Verso la fine del 2014 il termine “ransomware” (in inglese, “ransom” significa “riscatto”) inizia a diffondersi anche nel nostro paese dopo i primi casi di CryptoLocker e derivati, fino ad arrivare a CTB Locker, una tra le famiglie più diffuse che ha causato ingenti danni economici. Sempre più spesso, prendono di mira anche la pubblica amministrazione (qui uno degli ultimi esempi).
La tattica dei virus della classe dei ransomware consiste nel crittografare i file (per esempio, fotografie, documenti) presenti sul computer della vittima, rendendoli così illeggibili, per poi chiedere un riscatto in cambio della chiave di decifratura. Il riscatto è tutto sommato abbordabile—qualche centinaio di euro—ma, secondo le stime fornite dall’FBI, questo schema ha permesso ai criminali di “raccimolare” 180 milioni di dollari americani, globalmente, di cui 3 sarebbero stati raccolti dal gruppo dietro a CryptoLocker, la famiglia di ransomware più popolare.
I gruppi criminali che impiegano ransomware hanno mostrato interesse anche verso i dispositivi mobili (in particolare Android), i quali hanno in effetti sorpassato in numerosità i computer classici. Ma non solo: i dispositivi mobili sono oggi una miniera di informazioni preziose per chi le possiede. Quindi, in assenza di una copia dei dati e dei ricordi memorizzati su cellulare, non c’è da stupirsi se il proprietario accetta di pagare un riscatto. Perciò non solo i telefoni cellulari forniscono una superficie di attacco più ampia rispetto a quella dei computer tradizionali, ma danno agli aggressori una leva più efficace dovuta al valore—talvolta affettivo—attributo alle informazioni in essi memorizzate. Con la diffusione della pratica nota come “bring your own device” (tradotto, “porta il tuo dispositivo [al lavoro]”), secondo la quale i datori di lavoro permettono ai dipendenti di utilizzare i propri dispositivi personali per svolgere le proprie attività, il rischio di perdita di informazioni sensibili ed il valore delle informazioni stesse sono ancora più elevati rispetto all’uso di un dispositivo portatile a soli fini personali.
Nel gruppo di sicurezza informatica, presso il laboratorio NECST del Dipartimento di Elettronica, Informazione e Bioingegneria al Politecnico di Milano, ci occupiamo di ransomware per dispositivi mobili e, primi al mondo, abbiamo sviluppato un prototipo in grado di stabilire se un’applicazione Android effettua azioni compatibili con le tattiche adottate dai questa classe di virus. Anche se la minaccia verso i dispositivi Android è recente, è allarmante che in meno di un anno siano state scoperte 5 nuove famiglie di ransomware specificatamente per questo sistema operativo. Al contrario, ci sono voluti anni per vedere lo stesso numero di famiglie per computer tradizionali. Pertanto riteniamo importante investire risorse e sforzi di ricerca per l’analisi di questa nuova tipologia di minaccia. Diversamente dai classici antivirus, che cercano artefatti tecnici specifici di un certo virus, il prototipo che abbiamo sviluppato è in grado di riconoscere, in modo generico, se un’applicazione sta mostrando a schermo dei messaggi di minaccia e se, contemporaneamente, sta tentando di bloccare il cellulare e/o accedendo ai file al fine di crittografarli. Questi tre comportamenti—minaccia, blocco e cifratura—presi singolarmente non constituiscono un pericolo, ma se presenti insieme o in varie combinazioni sono un chiaro segnale dell’azione di un ransomware. Il componente più innovativo del prototipo riguarda la ricerca di frasi minacciose mostrate a schermo. A tal fine sfruttiamo tecniche di elaborazione del linguaggio naturale e di apprendimento. Infatti, date delle generiche frasi d’esempio, sia minacciose che non minacciose, il nostro sistema è in grado di “imparare” a riconoscerne delle varianti, anche se mai analizzate prima. Aspetto importante per rilevare virus di questo genere è infatti la flessibilità e la generalità della tecnica di riconoscimento, che deve essere in grado di adattarsi all’evoluzione delle minacce, senza necessariamente potersi permettere il “lusso” di avere un dispositivo infetto da analizzare come “paziente zero” da cui partire per sviluppare un antidoto.
Visti i risultati del rapporto del 2014 sulla sicurezza informatica stilato dal CIS Sapienza, che evidenziano una scarsa consapevolezza e uno scarso livello di difesa nel settore della pubblica amministrazione, è chiaro che la minaccia dei ransomware contestualizzata nel “sistema paese” pone nuovi obiettivi, tanto nella difesa delle infrastrutture informatiche quanto nella ricerca di tecnologie che impediscano a questa classe di virus di funzionare. Basti pensare a quanto dannoso potrebbe essere sia economicamente che politicamente la presa in ostaggio di informazioni personali o riservate di interesse nazionale. La svolta tecnologica consisterebbe nel creare un sistema operativo nel quale la lettura e la scrittura di dati sono intrinsecamente regolate in modo tale da rendere impossibile la scrittura di dati crittografati senza l’esplicita autorizzazione dell’utente, in quanto la scrittura di dati crittografati, operazione perfettamente legittima (anzi, volta a proteggere dati!), può diventare un aspetto critico per la continuità di un sistema informatico.
