Seguici anche su

15 dicembre 2016

La svolta hacker: “Paga il riscatto e sblocco il computer”

Succede a San Francisco: il sistema di gestione dei trasporti locali è stato bloccato per due giorni. Oltre duemila pc inutilizzabili. Fino al (probabile) pagamento

Paolo Bottazzini

Dal numero di pagina99 in edicola il 10 dicembre 2016

Proibiamo ogni forma di intrattenimento ai nerd! Se l’amministrazione Trump applicherà soluzioni massimaliste a tutti i problemi, come ha promesso in campagna elettorale, questa diventerebbe la reazione adeguata all’aggressione contro i cittadini di San Francisco, durante l’ultimo fine settimana di novembre. Un attacco hacker ha paralizzato i sistemi di gestione dei mezzi pubblici, a partire dai dispositivi di vendita dei biglietti – costringendo la società di gestione, la Muni (San Francisco Municipal Railway), ad autorizzare per tutti l’accesso gratuito ai veicoli. Nel mondo reale, San Francisco vanta anche il ruolo di capitale della Silicon Valley, la regione che guida l’innovazione tecnologica dell’intero pianeta. Eppure, nel contatto che i giornalisti di The Verge sono riusciti a stabilire con gli autori dell’attacco, gli hacker hanno accusato il governo del trasporto pubblico di aver trascurato la sicurezza della rete, almeno di quella digitale – permettendo al malware di colpire oltre duemila computer.

Ma procediamo con ordine nella sceneggiatura dell’attacco. Prima puntata: venerdì 25 novembre, durante la notte, si manifestano i primi sintomi dell’infezione. Il plot narrativo si richiama un po’ a Mr. Robot e un po’ al Dr. House. È un virus ad essere penetrato nella rete dei trasporti di San Francisco, attraverso i sistemi informatici che la coordinano: quindi parliamo di sintomi al di fuori di ogni metafora. Per primi si bloccano i distributori automatici di biglietti, che riportano tutti il codice di errore generico Fuori servizio. Seconda puntata: sabato mattina, tutti gli schermi della rete di trasporto pubblico azzerano le informazioni correnti e pubblicano la stessa dichiarazione, nel formato delle righe di comando Dos – per le quali i programmatori sembrano provare nostalgia sempiterna: «You Hacked, ALL data Encrypted, Contact For Key(crypton27@yandex.com)ID:601 ,Enter Key:» (Sei stato hackerato, tutti i dati sono stati crittografati, per la chiave contatta la mail crypton27@yandex.com).

Non serve un occhio clinico (o sfortunato, se la competenza è maturata dal blocco sul proprio computer), per comprendere che questa formula denuncia il genere di virus che ha infettato il sistema: è un ransomware, un malware che chiede un riscatto in denaro per restituire l’accesso ai dati delle macchine contagiate. Il contatto per la gestione dello scambio è indicato dalla mail; per dovere di cronaca, ricorderò che Yandex è il più grande motore di ricerca russo, una sorta di Google moscovita, che controlla circa il 60% del mercato ex-sovietico. Nel caso di San Francisco, il software malevolo è del tipo Hdd Cryptor, identificato per la prima volta nel gennaio 2016, e diffuso con maggiore visibilità da agosto. L’attacco viene portato al settore di avvio principale (Mbr) dell’hard disk – quello in cui sono alloggiate le istruzioni per mettere in moto il sistema operativo del computer.

In sintesi estrema, il virus prima crittografa tutti i dati presenti in memoria, poi sovrascrive l’Mbr, in modo da impedire al proprietario di accedere a qualunque partizione – quindi a qualunque sistema operativo – presente sul disco fisso. Infine, riavvia il computer, bloccando l’interazione alla schermata di partenza, con la richiesta del riscatto e l’indirizzo mail per la negoziazione. La perfidia è che il malware può essere rimosso con un intervento molto semplice; ma la terapia non permette di recuperare i dati, perché la chiave di crittografia è privata. Per tornare in possesso dei file contenuti in memoria si deve pagare, oppure sperare di aver messo in salvo i contenuti su qualche disco esterno, o in un cloud di backup non contagiato.

Terza puntata dell’attacco al Muni: il virus riavvia 2.112 computer in tutti gli uffici e su tutta la rete viaria, incluse le macchine dei sistemi amministrativi, i server della posta elettronica e delle stampanti, i portatili degli impiegati, i registri dei libro paga, le banche dati Sql, gli archivi degli oggetti smarriti, i totem dei chioschi nelle stazioni. I dipendenti della società non hanno mostrato grande dimestichezza con le procedure di backup. Chi l’avrebbe detto, visto che siamo a San Francisco, nel cuore della Silicon Valley, nella rainforest culturale e finanziaria in cui fioriscono le startup più smart, e in cui lavorano gli uomini (ma non le donne, per pregiudizio o per l’isteria della complessità del mondo?) più intelligenti del globo. Eppure. I pirati addossano la responsabilità alla politica di gestione della rete: il virus si diffonde solo se viene scaricato dagli utenti dei computer, non viene guidato a distanza, né sono state perpetrate infiltrazioni fisiche.

Quindi ritengono adeguato il pagamento di un riscatto di cento bitcoin, una somma con un potere di acquisto equivalente a circa 73 mila dollari. Nella mail di risposta alle domande di The Verge, hanno chiarito che il tempo utile per le trattative sarebbe scaduto domenica mattina – momento in cui l’indirizzo di posta elettronica sarebbe stato chiuso. Quarta e ultima puntata: il riscatto probabilmente viene pagato, ma la transazione non si conclude sul canale presidiato dai giornalisti per monitorare lo sviluppo dell’attacco. Durante la giornata di domenica i servizi sono stati ripristinati in modo regolare, mentre per tutto il sabato i passeggeri hanno viaggiato gratis, facendo perdere all’azienda di trasporti con i costi operativi più alti in America, un’intera giornata di ricavi. Per di più, proprio un sabato; e proprio il sabato dopo il Black Friday.

L’attacco non ha preso di mira i veicoli in circolazione. Tram, autobus e metropolitane, hanno continuato a camminare con il loro passo lento – il più lento tra i grandi sistemi di trasporto americani, con una velocità media di 13 km all’ora. Li consolerà sapere che, secondo i dati ufficiali dell’Atm, a Milano tra le 8 e le 21 gli autobus raggiungono a stento la velocità media di 12 km all’ora, mentre i tram non ci arrivano mai. Il weekend di paralisi con riscatto, evidenzia però la condizione di vulnerabilità cui è esposto tutto il sistema di gestione della rete di trasporti di San Francisco. Se Muni non è immunizzata dagli assalti al libro paga dei dipendenti, è legittimo domandarsi cosa potrebbe accadere il giorno in cui qualche attivista, con finalità meno venali, decidesse di colpire la tratta di metrò che si guida da solo nella Market Street Subway o nel Twin Peaks Tunnel. Nemmeno David Lynch potrebbe immaginare uno scenario capace di causare altrettanta isteria.

Ma ancora peggiore è la prospettiva di un futuro in cui l’organizzazione di tutto il traffico urbano sarà coordinata dai dispositivi delle smart city, con un sistema nervoso inscatolato nei computer che automatizzeranno i rapporti tra sensori, intelligenze artificiali e meccanismi attuatori. Semafori, parcheggi, mezzi pubblici, macchine-che-si-guidano-da-sole, tutta l’infrastruttura del movimento sarà ricattabile dai pirati. A quanto potrebbe ammontare la richiesta di riscatto per la restituzione dei dati sugli spostamenti di un’intera città? Sembra già la domanda di un Jocker uscito dai fumetti di Batman – materiale ad elevato rischio tra le mani di un nerd. Domenica 27 novembre Deutsche Telekom sembra aver subito le prove generali di un attacco con dimensioni nazionali. 900 router si sono spenti, lasciando intere città senza accesso ad internet, alla rete telefonica, e senza collegamenti televisivi.

Berlino, Francoforte, Amburgo, la Ruhr e la Westfalia, sono rimaste isolate – almeno dal punto di vista della società dell’informazione. Solo lunedì mattina un programma di riavvio ha permesso di ripristinare il servizio. Ma non è ancora chiaro nemmeno quale sia il tipo di router che è rimasto vittima dell’assalto. L’unico consiglio che la Telekom ha diramato alle famiglie tedesche, dopo ore di buio, ricalca senza eccezioni il più vecchio metodo di riparazione dell’età dei computer: staccare la spina del router, aspettate qualche secondo, poi riavviare. Togli la cera, metti la cera: nulla che Karate Kid non sapesse già fare, da solo, nel 1984. Speriamo che nel frattempo sia cresciuto, perché i bulli si sono trasferiti sul web, e la loro aggressività può produrre conseguenze molto più gravi di una scazzottata tra ragazzi.

Juan Buis di TheNextWeb suggerisce che la procedura applicata dai pirati informatici mima quelle descritte nella serie tv Mr. Robot, e ora anche nell’ultima versione del videogioco Watch Dog, arrivato alla seconda stagione. In entrambi i casi, l’effetto di suspense si carica con la focalizzazione degli atti terroristici sui servizi pubblici. Nel Settecento, autori come George Cheyne accusavano i romanzi di concorrere alla diffusione di malattie nervose tra le donne. La moda di leggere libri intessuti di avventure, e di sentimentalismo, rendeva il mondo troppo complesso per la fisiologia femminile – almeno quanto il consumo di caffè, di tè e di tabacco. Isteria e suicidi erano conseguenze ineluttabili di queste cattive abitudini. L’affabulazione di serie e giochi, cui si sottopongono i nerd (e non solo loro) dei nostri giorni, degenera invece in una discrasia collettiva, che colpisce macchine, uomini e donne, sulla base della loro propensione a frequentare metrò e autobus. La migrazione della complessità del mondo da Daniel Defoe a Facebook, ha fatto scivolare i disordini dalla morale dell’individuo, all’infrastruttura comunale degli spostamenti in città.

[Fotografia in apertura Getty Images]

Altri articoli che potrebbero interessarti