“Io, da cacciatore di malware a eroe per caso”
Ha indirizzato il “baco” su un server interrompendone la diffusione
Eroe
per caso lo definisce il Guardian . È l’esperto in cybersecurity: ha 22 anni, vive con in genitori nel sud-ovest dell’Inghilterra e lavora per Kryptos logic; accidentalmente, ha rallentato la propagazione di Wannacry). Di lui non si conosce ancora l’identità reale, ma ieri alle 14 il suo account twitter personale
@Malwar eT echBlogav eva totalizzato quasi 30 mila follower e il suo blog era talmente preso d’assalto che ha dovuto scrivere: “Ok, il mio server non ce la fa a reggere tutto questo traffico, datemi un po’ di respiro”. Come ha fatto a bloc- care la diffusione del “b aco”? Lo spiega proprio sul blog in un articolo dal titolo “Come bloccare accidentalmente un attacco informatico globale”.
“Finalmente trovo il tempo di scrivere la mia ricostruzione dei fatti di venerdì scorso, che poi era il quinto giorno della mia settimana di vacanza”. Alle 10 si sveglia ed entra su una piattaforma inglese online dedicata alle minacce informatiche, il suo pane quotidiano. Non c’è niente di eccitante, quindi va a pranzo con un amico. Quando torna al suo computer, verso le 2.30, l’attacco è in pieno svolgimento e gli è subito chiaro che l’impatto è considerevole. Con l’aiuto di un collega (nickname Kafeine) si procura una copia del codice. Nota un dominio internet non registrato, una sequenza illogica di lettere che vale la pena riportare peri posteri: www. iuqe rf sodp9ifjaposdfjh go surij fa ewrwergwea.com ., lo registra immediatamente per 10,69 dollari.
SPICCIOLI, rispetto ai danni che l’attacco sta infliggendo a migliaia di organizzazioni in decine di Paesi, senza contare il totale dei riscatti probabilmente pagati. Ma non si rende conto immediatamente della portata di questa decisione. “Devo confessare che, prima di farlo, non avevo idea che registrare il dominio avrebbe fermato il virus, quindi all’inizio è stato un caso”.
Nel lavoro di cacciatore di malware, spiega sul blog, si segue una procedura standard. Il primo passaggio, dopo la registrazione di un dominio trovato nel malware, è indirizzare il virus a un sinkhole, un server creato proprio per catturare malware e impedire che i responsabili dell’attacco prendano il controllo dei computer infettati. Poi si raccolgono dati sulla distribuzione geografica e sulla portata dell’infezione, anche per poter avvertire le vittime e aiutare le autorità. Infine, si cerca di prendere il controllo del malware e impedirne la diffusione, utilizzando il dominio registrato.
Quello che il nostro eroe non sa è che il primo passaggio, nel caso di Wannacrypt, contiene tutti gli altri. In pratica, quando il virus verifica che il dominio è registrato sblocca il terminale che ha attaccato, indipendentemente dal pagamento o no del riscatto. “Il codice cerca di collegarsi al dominio che abbiamo registrato e se la connessione non funziona ricatta il sistema: se funziona lo lascia”. L’attacco globale, per ora, è stato fermato e il cacciatore di malware chiosa su Twitter: “Quindi ora posso solo aggiungere al mio curriculum: ha fermato per caso un attacco informatico internazionale”.
E poi, sul blog, rivolto a chiunque utilizzi Windows XP e Server 2003, i sistemi operativi vulnerabili per cui Microsoft ha messo a disposizione una soluzione sicura a marzo scorso: “Se avete qualcosa da proteggere, proteggetela. E ora forse è il caso che vada a dormire”.
Il genietto
Ha 22 anni e vive in famiglia, su un blog ha spiegato i passaggi del suo contrattacco