Dal 20 gennaio 2020, Microsoft non renderà più disponibili aggiornamenti per i sistemi client Windows 7 e per i sistemi server Windows 2008.
Questo renderà questi sistemi estremamente vulnerabili (in verità più vulnerabili di quanto non lo siano già adesso), come mostrato dalla botnet Smominru e certificato dal Cert-Pa e queste vulnerabilità rischiano di impattare pesantemente sulla nostra pubblica amministrazione.
Oltre il 50% dei personal computer delle PA secondo nostre statistiche sul parco macchine in gestione, risultano infatti ancora con Windows 7 e non verranno aggiornati per tempo a Windows 10. Inoltre diversi server (circa un 20%) sono Windows 2008 (e alcuni ancora windows 2003 anche se in dismissione quasi totale o con software poco utilizzati).
Questo rende la superficie di attacco molto ampia a partire dalla data di stop agli aggiornamenti.
Come difendersi da questa situazione?
Il modo più semplice è il cambio completo del dispositivo. Si cambia Pc o server e si passa ad una versione più nuova: ovviamente il problema sono i fondi da reperire per farlo ed eventuali compatibilità di alcuni programmi da verificare, in modo da essere sicuri che il passaggio a Windows 10 ne permetta l’installazione. L’architettura di Windows 7 e Windows 10 comunque non è molto differente, quindi questi tipi di incompatibilità sono piuttosto ridotti.
Per i server consigliamo caldamente la strada del passaggio da Windows server 2008 o precedente all’ultima versione di Windows Server (o la penultima, se per sicurezza si preferisce utilizzare una versione più stabile e per cui diversi utenti hanno già affrontato ed evidenziato incompatibilità o problemi di base).
Una seconda possibilità, se l’hardware permette l’installazione di Windows 10 (ovvero l’hardware è certificato Windows 10 o perlomeno compatibile e ci sono tutti i driver adatti alle periferiche, cosa da verificare sul sito del vendor dell’hardware stesso), allora la soluzione è l’upgrade da windows 7 a windows 10. Questo può comportare l’acquisizione della licenza windows 10, ed eventualmente un upgrade hardware perché windows 10 pur funzionando correttamente anche con 4 gb di ram, è meglio se utilizzato con 8 gb di ram, un processore core I5 o superiore ed eventualmente un disco SSD per una buona performance (il tutto allo scopo di avere una buona macchina, adeguata ai tempi. Comunque, ribadiamo, gira anche con meno risorse).
Per i server è possibile effettuare lo stesso meccanismo (tenere l’hardware e cambiare il sistema operativo), anche se rifare un server ha un costo e una criticità tale per cui è giustificabile acquisto di un nuovo hardware (che abbia così anche la copertura della garanzia corrispondente. Nel caso invece si tratti di una macchina virtuale, se c’è spazio disco, ram e cpu adeguate e l’hypervisor (bvmware o hyperv) è compatibile, allora è comunque possibile installare una nuova macchina virtuale e migrare i carichi di lavoro o i servizi ospitati dalla macchina da sistema operativo obsoleto.
Quanto indicato sopra (cambio hardware e sistema operativo, e reinstallazione nuovo sistema operativo su hardware non nuovo) rientra nelle cose migliori da fare.
Alcuni accorgimenti alternativi (sconsigliati ma utili)
Se proprio non è possibile cambiare l’hardware e non si riesce a fare una migrazione a Windows 10 o Windows server 2012 (o superiore, ovviamente consigliamo almeno Windows 2016 o 2019 in modo da avere un tempo di vista del nuovo sistema più lungo), allora ci sono alcuni accorgimenti possibili. Non sono consigliati, sono solo palliativi nel caso non si possa migrare a sistemi operativi aggiornati allo scopo di mitigare la superficie di attacco derivante da un sistema operativo non aggiornabile.
Ricordiamo che per i server è altamente sconsigliata questa strada!
Il primo suggerimento è quello di utilizzare un utente non amministratore. Le statistiche di Microsoft dicono che utilizzare un utente non amministratore riduca gli attacchi informatici dell’85%. L’utente amministratore viene quindi utilizzato solo ed esclusivamente per installazioni od operazioni speciali ed è il sistema stesso che richiede di inserire la password per admin. Quindi serve un intervento umano per poter accedere completamente al sistema.
Il secondo suggerimento è usare dei DNS che siano sicuri e facciano già loro da filtro “sicuro” per i domini a cui accedere. Esempio di DNS “sicuro” è il 9.9.9.9. Quindi non sarà possibile navigare su siti pericolosi perché non risolti dal DNS e visti nel browser come siti non raggiungibili.
Il terzo metodo può essere quello di mettere un firewall/proxy o proxy per la navigazione, in modo da filtrare il traffico internet prima che arrivi al pc windows 7. In tale modo un altro dispositivo (ad esempio pfsense) può fare da bastione di difesa rimanendo aggiornato sui meccanismi di attacco e di difesa. Ci si affida quindi al potenziamento della difesa perimetrale. Questo aiuta contro gli attacchi esterni.
Il quarto suggerimento è tenere controllati Security Bulletin di Microsoft nel Patch Tuesday, qualora uscissero particolari falle per Windows 7. Questo è già stato utile per XP, ad esempio dopo il worm Wannacry. Microsoft ha comunque rilasciato un aggiornamento anche per sistemi non più aggiornati mensilmente, come ad esempio XP e Windows 2003, in modo da mitigare la propagazione.
Il quinto metodo è tenere un sistema antivirus/antimalware aggiornato. Questa difesa con il tempo purtroppo viene meno perché i sistemi antivirus con gli aggiornamenti progressivi non supporteranno più l’ormai “vecchio” windows 7.
Il sesto metodo è fare delle copie di sistema “System Restore Point” periodiche dei client, in modo da avere un punto di ripristino in caso di attacco che riporti il sistema esattamente al punto del restore point. Questo andrebbe schedulato almeno settimanalmente in modo da perdere al massimo 6 giorni di vita del sistema.C’è da dire che a volte i ransomware e in generale i malware se hanno accesso admin alla macchina distruggono anche i restore point. Per questo ricordiamo il punto 1.
Il settimo metodo, che però diamo per attivo già adesso, è salvare i dati su server o su disco esterno da tenere offline, in modo che i dati vengano comunque salvati ogni notte (se su server con backup locale o remoto) e siano al sicuro (con backup remoto e con disco usb offline). In tale modo un malware non può danneggiarli (se sono offline) o comunque la complessità è maggiore per un danneggiamento (se sono online) e si preserva il dato e l’informazione. Volendo si potrebbero fare copie del singolo pc, anche se lo riteniamo articolato.
L’ottavo e ultimo, è avere tutti i dati in cloud, ad esempio su Office 365 o GSuite e far diventare il pc un mero “appoggio” per accedere i dati che sono solo remoti (niente installazioni locali).
Tutti questi metodi valgono sia per client che per server.
Rimane il fatto che l’unica vera opzione consigliabile è quella di passare a windows 10 o Windows Server 2012 o superiore, in modo da avere un sistema sicuro e aggiornabile periodicamente in modo da essere più sicuri e tranquilli sul proprio sistema in un’epoca in cui il tema è “quando il mio sistema è stato violato?” ovvero non è più in discussione il se, ma solo il quando (e il quando spesso è già avvenuto senza che ce ne accorgiamo, altrimenti non esisterebbero botnet da migliaia di personal computer sparse per il mondo e pronte ad attivarsi).
