Tempestività per sopravvivere

Sicurezza

A volte l’improvvisazione e la tempestività giocano un ruolo fondamentale nel recuperare situazioni ormai critiche

La storia è una di quelle vissute in diretta e solo oggi alla luce delle ultime comunicazioni provenienti dalle varie società di antivirus rende effettivamente idea del rischio corso. Il giorno era uno di quelli lavorativi qualsiasi, senza particolari problemi e/o picchi di attività insolite. Insomma un giorno di routine, almeno fin verso le 16.30 del pomeriggio quando hanno iniziato ad arrivare le segnalazioni dei primi problemi di rallentamento e di blocco della posta. Poiché il blocco della posta risultava una tra le chiamate di assistenza classiche e considerato il numero ridotto di allarmi, si è pensato come prima cosa a un problema sul server. Poiché i primi controlli sul server di posta hanno dato esito negativo, mentre le segnalazioni di malfunzionamenti continuavano ad aumentare, si è immediatamente pensato all’azione di un virus. In effetti i segnali erano abbastanza eloquenti. La posta notoriamente è uno dei primi servizi a essere interessati dai virus, sia come veicolo d’infezione grazie agli allegati, sia come vera e propria testa di ponte da parte di virus che lo utilizzano per autoinviarsi agli indirizzi contenuti nella rubrica. Inoltre, il costante aumento delle segnalazioni ricordava troppo da vicino il diffondersi di un contagio. Tutti i sistemi aziendali erano ovviamente protetti da un antivirus costantemente aggiornato ma che purtroppo rientrava nell’elenco di quelli disattivati dal virus. Prima linea Esclusi quindi i problemi sul server si è deciso d’intervenire direttamente sulle singole macchine. A un primo controllo effettivamente i programmi di posta risultavano ‘congelati’ e non reagivano. Una volta chiusi impiegavano tempi lunghissimi per riprendere a essere operativi, oppure si rifiutavano di partire. Come prima azione si è quindi deciso di utilizzare l’antivirus installato localmente per effettuarne un aggiornamento dell’ultimo minuto, e quindi provare ad effettuare una scansione dellle macchine. E’ stato a questo punto che i dubbi si sono immediatamente dissolti e si è capito che ci si trovava davanti a un attacco virale in piena regola, che in alcuni punti era già riuscito a superare gli argini. Poiché l’arma principale a disposizione per simili evenienze era stata messa fuori uso si è cercato di individuare le tracce lasciate dal virus per cercare di bloccarne l’azione. Come prima cosa, poiché si è rilevato un aumento massiccio del traffico in uscita su Internet si è provveduto immediatamente a interrompere il flusso proveniente dal server di posta. Successivamente si è provato a disinstallare e a reinstallare il programma antivirus, anche in modalità provvisoria e con disco d’avvio di emergenza. Purtroppo in tutti i casi descritti il programma antivirus veniva immediatamente reso inutilizzabile dal virus. La situazione era in fase di stallo. E’ stato in quel preciso momento che sono stati abbandonati i rigidi schemi che normalmente guidano la routine di risposta alle emergenze, e si sono attivate una serie di procedure parallele e comprendenti una buona percentuale di iniziativa personale. I diversi soggetti coinvolti si sono quindi suddivisi in attività di ricerca su Internet volta all’individuazione di segnalazioni relative al virus incontrato. Bollettini, forum, siti delle organizzazioni di sicurezza e dei produttori di virus sono stati battuti a tappeto alla ricerca di segnalazioni che combaciassero con i dati raccolti fino a quel momento. Altri invece hanno preferito concentrarsi sull’individuazione di strumenti antivirus alternativi che risultassero immuni all’azione del virus. L’opera di individuare strumenti alternativi si è rivelata particolarmente difficile in quanto, come appreso in seguito, il numero di antivirus e strumenti di protezioni inattivati dal virus era veramente elevato. Comunque la soluzione è arrivata proprio dalla ricerca di strumenti alternativi, che hanno condotto all’individuazione di un prodotto non contemplato dal virus, il quale invece veniva rilevato (anche se con nome differente) e, in qualche modo, neutralizzato dall’antivirus. Il prodotto in questione meriterebbe di essere menzionato, ma lo scopo di questo articolo è solo quello di illustrare una possibile procedura d’intervento a fronte di un’emergenza difficilmente schematizzabile. In ogni caso, l’installazione della versione demo del prodotto alternativo individuato ha permesso di ‘bonificare’ tutti i sistemi locali colpiti dal virus e recuperare la situazione in sole 4 ore dall’apertura dell’emergenza. Solo tre giorni dopo nella casella postale è stato ricevuto il bollettino che finalmente dava un nome al nemico invisibile: Name: Nyxem.e Alias: Email-Worm.Win32.Nyxem.e Size: 95744 Category: Virus Platform: Win32 Date of Discovery: January 20, 2006 Conclusione Spesso la tempestività e l’iniziativa possono recuperare situazioni pesantemente compromesse.La prima regola è sempre quella di non farsi prendere dal panico. Perdere la lucidità in momenti di crisi copre anche le evidenze più ovvie e inibisce il processo d’improvvisazione. Potrà sembrare strano parlare d’improvvisazione in ambienti dove vige la regola della precisione e della metodica ma spesso, di fronte a eventi inattesi può essere utile ricorrere a comportamenti inusuali. Un’altra linea di condotta che può portare a dei risultati è quella di suddividere le forze conducendo parallelamente diversi tentativi di soluzione.

Autore: ITespresso
Clicca per leggere la biografia dell'autore  Clicca per nascondere la biografia dell'autore