Un noto ricercatore e youtuber, Eric Parker, ha voluto fare un esperimento: ha collegato direttamente alla rete Internet due sistemi Windows XP e Windows 2000 per verificare dopo quanto tempo sarebbero stati infettati. Nei suoi due video, Parker ha messo in evidenza che ci sono voluti appena 10 minuti perché entrambe le macchine, isolate dal resto della rete utilizzando una configurazione Proxmox, fossero aggredite da più esemplari di malware e aggiunti a botnet di vario genere.
All’inizio degli anni 2000 una larga parte di utenti si collegava direttamente alla rete Internet: le porte di comunicazione erano direttamente esposte e l’unico componente utilizzato per proteggere il sistema era il firewall di Windows, oltre all’antivirus installato sulla macchina.
Worm come Blaster e Sasser (nel 2003-2004) fecero aprire gli occhi sull’importanza dell’installazione delle patch di sicurezza Microsoft e sulla necessità di difendere i singoli sistemi in maniera più efficace.
Perché un test effettuato nel 2024 con Windows XP e Windows 2000 ha poco senso
Da quei primi anni 2000, le cose oggi sono molto cambiate. I sistemi non sono più collegati direttamente alla rete Internet ma fanno parte di una LAN, gestita servendosi di un router dotato di funzionalità NAT (Network Address Translation). Il singolo sistema non è più raggiungibile da qualunque host remoto usando un IP pubblico. L’IP pubblico è generalmente assegnato alla porta WAN del router quindi, usando la funzionalità NAT, i singoli pacchetti dati sono trasferiti da e verso i dispositivi collegati in rete locale.
Nel caso di Windows XP e Windows 2000, collegare direttamente questi sistemi alla rete Internet, peraltro lasciando disattivati sia firewall di sistema che antivirus è davvero un “invito a nozze” per i bot che scansionano continuamente gruppi di IP pubblici e vanno alla ricerca di host da aggredire.
Inoltre, Windows XP e Windows 2000 sono sistemi non più supportati da anni: Microsoft non rilascia più alcun tipo di aggiornamento di sicurezza per queste macchine. Nei video di Parker si vede chiaramente come il ricercatore esponga le due piattaforme “tal quali”, così come si presentano dopo un’installazione da zero. La mancata applicazione di qualsiasi patch di sicurezza complica ovviamente le cose perché gli aggressori remoti possono sfruttare vulnerabilità vecchissime per far breccia nei sistemi, caricando ed eseguendo codice dannoso.
In questo video il comportamento di Windows 2000 connesso a Internet nel 2024. In quest’altro contenuto, cosa succede a una macchina Windows XP con le porte di comunicazione pubblicamente esposte.
Non c’è bisogno di scomodare Windows XP e Windows 2000: anche Windows 10, Windows 11 e le ultime versioni di Windows Server vanno protette
Le macchine collegate direttamente alla rete Internet sono facilmente individuabili e, spesso, anche attaccabili. Parker si concentra su Windows XP e Windows 2000 ma esistono comunque vulnerabilità di sicurezza che possono essere utilizzate per aggredire le macchine equipaggiate con una versione del sistema operativo molto più recente.
Colleghereste un sistema Windows 10, Windows 11 o Windows Server alla rete Internet in modo diretto, senza firewall attivato e senza installare tutte le patch via via rilasciate da Microsoft? Certamente no.
Gli aspetti da controllare sui sistemi connessi in LAN e sul router
Il test svolto da Parker con Windows XP e Windows 2000 è quindi un esercizio simpatico ma è una situazione davvero estrema. Piuttosto, il fatto che i sistemi siano infettati senza alcuna interazione da parte dell’utente-vittima, dopo appena 10 minuti dalla prima connessione alla rete Internet, dovrebbe esortare gli utenti a tenere presenti alcuni aspetti fondamentali:
- Il NAT in sé non deve essere considerato come una misura di sicurezza. È progettato principalmente per consentire a più dispositivi di condividere un singolo indirizzo IP pubblico, non come meccanismo di sicurezza.
- È essenziale usare invece un router con funzionalità firewall SPI (Stateful Packet Inspection) integrata. Questo componente esamina i pacchetti in entrata e in uscita, tenendo traccia dello stato delle connessioni di rete. Il firewall SPI può rilevare e bloccare diversi tipi di attacchi come tentativi di intrusione, scansioni di porte, attacchi DoS e molto altro, poiché analizza il contesto delle connessioni.
- È bene verificare le porte aperte su router e IP pubblico. Va controllato, ad esempio, che il traffico in ingresso non sia inoltrato verso uno o più sistemi collegati alla rete locale quando non ve ne fosse la reale necessità.
- Assicurarsi di aggiornare i componenti server, installati sui sistemi locali, che devono risultare esposti sulla rete Internet. Ad esempio, se si decidesse di esporre un server Web sulle porte TCP 80 (HTTP) e TCP 443 (HTTPS) aprendole sull’IP pubblico ed effettuando il port forwarding verso una macchina locale, il server Web stesso deve essere aggiornato con tutte le patch di sicurezza e deve usare una configurazione sicura.
- In generale, è opportuno disattivare il supporto UPnP (Universal Plug and Play) sul router per evitare l’apertura di porte in ingresso, talvolta all’insaputa dell’utente, da parte di applicazioni e dispositivi collegati in rete locale.
La questione delle patch di sicurezza Microsoft
Il secondo martedì di ogni mese, Microsoft rilascia un insieme più o meno ampio di correzioni di sicurezza, altrimenti note come aggiornamenti qualitativi. Talvolta, alcune patch mettono una pezza a problematiche considerate wormable: sono cioè sfruttabili a distanza, quando fosse lasciata una porta aperta esposta sull’indirizzo IP pubblico.
In questi casi è essenziale agire tempestivamente e installare le patch correttive. Se non si utilizzasse il servizio vulnerabile o comunque non si esponesse alcuna porta in rete, allora ci si può muovere con maggiore tranquillità, prendendosi un po’ di tempo in più.
Credit immagine in apertura: iStock.com – CASEZY