Nel grande archivio dei disastri digitali, alcuni bug si estinguono in silenzio. Altri, invece, tornano — mascherati da catastrofi inevitabili — a ricordarci quanto sottile sia il confine tra stabilità e illusione.
In Bug Archeology torniamo su quei frammenti di codice dove il tempo si è fermato: linee lasciate intatte troppo a lungo e sistemi mantenuti più per fede che per logica.
Questa volta scaviamo nei calendari degli aggiornamenti rimandati, nelle sale server abbandonate al motto “funziona, lascialo stare”.
È il 2017. Un ransomware si diffonde nel mondo come un’epidemia. Non usa magie. Non sfrutta segreti. Colpisce dove nessuno ha avuto voglia di cliccare “riavvia”.
Questa è la storia di WannaCry — e del giorno in cui il passato patchato bussò alla porta, e nessuno rispose.
BUG ARCHEOLOGY – EPISODIO 6
“Those that fail to learn from history are doomed to repeat it”
– Winston Churchill
I. Sintomi di un Venerdì pomeriggio
Quell’attacco arrivò in un momento in cui la mente umana già volgeva altrove, verso il fine settimana. Come se il tempo digitale seguisse ritmi più umani che logici, insegnandoci che la distrazione è spesso la vera porta d’ingresso per il caos.
Gli attacchi non arrivano mai il lunedì mattina, quando sei riposato. No, colpiscono quando sei in modalità birra e “ci pensiamo lunedì”.
E fu in quel momento che WannaCry fece il suo ingresso.
Non bussò. Entrò dalla rete, brutale, meccanico, inevitabile. Criptava i file, mostrava una schermata rossa e chiedeva un riscatto. Una minaccia digitale, sfrontata come una scritta col sangue su un muro.
La vera beffa? Il malware non usava un exploit zero-day. Usava un bug già patchato. Non c’era nessun mistero, nessuna magia arcana, bastava aggiornare. Si trattava di una semplice pigrizia sistemica.
II. Il Bug dimenticato
Al centro di WannaCry c’era EternalBlue, un’arma digitale sviluppata dalla NSA — quella che ama guardare i metadati e chiamarla “sorveglianza passiva”.
Colpiva il vetusto protocollo SMBv1, riparato da Microsoft nel marzo 2017 con la patch MS17-010. Una patch ignorata da molti con la classica e pigra soluzione: “Se funziona, non toccarlo.”
Poi arrivarono gli Shadow Brokers, un gruppo misterioso che pubblicò l’exploit. Qualcuno ci costruì sopra un ransomware. E il resto è storia.
Il risultato? Un’epidemia informatica scritta con il tono di un impiegato esasperato e la precisione di un bisturi digitale.
III. Il worm che si propagava da solo
WannaCry era un ransomworm: un ibrido. Un Frankenstein digitale che non aveva bisogno di click.
Era sufficiente essere sulla rete sbagliata, al momento sbagliato.
Una volta dentro:
- Cifrava i file, come a voler cancellare ogni traccia del passato.
- Bloccava il sistema.
- Chiedeva un riscatto in Bitcoin, la moneta perfetta: anonima, instabile, inafferrabile.
La schermata rossa era chiara: “Paga, o dimentica”.
IV. L’archeologia dell’aggiornamento mancato
Perché WannaCry funzionò così bene?
Perché aggiornare fa paura.
Aggiornare è, in fondo, un atto di fede nel futuro: una promessa che facciamo a un sistema che non vedremo mai perfetto, ma che dobbiamo mantenere vivo per non cedere al lento declino dell’obsolescenza.
E nessuno vuole premere “riavvia” e poi dover spiegare il disastro, soprattutto in azienda:
- “Rompere” il server del ’98 non è il massimo
- I software medicali, le infrastrutture critiche, i macchinari industriali: tutti legati a versioni di Windows che dovrebbero stare in un museo.
Il disastro globale fu causato da una vulnerabilità già nota, già risolta, ma ignorata.
V. Il kill switch e il caso
Nel cuore del malware c’era una richiesta HTTP a un dominio inesistente.
Il ricercatore MalwareTech lo notò, registrò il dominio e… fermò il malware: per un puro e semplice caso.
Quel dominio era un kill switch: se il malware riceveva risposta, smetteva di diffondersi. Un meccanismo voluto? Un errore? Non si sa, ma funzionò.
12 dollari e un’intuizione bastarono a bloccare il più grande attacco ransomware del decennio.
VI. L’autore (forse)
Le tracce portarono a Lazarus Group, hacker nordcoreani famosi per lo stile distruttivo-minimalista.
Eppure, WannaCry era quasi dilettantesco: wallet statici, niente tracciamento, codice fragile. Sembrava una demo più che un’arma completa.
Forse era fu un test, oppure un errore. O forse, semplicemente, qualcosa che era sfuggito di mano.
VII. Il fragile salvagente: WanaKiwi
Poi arrivò WanaKiwi, tool creato dal ricercatore francese Adrien Guinet.
Poteva recuperare le chiavi di cifratura, ma solo in condizioni estremamente specifiche: sistema non riavviato, RAM intatta.
Un’operazione chirurgica che sembrava andare a leggere la cenere per ritrovare una poesia.
Funzionava… A volte.
VIII. Lo specchio
WannaCry ci riflette, non solo come utenti o tecnici, ma come esseri umani sospesi fra la velocità delle macchine e la lentezza delle nostre decisioni. È un monito che va oltre il codice: parla del tempo, della memoria e della nostra capacità — o incapacità — di imparare. WannaCry non fu solo un malware, fu uno specchio.
Ci mostrò che i veri nemici non sono hacker superintelligenti, ma:
- la routine
- la negligenza
- i riavvii rimandati
Fu la prova che il punto debole non è il codice: è l’utente che clicca “ricordamelo più tardi”.
E ci mise di nuovo di fronte al fatto che la velocità del digitale non può cancellare la lentezza umana.
IX. 2025: Ancora vulnerabili?
Otto anni dopo, il caso WannaCry è leggenda. Ma i problemi restano:
- Software legacy ovunque.
- Patch ignorate.
- Aggiornamenti rimandati per paura, mancanza di tempo o abitudine.
I ransomware oggi sono più sofisticati. Ma c’è una verità che non cambierà mai:
se c’è una porta aperta, qualcuno entrerà.
E se nessuno aggiorna… tutti piangeranno.
X. Perché Bug Archeology
Perché WannaCry è un archetipo.
È il risultato di un futuro ignorato, di un bug trascurato, di un aggiornamento rimandato.
È il fossile digitale della nostra convinzione che “tanto non succede a me”.
Un monito inciso in byte cifrati:
“Chi non aggiorna il passato, è condannato a criptare il presente.”
Fonti
Articolo originale su Codexsprawl: #DontWannaCry: perché gli aggiornamenti non sono un optional
GReAT, Securelist, WannaCry ransomware used in widespread attacks all over the world, https://securelist.com/blog/incidents/78351/wannacry-ransomware-used-in-widespread-attacks-all-over-the-world/, 12.05.2017
GReAT, Wannacry FAQ: what do you need to know today, https://securelist.com/blog/research/78411/wannacry-faq-what-you-need-to-know-today/, 15.05.2017
GReAT, Wannacry and Lazarus group missing link, https://securelist.com/blog/research/78431/wannacry-and-lazarus-group-the-missing-link/, 15.05.2017
D. Gayle, A. Topping, I. Sample, S. Marsh and V. Dodd, The Guardian, NHS seeks to recover from global cyber-attack as security concerns resurface, 13.05.2017
D. Goodin, Ars Technica, https://arstechnica.com/security/2017/05/an-nsa-derived-ransomware-worm-is-shutting-down-computers-worldwide/, An NSA-derived ransomware worm is shutting down computers worldwide, 12.05.2017
D. Goodin, Ars Technica, https://arstechnica.com/security/2017/04/nsa-leaking-shadow-brokers-just-dumped-its-most-damaging-release-yet/,NSA-leaking Shadow Brokers just dumped its most damaging release yet, 14.04.2017
M. Hachman, PCworld, Wanawiki is the WannaCry fix that might save affected PCs—if you work fast, 19.05.2017
Holger, EMSISOFT blog, Global WannaCry ransomware outbreak uses known NSA exploits, http://blog.emsisoft.com/2017/05/12/wcry-ransomware-outbreak/, 12.05.2017
N. Khomami and O. Solon, The Guardian, ‘Accidental hero’ halts ransomware attack and warns: this is not over, https://www.theguardian.com/technology/2017/may/13/accidental-hero-finds-kill-switch-to-stop-spread-of-ransomware-cyber-attack, 13.05.2017
M. Lee, W. Mercer, P. Rascagneres, and C. Williams, Talos, Player 3 Has Entered the Game: Say Hello to ‘WannaCry’ http://blog.talosintelligence.com/2017/05/wannacry.html, 12.05.2017
Malware Tech, National Cyber Security Center, Finding the kill switch to stop the spread of ransomware, 13.05.2017
Malware Tech, How to accidentally stop a global cyber attack, https://www.malwaretech.com/2017/05/how-to-accidentally-stop-a-global-cyber-attacks.html, 13.05.2017
R. Munoz, El Pais, Spain’s biggest telecoms operator suffers internal malware attack, 12.05.2017
B. Popa, Softpedia, Windows 10 Users Protected Against WannaCry Ransomware Attacks, http://news.softpedia.com/news/windows-10-users-protected-against-wannacry-ransomware-attacks-515679.shtml, 12.05.2017
S. Smith, NBC News, Huge Cyberattack Hits Nearly 100 Countries With ‘Wanna Decryptor’ Malware, 13.05.2017
M. Suiche, Comae Technologies, WannaCry — Decrypting files with WanaKiwi + Demos, 18.05.2017