I Ransomware, considerati oggi un’emergenza importante dal punto di vista della cybersecurity, consistono in agenti malware che tendono a limitare l’accesso a un dispositivo o ai dati in esso memorizzati, tipicamente utilizzando tecniche crittografiche notoriamente robuste e prevedendo la possibilità di sblocco solo a valle del pagamento di un riscatto

Francesco Palmieri è attualmente professore ordinario di Informatica presso l’Università degli Studi di Salerno dove insegna Reti di Calcolatori e Cybersecurity.

Questo tipo di minaccia, che ha cominciato ad assumere maggiore notorietà a partire dal 2013, a valle della diffusione massiva del worm Cryptolocker, associato a fenomeni di estorsione per circa 3 milioni di dollari, sembrerebbe una novità, ma in realtà è legata a un concetto tutt’altro che nuovo. I concetti alla base del ransomware furono introdotti già nel 1996 da Adam L. Young e Moti Yung nel loro articolo “Cryptovirology: extortion-based security threats and countermeasures” presentato presso l’IEEE Symposium on Security and Privacy. Gli autori definirono questo attacco una sorta di “estorsione crittovirale".

Stiamo dunque parlando di un concetto di cui si discuteva già da molto tempo, ma che ha visto le prime applicazioni pratiche intorno agli anni 2005-2006 con la diffusione dei primi esempi reali di ransomware worm quali Gpcode, TROJ.RANSOM.A, Archiveus, Krotten, Cryzip, e MayArchive, a fronte dei quali si sono registrati i primi importanti danni.

La diffusione di un ransomware ben congegnato può creare, in generale, problemi su larga scala, ma cosa si può fare dal punto di vista dell’utente nei confronti di agenti malevoli come questi? In realtà non c’è molto che l’utente possa fare, a parte non cedere al ricatto, dato che nella stragrande maggioranza dei casi non porta assolutamente a nulla. Pagare potrebbe essere utile solo per favorire operazioni di tracciamento del pagamento nel contesto di indagini mirate per arrivare all’origine del malware. Anche pensare di recuperare i propri dati attraverso sofisticate tecniche di crittoanalisi e di recupero delle chiavi a partire dalla conoscenza dei propri dati e dal materiale cifrato rimasto disponibile sul proprio dispositivo è praticamente utopia, dato che le tecniche crittografiche utilizzate sono tipicamente molto sofisticate e ben collaudate.

Come si può prevenire un attacco di ransomware?

L’utente invece può fare molto prima dell’attacco. Assicurarsi di avere un backup sempre aggiornato dei propri dati per poter ricostruire tutto è sempre buona norma, come anche dotarsi di basilari elementi di protezione a bordo del proprio device, come antivirus aggiornati ed agenti di monitoraggio delle attività del sistema. Tuttavia gli antivirus riconoscono generalmente solo le attività di ransomware noti, quindi è abbastanza difficile riconoscerne uno che si manifesta per la prima volta. L’individuo è dunque abbastanza indifeso nei confronti di questa minaccia.

Cosa si può fare a livello sistemico?

Un ransomware, anche quando non è un’entità nota, in qualche modo ha un comportamento che lo caratterizza, come ad esempio quello di leggere il contenuto dell’intero disco progressivamente oppure a blocchi per poi crittografarlo. Questa attività porta a registrare un uso più massivo della cpu, ma non solo. Infatti, a mano a mano che vengono crittografati i blocchi di dati, aumenta l’entropia globale su disco, ovvero il grado di disorganizzazione dei dati in esso contenuti.

L’utente non si accorge di nulla, ma nel momento in cui agenti attivi vengono installati sui singoli dispositivi per fare monitoraggio, c’è la concreta possibilità che si accorgano che qualcosa non va e qui entra in gioco il primo interessante aspetto di controreazione a livello sistemico. Questo comportamento non deve infatti rimanere chiuso nella macchina ma va comunicato all’esterno, in particolare ad un ecosistema di dispositivi di security enforcement strettamente cooperanti, localizzati presso utenti e provider, che si occupa di gestire la sicurezza in accordo a un approccio olistico. Sia che si tratti di un firewall o di un sistema di intrusion prevention, ad esempio, i singoli agenti, che operano come “sensori” di sicurezza, devono notificare questa informazione dalla macchina coinvolta a tutti i dispositivi che partecipano a questa logica globale di cooperazione e condivisione della conoscenza.

Un sistema immunitario artificiale

Qui subentra un’importante criticità, dato che i vari sistemi che ricevono questa informazione non devono tenerla chiusa all’interno del proprio brand o rete di cooperazione. È fondamentale invece che l’informazione relativa a una nuova minaccia venga condivisa su scala più larga possibile, consentendone l’analisi la verifica, il confronto e la correlazione con altri eventi registrati a livello di diverse organizzazioni coinvolte, che ne possa accertare carattere di minaccia nonché individuare e diffondere automaticamente delle contromisure. Stiamo parlando di un sistema di early alerting che integri i dispositivi di rete, raccolga segnalazioni e crei conoscenza condivisa utilizzando tecnologie di Intelligenza Artificiale e più specificamente di machine learning.

In questa situazione è possibile operare in una logica di situation awareness sia attraverso l’individuazione di contromisure specifiche, legate ad un particolare contesto (ad esempio, sistemi già compromessi), sia attraverso tecniche di controreazione di carattere più generale, da applicare a tappeto per anticipare, ad esempio, la diffusione del malware:è molto difficile infatti che ci si trovi di fronte ad un caso isolato e la maggior parte delle volte l’agente malevolo comincia a diffondersi a macchia d’olio in una logica abbastanza aggressiva. Solo se ci si accorge tempestivamente di questa propagazione massiva si possono generare e propagare contromisure, ovviando così alla proliferazione di agenti sulla macchina. Ovviamente la rilevazione deve essere quanto più tempestiva possibile e solo l’uso di sofisticate logiche di inferenza gestite a livello macchina, che partano dall’analisi e dalla correlazione di grandi moli di dati raccolte dai “sensori” disponibili sui dispositivi utente e su quelli di rete, possono garantire i tempi di reazione necessari.

Si tratta dunque di alimentare un sistema di difesa che possa diventare una sorta di sistema immunitario artificiale, che percepisca l’elemento ostile e blocchi l’attività sul nascere. Stiamo parlando di un cambio di visione, di un cambio di approccio, nato anche a fronte di cambiamenti del nostro modo di connetterci in rete e di lavorare. Fino a poco tempo fa bastava avere una protezione perimetrale efficiente per poterci sentire sicuri, mentre oggi il perimetro non esiste più, è diventato liquido, anche grazie alla mobilità e alla disponibilità di connettività ovunque.

Approccio olistico e collaborativo alla sicurezza

Si tratta di componenti noti che vanno dunque armonizzati in una logica di security fusion in cui dobbiamo orchestrare le varie funzioni di difesa. In questo ci viene in aiuto la threat intelligence, ovvero il riconoscimento strutturato delle minacce seguito dall’automazione della risposta.

E’ necessario creare standard e interfacce comuni affinché questi sistemi possano cooperare tra loro, quindi chi produce un antivirus dovrebbe utilizzare API completamente open e disponibili che chiunque possa integrare nel proprio sistema.

Per come sta evolvendo la minaccia, saremo quasi costretti ad andare in questa direzione in modo da poter disporre di un ecosistema di protezione vero e propria che possa fare prevenzione, identificazione delle minacce e aggiornamento in tempo reale per la creazione di contromisure. Non solo, le informazioni di cui i singoli possono disporre possono essere limitate e per poter meglio capire è necessaria una visibilità integrata che dia accesso alle informazioni di tutti. Naturalmente questo approccio non può prescindere dalle innovative tecniche di machine learning che ci permettono di analizzare grandi quantità di dati e più in generale dalle moderne tecnologie di AI.

Il ruolo trainante della ricerca

In questo quadro il ruolo trainante della ricerca diventa fondamentale per promuovere nuovi meccanismi di inferenza e costruzione/elicitazione della conoscenza nonché l’uso di standard comuni che possano creare interoperabilità. La ricerca ci può portare a costruire prototipi di queste soluzioni per mostrare che sono le soluzioni più valide e “future safe” per far fronte a questo problema e dare quindi la giusta strada ai vendor e fornitori di servizi e apparecchiature. Proprio in relazione a questo aspetto, con il mio gruppo stiamo sviluppando soluzioni che si poggiano su tecniche di AI per riconoscere nuove minacce mettendo insieme eventi raccolti in molteplici punti di osservazione attraverso interfacce standardizzate.