Non è certo una novità: quando un malware va in esecuzione su un PC Windows, una workstation, un server, significa che ai vari livelli – dagli amministratori IT fino all’utente finale – si sono commessi errori imperdonabili. Abbiamo visto come nasce un attacco informatico e come, ad esempio, i ransomware riescano a diffondersi sfruttando proprio una serie di lacune sul piano della sicurezza informatica.
Il malware che riesce a farsi strada su un sistema Windows, solitamente effettua una serie di verifiche sulla configurazione dell’ambiente in uso. I criminali informatici desiderano infatti, nella stragrande maggioranza dei casi e soprattutto negli attacchi che prendono di mira professionisti e aziende, fare meno rumore possibile. L’obiettivo è, evidentemente, penetrare all’interno dell’infrastruttura aziendale aprendosi un varco dall’esterno, per giorni, settimane o ancora più tempo.
Un punto fermo: per un Windows sicuro e una rete a prova di attacco non ci sono scorciatoie
Come evidenziato nell’articolo che abbiamo citato in apertura, un attacco malware che va a buon fine rappresenta un grave fallimento per i responsabili della sicurezza informatica.
Partiamo quindi con l’evidenziare che non ci sono scorciatoie e scappatoie per proteggere Windows e gli altri sistemi collegati in rete locale. Nel contesto attuale, in cui le minacce informatiche sono in costante evoluzione, adottare misure efficaci è fondamentale per garantire la sicurezza e la continuità operativa.
Una configurazione accurata dei permessi degli account è il primo passo: assegnare diritti amministrativi solo a chi realmente ne ha bisogno limita il rischio di accessi non autorizzati e modifiche dannose.
La condivisione delle risorse in rete deve essere gestita con rigore, permettendo agli utenti di accedere solo alle informazioni necessarie per il loro ruolo, specialmente quando si utilizzano connessioni VPN.
Implementare una solida strategia di backup è cruciale per difendersi dagli attacchi ransomware e altre minacce. La regola del “3-2-1” (tre copie dei dati, su due dispositivi diversi, con una copia offsite) assicura la disponibilità e l’integrità dei dati anche in caso di incidenti informatici.
Monitorare costantemente l’aggiornamento di sistemi e software, applicando tempestivamente le patch di sicurezza riduce la superficie di attacco e previene tentativi di sfruttamento delle vulnerabilità critiche. Strumenti di asset discovery e vulnerability scanning sono indispensabili per identificare e risolvere rapidamente le falle di sicurezza.
Una revisione periodica della struttura della rete aziendale aiuta a individuare e mitigare i punti deboli. Segmentare la rete e isolare i sistemi più critici minimizza i rischi di propagazione in caso di violazioni.
La gestione delle password, poi, deve essere rigorosa: richiedere l’utilizzo di password forti, cambiarle frequentemente e vietare il riutilizzo aumenta significativamente la sicurezza. Infine, attivare l’autenticazione a due fattori (2FA) per le risorse critiche aggiunge un ulteriore livello di sicurezza.
Cyber Scarecrow propone un trucco che può salvare i sistemi dagli attacchi malware. C’è da fidarsi?
Un gruppo di ricercatori ha presentato un software un po’ fuori dal comune: si chiama Cyber Scarecrow e si propone come una sorta di “ultima ancora di salvezza” nei confronti di un ampio ventaglio di malware.
Non si tratta di un antivirus ma di un programma che implementa in Windows una serie di trucchi per prevenire qualunque azione da parte di componenti dannosi eventualmente in esecuzione sul sistema.
Quando una minaccia informatica va in esecuzione su un sistema Windows, di solito verifica se possa eseguire “in sicurezza” una serie di operazioni. Rilevando la presenza di specifiche soluzioni antimalware o, ad esempio, l’utilizzo di container e macchine virtuali (ambienti di test ampiamente utilizzati anche dagli esperti di cybersecurity), moltissimi malware e ransomware si astengono dal proseguire con le attività di infezione. Questo, evidentemente, per evitare di far suonare campanelli d’allarme.
Qual è l’idea alla base del programma
Cyber Scarecrow è un software progettato per creare falsi indicatori che possano attestare la presenza di strumenti per la sicurezza su un computer Windows. Il programma, una volta eseguito, opera silenziosamente in background, generando falsi processi e voci di registro che imitano i comportamenti di alcuni tra i più famosi software di sicurezza.
I processi posti in esecuzione non eseguono alcuna funzione reale, ma ingannano il malware facendo credere che il sistema sia attivamente monitorato. Allo stesso modo, l’inserimento di alcuni voci strategiche, altrettanto fittizie, nel registro di sistema di Windows, permette di raggirare il software malevolo dissuadendolo dall’entrare effettivamente in esecuzione.
Il programma è ancora in fase “alpha”, ma il team di sviluppo si dice al lavoro per migliorare l’efficacia degli indicatori fittizi e rendere la configurazione del sistema sempre più convincente.
C’è un problema di fiducia
Di Cyber Scarecrow si sta parlando molto in questi giorni. Il problema è che gli autori del software non hanno investito sul concetto di fiducia. Quando si sviluppa un software, soprattutto se svolge funzionalità di prevenzione nel campo della sicurezza informatica, la trasparenza è tutto.
Invece, allo stato attuale, sul sito Web di Cyber Scarecrow non ci sono riferimenti espliciti ai nomi degli autori. Anche un’interrogazione WHOIS sul nome del dominio non restituisce informazioni utili. Il programma, poi, al momento in cui scriviamo è a sorgente chiuso e non esiste alcun repository GitHub che consenta di verificarne puntualmente il funzionamento.
Il concetto di security through obscurity nel campo della sicurezza informatica dovrebbe ormai essere morto e sepolto: per un software come Cyber Scarecrow, proprio per le sue caratteristiche, il sorgente dovrebbe essere palese affinché chiunque possa esaminarlo. Per non parlare del fatto che manca un certificato digitale in grado di attestare, ancora una volta, l’identità degli sviluppatori.
Per il momento, quindi, fintanto che gli sviluppatori di Cyber Scarecrow non avranno risolto “il neo” della fiducia, è sconsigliabile installare l’applicazione.
I trucchi restano trucchi
Cyber Scarecrow non è neppure il primo software nella sua categoria: Fake Sandbox Artifacts, per esempio, utilizza un approccio molto simile. Il codice sorgente, tuttavia, è pubblicamente disponibile su GitHub e le varie funzionalità sono attivabili attraverso uno script Python di facile comprensione.
Sebbene gli autori di Cyber Scarecrow sostengano che i test effettuati siano incoraggianti (la maggior parte dei malware cadrebbe nella trappola tesa dal software), va detto che i criminali informatici sono spesso particolarmente abili nel porre in essere efficaci contromisure.
Senza neppure scomodare la verifica degli hash dei file, si può davvero pensare che un controllo più approfondito sull’ambiente in cui il malware risulta in esecuzione non faccia emergere il “raggiro”? Insomma, i trucchi restano trucchi e nulla può sostituire l’adozione di strumenti evoluti, capaci di contrastare le moderne minacce informatiche. Soprattutto nella loro natura così mutevole.
Credit immagine in apertura: Copilot Designer.