ATTENZIONE:

Questo post è stato scritto da una persona che non ha capito proprio tutto ciò che è successo, quindi non andare a vedere i dettagli o aspettarti totale precisione nella spiegazione. Solitamente siamo contrari a questo approccio approssimativo, ma è stata una settimana difficile e volevamo soltanto condividere un po’ delle difficoltà che un progetto del genere può trovarsi ad affrontare.

Ogni dispositivo connesso è vulnerabile

Proprio come per le notizie dal mondo, tendiamo a pensare: “Naah, a me non può succedere” o “È lontano, le cose qui son diverse“. Ma quando si parla di tecnologia, nessuno è realmente al sicuro.

L’abbiamo visto succedere continuamente: ti cade il telefono nel cesso, fai click su di un link in una mail strana, compri un pc con Windows senza firewall (sì, XP, non dimenticheremo mai quella mossa del Service Pack 2), e di colpo l’intero contenuti del tuo dispositivo è andato.

Non c’è un modo semplice per dirlo: se un oggetto è connesso a internet, può essere un obiettivo.

Quando si aveva soltanto un pc per connettersi, il nostro pensiero era: “cosa potrebbero rubarmi? Ho solo dei documenti tristi e delle poesie, sul computer“. Ma ora che i nostri telefoni ci conoscono meglio di quanto ci conosciamo noi, essere un potenziale bersaglio fa molta più paura (giustamente, tra l’altro).

A cadenza costante si sente parlare di violazione di dati sensibili e ci viene detto di cambiare le nostre password (cosa che dovresti fare sempre, anche se nessuno te lo dice. E non usare la stessa password su più siti, usa un password manager come Bitwarden. Non è una pubblicità, è l’ennesimo splendido software libero).

Ma perché chiunque dovrebbe preoccuparsi di sicurezza online (ed etichetta… che ha anche un nome preciso: netiquette! Non è carino?!) invece di demandarla agli “smanettoni”?

Le ragioni precipue sono:

• non sai mai (e credici se diciamo che non vuoi saperlo) cosa certe persone possano fare coi tuoi dati: foto, video e informazioni personali;
• quando non si prendono precauzioni, si rende il lavoro di chi è professionista del settore, praticamente impossibile, nel bloccare o sistemare al meglio queste falle (e credeteci, l’abbiamo appena visto accadere).

I rifiuti di qualcuno, sono il tesoro di qualcun altro

Il tuo telefono contiene foto personali e anche se viviamo nell’era degl’infiniti stream video e delle condivisioni d’immagini, non ci mette a nostro agio il sapere che una persona sconosciuta possegga i nostri contenuti privati; che siano cose intime o sensibili (dalle foto di nudo alle password della banca).

Ma negli ultimi mesi abbiamo imparato nel peggiore dei modi che anche se pensi di non avere nulla di valore sul tuo computer, non significa che tu sia al sicuro, o che non finirai per avere qualcosa di valore in futuro.

Nonostante il panico di non sapere cosa stesse succedendo al nostro sito sia una sensazione che non scorderemo mai, ora che abbiamo evitato il secondo colpo ed eliminato il problema alla radice, possiamo almeno sentirci sollevati sapendo che questi due attacchi siano arrivati prima che la gente s’iscrivesse al sito. Altrimenti sarebbe stato davvero molto più difficile intervenire e tenervi al sicuro.

Una grande lezione che c’hanno impartito questi attacchi è che il tempo è fondamentale:

• non appena noti qualcosa di strano, capisci cosa sia e sistemalo;
• il malware può restare lì dormiente per mesi, ma una volta attivato, è quasi inarrestabile

Che è successo?

In ottobre ci siamo ritrovati la temibile “pagina bianca della morte” di WordPress, mentre cercavamo di entrare in alcune aree del sito. Abbiamo analizzato, disabilitato qualche plugin, cancellato la cache e provato ogni soluzione si possa trovare online, ma nulla ha funzionato.

Quindi abbiamo installato una versione pro del firewall e dell’antimalware, che ci ha segnalato centinaia di file infetti. Troppi per essere controllati a mani, quindi abbiamo deciso di cancellare tutto e re-installare un vecchio backup (che, per fortuna (quasi) avevamo).

La scorsa settimana abbiamo notato comportamenti anomali nell’accedere alla pagina dei plugin e all’editor del tema; ma abbiamo pensato: “non può essere. Ci siamo appena spostati sui server di Cloud68.co. Loro sono sicuri e tecnicamente capaci“. Ed è vero, loro lo sono; ma noi no.

Si scopre che il nostro backup “pulito” non era poi così pulito. Due file infetti sono rimasti inerti, in attesa di diffondersi in ogni file che veniva aperto o modificato. Negli ultimi mesi, senza saperlo, abbiamo aiutato il malware a diffondersi.

La scorsa settimana lo staff di Cloud68.co ci ha aiutati a comprendere cosa fosse successo.
Spieghiamolo:

• il nostro vecchio provider era economico ma intrinsecamente non sicuro. Ci permetteva di fare quel che volevamo sui server (cosa buona e giusta) finché non abbiamo subito l’attacco. Quando è accaduto, eravamo gli unici colpevoli e non c’era molto che loro potessero fare.
• il nostro nuovo provider costa di più, ma è molto più sicuro. Perciò quando abbiamo fatto la migrazione, eravamo certi non sarebbero entrati nuovi malware… peccato che ce ne fossero di vecchi già dentro al nostro sito. Il loro sistema di sicurezza ha potuto notare il problema quando il malware ha tentato di uscire dal nostro sito

Stesso problema, stessa soluzione… ma forse più intelligente

Quando i superfighi di Cloud68.co ci hanno inviato una lista di file infetti, il nostro sviluppatore ha temuto ci sarebbero voluti mesi per sistemare tutto. Ma dopo un paio d’ore ha cambiato il verdetto in “mai“.

Assorbito il colpo abbiamo deciso di tentare una versione più intelligente della nostra soluzione precedente: se fosse stato possibile individuare il malware sul nascere, avremmo potuto reinstallare il vecchio backup ma questa volta intervenendo e rimuovendo i pochi file infetti e dormienti, prima che potessero infettare tutto.

Nel week-end abbiamo messo in atto questo piano e il lunedì abbiamo finalmente rimosso i due file che hanno causato questo casino.

D’ora in poi faremo del nostro meglio per prevenire problemi futuri:

• faremo attenzione a potenziali brecce nel sistema;
• creeremo backup frequenti per avere sempre una versione aggiornata disponibile (fai subito il backup del tuo smartphone! Non si sa mai)
• collaboreremo strettamente con Cloud68.co per monitorare qualsiasi cosa sospetta e intervenire quando necessario

Non possiamo promettere che questo non accadrà mai più (nuovi virus vengono creati giornalmente), ma possiamo promettervi che abbiamo imparato la lezione; e lavoreremo più che potremo per proteggere la nostra piattaforma e chi ne farà parte.

Pubblicato: 12 febbraio 2025