Se dovessimo individuare un solo flagello della sicurezza digitale odierna, quasi tutti punterebbero il dito contro il ransomware. Anche se molti esperti di sicurezza, a varie riprese, hanno sottolineato che le insidie maggiori sono quelle costituite dagli attacchi silenti e di lungo periodo, come quelli APT, il ransomware spaventa perché causa una compromissione immediata e spesso invalidante della business continuity, con una risoluzione che spesso comporta costi insostenibili.

Tutti concordano che la prevenzione sia la principale di difesa. Da una parte si investono tempo e risorse in formazione, dall’altra si supportano le aziende analizzando milioni di righe di codice per individuare Tecniche, Tattiche e Procedure così da scoprire un attacco sul nascere. E magari per scovare qualche piccolo errore dei programmatori del cybercrime, a cui appigliarsi per diffondere decryptor gratuiti.

Non capita spesso, ma quando un ricercatore o un’azienda di cybersecurity scoprono come far tornare le vittime in possesso dei dati cifrati durante un attacco, senza sborsare un centesimo, la gratitudine è garantita, così come gli onori delle cronache e gli attestati di stima. I ricercatori di ESET però si sono posti una domanda: è giusto farlo?

Da un recente workshop europeo è emerso che la risposta non è scontata. Certo, il compito dei “buoni” è aiutare i “buoni”, e distribuire gratuitamente un decryptor è un gesto di indiscutibilmente di supporto alle vittime. Però c’è anche l’altra faccia della medaglia: hackerare un decryptor - che indirettamente significa trovare gli errori nel codice e invertire il processo di crittografia in modo da poter ripristinare i file criptati – aiuta anche i “cattivi” a migliorare il proprio codice e a non commettere più gli stessi errori in futuro.

La questione non è banale: quella della security è una community globale di InfoSec che fa della condivisione la propria forza. Ogni informazione, Indicatore di Compromesso, peculiarità del codice analizzato, viene condivisa pubblicamente. È importante, perché due attacchi a due aziende diverse, in settori e aree geografiche differenti, possono essere ricondotti allo stesso autore grazie alle analogie del codice. Oppure due attacchi con obiettivi differenti (ransomware o spionaggio), ma con lo stesso kit di base, possono far capire le differenti attività di un gruppo criminale.

Tuttavia, ogni volta che i ricercatori annunciano pubblicamente le loro scoperte avviano una sorta di effetto domino. I criminali informatici, veloci, flessibili e reattivi, rimaneggiano a tempo record i propri codici per chiudere le falle e renderli nuovamente inattaccabili. Il risultato è che se da una parte l’attività di ricerca è stata di grande aiuto per le vittime, dall’altra lo è stata anche per gli attaccanti. In altre parole, il debugging dei ransomware è indirettamente e involontariamente un servizio gratuito di testing che l’InfoSec offre agli avversari.

Evolvendo ulteriormente il ragionamento, quest’ultima deduzione comporta l’attuazione di un circolo vizioso in cui la difesa contro gli attaccanti si trasforma in un’arma di attacco per questi ultimi, e i difensori diventano eterni inseguitori. Rischiando di un riuscire a spezzare la catena, quindi di non migliorare la situazione.

Premesso che una soluzione definitiva non esiste e che la condivisione dell’esito del workshop di ESET è stata fatta proprio per sollevare la questione, una proposta pratica c’è: l’approccio misto. ESET ha deciso di aiutare le vittime di ransomware pubblicando i decryptor, ma di non diffondere pubblicamente informazioni su di loro – per esempio relative a com’è stata eseguita la decodifica. Non è un approccio convenzionale, auspica di essere bipartisan: da una parte consentire di poter usare il decryptor il più a lungo possibile. Dall’altra lasciare che gli attaccanti si lambicchino il cervello alla ricerca dell’errore, guadagnando tempo. Non tutta la comunità InfoSec concorderà con questo approccio, la discussione è aperta.