Google I/O 2017: pronto a partire

Il Google I/O 2017 è vicino, presto sapremo tutto sui piani futuri di Big G. Per il 2017 l'azienda di Mountain View ha dato appuntamento agli sviluppatori il 17 maggio alla Silicon Valley: nei tre giorni del Google I/O 2017 saranno organizzati keynote ed eventi che mostreranno i prodotti del futuro di Big G.
Quali saranno le novità di quest'anno? Una delle poche certezze è sicuramente Android O. La nuova versione del sistema operativo mobile è stata già annunciata qualche mese fa e durante il Google I/O 2017 farà il suo debutto ufficiale. Sono attese grandi novità anche per quanto riguarda Fuchsia, il nuovo sistema operativo per computer che dovrebbe andare a sostituire ChromeOS (e forse in futuro anche Android). Per quanto riguarda i nuovi prodotti, Big G potrebbe presentare al Google I/O 2017 una nuova versione di Google Home, l'assistente domestico lanciato lo scorso autunno. Con Apple pronta a lanciare Siri Speaker e Amazon che ha presentato Echo Show, Google potrebbe lanciare il Google Home 2.0 che integra uno schermo touch per interagire con le applicazioni per la smart home. Altre novità potrebbero riguardare anche la realtà aumentata e la realtà virtuale. La piattaforma DayDream VR è stata lanciata nell'autunno del 2016 e ancora non riesce a decollare: Google potrebbe avere in serbo delle novità legate soprattutto alla compatibilità con gli altri smartphone e nuovi contenuti disponibili sul Google Play Store. Inoltre, potrebbero esserci delle novità anche su Project Tango, il progetto di Google per portare la realtà aumentata all'interno degli smartphone.

WannaCry: un micidiale ibrido tra ransomware e worm. Ecco come difendersi

WannaCry è un virus informatico capace di propagarsi in oltre centocinquanta paesi e trecentomila sistemi. Si tratta di un ransomware (un semplice ransomware si diffonde attraverso un link per accedere a un file infetto, o semplicemente aprendolo direttamente come allegato a una e-mail) con funzioni da worm. In pratica, un malware di quelli che crittano i dati del computer della vittima, e li sbloccano solo previo pagamento di una certa cifra, ma con in più la capacità di diffondersi su altri sistemi in perfetta autonomia, sfruttando una rete a cui sono collegati — anche offline.
WannaCry, conosciuto anche coi nomi di WannaCrypt, WCry, WanaCrypt0r o WCRY, all’inizio sfrutta un'azione simile. Un file da aprire, in genere un PDF, che avvia il funzionamento di un dropper, cioè un piccolo programma contenuto nel file stesso che ha la funzione di scaricare e installare il malware vero e proprio.  Dovete sapere, infatti, che malware così complessi hanno in genere dimensioni e caratteristiche tali da venire beccati subito dai software antivirus, mentre un piccolo dropper spesso e volentieri passa indenne i controlli. E una volta eseguito installa la minaccia informatica. Figuriamoci in quei sistemi che di antivirus non ne hanno. Il dropper di WannaCry contiene, essenzialmente, due componenti. Il primo è il ransomware vero e proprio, mentre il secondo, e qui sta la novità, è a sua volta un piccolo software che cerca in altri computer la vulnerabilità di tipo CVE-2017-0145.
La vulnerabilità non è altro che un errore di programmazione, in questo caso nei sistemi operativi Windows, che se sfruttato da criminali informatici può portare a guai seri. Nella fattispecie, l’errore riguarda il Server Message Block, vale a dire una tecnologia utilizzata per condividere file, periferiche e collegamenti tra computer diversi.
Tornando al dropper, questo, una volta attivato, sfrutta la funzione InternetOpenUrl() per tentare un collegamento a uno di due domini:
www[.]iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com
www[.]ifferfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com
Si tratta di due domini fino a qualche giorno fa inesistenti, digitati forse a casaccio da chi ha realizzato il malware, per inserirvi, probabilmente, una certa forma di controllo. Infatti, se la connessione con uno di questi indirizzi va a buon fine, il dropper si blocca, di fatto non infettando la macchina né propagando la minaccia. Se, al contrario, la connessione non va a buon fine, come avveniva poiché gli indirizzi erano inventati e non esistevano, l’infezione procede. È su questo principio che, qualche giorno fa, un ricercatore ventiduenne di MalwareTech è riuscito a limitare la diffusione di WannaCry: ha registrato quei domini farlocchi, facendo in modo che la connessione col dropper andasse a buon fine, bloccando la diffusione della minaccia su un gran numero di sistemi.

Se l’infezione procede, il malware crea un “servizio” di Windows con lo scopo di attivare l’exploit della vulnerabilità in altri sistemi collegati a quel computer. Il componente dedicato al ransomware, dal canto suo, sta in un piccolo file .zip, protetto da password, che contiene il cuore della minaccia: le funzioni per crittare (e quindi rendere inservibili) i file, quelle per decrittarli se si paga, il messaggio da visualizzare all’utente per chiedere il riscatto, e tutto ciò che dà vita alla minaccia informatica. A questo punto, come succede spesso coi malware, WannaCry crea due chiavi nel registro di Windows e, sempre sfruttando quest’ultimo, sostituisce il wallpaper del sistema operativo con un’immagine del messaggio iniziale del ransomware. Inoltre, copia nel sistema nutrita serie di file tra cui quelli coi messaggi tradotti in varie lingue (c’è anche l’italiano).
Dopo altre operazioniil virus passa a codificare i file del sistema, aggiungendo a questi l’estensione WNCRY. Poi elimina le “shadow copy” dei file, se presenti (era uno dei metodi per ripristinare i file codificati da vecchie generazioni di ransomware, senza pagare alcun riscatto). Quindi avvia un eseguibile che mostra il messaggio principale, ricco di dettagli e istruzioni per il pagamento, perfino tradotto nella lingua di pertinenza.