Ultimo aggiornamento: 2021/07/04 11:10.
Da alcuni giorni, chiunque abbia un disco rigido esterno My Book Live o My Book Live Duo della Western Digital sta sudando freddo. Qualcuno, non si sa bene chi, sta prendendo il controllo via Internet di questi dischi e li sta azzerando (facendo un factory reset da remoto).
Visto che questi dischi rigidi vengono usati per conservare grandi quantità di dati, per molti utenti il risultato è catastrofico: perdita di tutti i documenti digitali, di tutte le foto e i video di famiglia, di tutta la musica e altro ancora.
Fra gli utenti che stanno sudando freddo ci sono stato anch’io, visto che ho ancora un paio di questi dischi e li uso come archivi temporanei (circa 9 terabyte in tutto, spesso piuttosto pienotti).
Il consiglio di Western Digital è stato molto drastico: scollegare immediatamente questi dischi da Internet. Punto. Si tratta infatti di dischi rigidi dotati di porta Ethernet al posto delle consuete porte USB, che si collegano alla rete locale e fanno da archivio condiviso per tutti i dispositivi presenti sulla rete. Possono essere configurati in modo da affacciarsi a Internet e quindi essere consultabili o gestiti via Internet, a patto di conoscerne la password di amministrazione. Ma qualcuno ha trovato il modo di scavalcare questa protezione e devastarli. Brrr.
L’azienda precisa che il problema riguarda soltanto i suoi dischi della serie My Book Live e non i suoi prodotti successivi. Aggiunge inoltre che non fornirà aggiornamenti che correggano le due falle software (CVE-2018-18472 e CVE-2021-35941) che consentono queste cancellazioni di massa. Noterete che una di queste falle è nota dal 2018; fra l’altro, colpisce anche alcuni modelli di altre marche, come NetGear, SeaGate e Medion.
In alcuni casi, Western Digital offrirà a chi ha perso dati dei servizi gratuiti di recupero dati e degli sconti di permuta (trade-in) con altri dischi rigidi analoghi più recenti. L’azienda fa notare che i dischi vulnerabili sono stati messi sul mercato nel 2010 e hanno ricevuto il loro ultimo aggiornamento firmware nel 2015. In altre parole, sono obsoleti e non più supportati.
L’unico rimedio per chi, come me, ha ancora questi dischi è isolarli da Internet, impostandoli in modo che non siano accessibili da fuori della rete locale (niente port forwarding o simili). Questo non protegge da eventuali attacchi locali (o anche remoti, messi a segno attaccando prima qualche altro dispositivo che faccia da testa di ponte sulla rete locale), ma è meglio di niente. E ovviamente conviene fare una copia di scorta (fisicamente isolata) dei dati presenti su questi dischi.
La tecnica di attacco è stata scoperta: l’aggressore trova un disco rigido My Book Live accessibile via Internet (con un port scanning) e usa una delle due vulnerabilità per scavalcare la password e installare un trojan, mentre l’altra vulnerabilità viene usata successivamente per azzerare il disco tramite uno script.
Sappiamo anche che la falla che consente di eseguire l’azzeramento senza digitare password è colpa di Western Digital: infatti uno dei suoi sviluppatori ha commentato via le righe di codice che proteggevano con la password il comando di reset. Un errore madornale e imperdonabile.
Quello che resta da capire è chi abbia scatenato questo attacco, e soprattutto perché: manca infatti un movente. Non viene chiesto un pagamento, non vengono sottratti dati. È pura e semplice distruzione, una cosa rara in questi tempi di attacchi informatici motivati sistematicamente dal denaro.
Una teoria è che le vittime di questi attacchi si siano trovate coinvolte in una lotta fra due gruppi di criminali informatici che si contendevano il controllo di questi dischi rigidi. Uno dei gruppi, secondo questa teoria, aveva preso il controllo di un grande numero di dispositivi My Book Live per trasformarli in una botnet (un esercito di dispositivi comandabili a distanza e usabili per altri attacchi). L’altro gruppo avrebbe cercato di rubare il controllo di questa botnet.
Ars Technica approfondisce gli aspetti tecnici di questa teoria, se volete saperne di più. Quello che conta è che quel disco rigido che molti di noi tengono sulla scrivania, silenzioso e apparentemente innocuo, è in realtà un probabile teatro di guerra fra bande informatiche rivali.
Nessun commento:
Posta un commento