Dai trend di “settore”, questo sarà l’anno dei RansomWare.
Un laboratorio di security, SafeBreach, ha scoperto che recenti codici ransomware adottano EFS, una componente degli OS Windows, per fare il loro sporco lavoro.
EFS, Encrypting File System è una funzione del sistema operativo, introdotta sin da Windows 2000, che consente di cifrare files e cartelle semplicemente ed in maniera trasparente per l’utente; tutto questo avviene a livello di driver NTFS.
I ricercatori di SafeBreach si sono accorti che nuovi malware EFS hanno adottato EFS per cifrare i files della macchina oggetto di attacco; purtroppo questo può essere portato a termine anche in assenza di credenziali “administrator” e senza alcuna interazione con l’utente.
Microsoft deve rivedere da zero tutto il framework concettuale di Windows relativo alla sicurezza, in quanto non è accettabile che codici avviati senza privilegi amministrativi possano creare chiavi di cifratura, cifrare documenti e cartelle, rimuovere le chiavi usate e ripulire a modo memoria e filesystem per evitare il recovery dei dati senza che il sistema operativo “batta ciglio”.
Anche gli antivirus, persino i più basonati, mostrano i loro limiti nel proteggere il sistema e i dati degli utenti; l’approccio “signature-based” ha fatto il suo tempo, e le soluzioni “heuristic-based”, pur essendo più promettenti, non possono risolvere alla radice il problema.
Ormai un “antivirus” si è trasformato in un “pacchetto security” complesso e mastodontico che ha decine di funzioni di sicurezza, stravolge in modo pesantissimo il funzionamento del sistema operativo e dei software applicativi, arrivando persino a regolamentare l’accesso a webcam e microfoni.
Occorrerà riprogettare, da zero, le logiche di funzionamento di qualunque sistema operativo, specialmente quelli degli smartphones, per renderli meno proni ad attacchi da malware.