (dati Statista), ed anche il più bersagliato dal ransomware. Secondo dati forniti nel 2021 da VirusTotal, un servizio di scansione online del malware, il 95% del ransomware prende di mira Windows.

Ransomware, funzionalità e strategie di protezione per Windows e Linux

Tra le varie minacce cyber, il ransomware è un malware particolarmente pericoloso per le organizzazioni e i privati, perché può cifrare i dati di PC, server aziendali e computer domestici, rendendoli inservibili, e può permettere ai criminali di chiedere un riscatto per decifrare i dati stessi. Nel caso poi del ransomware con “doppia estorsione”, si aggiunge la minaccia che i dati sensibili dei sistemi colpiti, una volta esfiltrati, possano essere venduti o pubblicati online.

Nel mondo Windows, una funzionalità utile ad aumentare la protezione contro il ransomware è l’accesso controllato alle cartelle. La funzionalità è supportata, oltre che su client Windows 10 e Windows 11, anche su Windows Server 2012 R2, Windows Server 2016, Windows Server 2019, Windows Server 2022. Per attivarla si può usare, a seconda dei casi, l’app Sicurezza di Windows, Microsoft Endpoint Configuration Manager, o Microsoft Intune. Con l’attivazione dell’accesso controllato alle cartelle, solo le app incluse nella lista del software considerato attendibile possono accedere alle cartelle protette. Queste ultime, per impostazione predefinita, comprendono, oltre alle cartelle di sistema e con i file di avvio, le cartelle di uso comune, come le cartelle documenti, immagini, download.

Alle app non incluse nell’elenco viene impedito di apportare modifiche ai file contenuti all’interno delle cartelle protette. All’elenco vengono in genere aggiunte le app largamente diffuse nell’organizzazione, e che non hanno mai mostrato un comportamento ritenuto dannoso. Con l’attivazione dell’accesso controllato alle cartelle, quando una app non autorizzata cerca di apportare modifiche a un file in una cartella protetta, il sistema visualizza una notifica sul computer interessato. La notifica è anche personalizzabile con l’aggiunta di dettagli aziendali e regole impostate individualmente.

Va comunque ricordato che la cybersecurity non si mantiene banalmente con l’attivazione di una funzionalità, ma è il risultato di una cultura della protezione applicata in maniera metodica. Quindi, oltre a usare l’accesso controllato alle cartelle, e ad attivare la app Sicurezza di Windows, non possono venir meno principi e pratiche fondamentali: mantenere il sistema costantemente aggiornato, tramite Windows Update; eseguire regolarmente il backup dei file e dati critici; fare attenzione, durante la navigazione online, a quali pagine si visitano, quali allegati o link di posta elettronica si aprono, quali programmi si scaricano.

Non solo Windows

Tutte queste raccomandazioni valgono naturalmente anche per il mondo Linux, quindi per sistemi server, desktop, o altri dispositivi, basati su questo sistema operativo. Linux può contare su una vasta community, efficiente nell’identificazione delle vulnerabilità e nella pubblicazione degli aggiornamenti e delle patch di sicurezza nei repository dedicati.

Per prevenire gli attacchi ransomware è comunque importante implementare strategie “zero trust”, controllare e restringere l’accesso a risorse e dati, applicare il principio del privilegio minimo (PoLP – principle of least privilege) e adottare solide politiche di gestione delle password. È poi possibile attuare tecniche di “hardening” dei server Linux, come la disattivazione del login al sistema come utente root (root user) tramite protocollo SSH (Secure Shell).

Oltre a tutto ciò, tra le varie misure, le buone pratiche raccomandano l’implementazione di sistemi IDS (intrusion detection system) e IPS (intrusion prevention system); la creazione di regole di controllo e filtraggio sui server di posta elettronica (mail server); l’applicazione di tecniche di segmentazione della rete, indirizzate a minimizzare la portata di potenziali attacchi ransomware, nonché l’attuazione di strategie di monitoraggio dell’infrastruttura, di penetration test e attività di valutazione delle vulnerabilità.

Articolo originariamente pubblicato il 10 Feb 2023

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Articoli correlati

Articolo 1 di 5