Un file (da me) criptato, può subire un attacco ransomware?

[Allievo]

Ciao a tutti/e,
Scrivo per una curiosità che non mi è stato possibile soddisfare cercando in rete perché l'uso della parola "criptare", in tutte le sue declinazioni, è monopolizzata da questioni legate ad attacchi ransomware.

Mi chiedevo:
Un file criptato, ad esempio un sistema di backup criptati per proteggerli, ne incrementa anche la sicurezza?
Voglio dire, un backup criptato può essere ancora criptato da un attacco ransomware (che lo cripti a sua volta, rendendolo a me inaccessibile)?

Grazie in anticipo!

[alefello]

Tecnicamente si. Poi i ransomware spesso criptano solo i file con estensioni note, quindi se il tuo software di criptazione modifica anche l'estensione con qualcosa di proprietario hai buone probabilità di scamparla.

Inviato dal mio G8441 utilizzando Tapatalk

[Allievo]

Grazie della risposta alefello

Ma devo chiederti un chiarimento: quando dici 'tecnicamente si' rispondi al fatto che 'si' un file protetto criptato viene comunque corrotto da un ransomware, oppure che 'si' un file protetto criptato vede aumentata la sua protezione contro un ransomware?

Non conoscendo l'argomento, non mi è chiaro. Diciamo che mi sembra di intendere che la protezione aumenta ma, scusami, non sono sicuro di aver capito.

Provo però a fare un passo in più:
Mi stai dicendo che se cripto un file PDF ma il sistema lo cripta senza cambiarne l'estensione di PDF, il ransomware potrebbe comunque corromperlo?
Se questo è corretto, perchè?? Se è criptato, dovrebbe significare che l'accesso è bloccato senza conoscerne la "chiave": allora perché se il file è un PDF il ransomware ha più probabilità di decifrare la chiave rispetto al caso in cui il mio file oltre ad essere criptato vede la sua estensione modificata?


Spero di essere stato chiaro...

[alefello]

Penso non ti sia chiaro il concetto di sicurezza associato ai file criptati volontariamente. Se tu vuoi proteggere un tuo file da sconosciuti che dovessero venirne in possesso, lo puoi criptare applicando un algoritmo che si baserà su una password o una chiave che sceglierai. Oppure metterai questo file all'interno di un archivio o di un altro file che sarà lui criptato.
Ma il meccanismo non è per nulla dissimile da quello applicato dai ransomware, con l'unica differenza che nel caso dei ransomware la chiave o password non è in tuo possesso, ma in quello degli autori del ransomware.
Il file quindi non viene "corrotto" dal ransomware, ma semplicemente criptato, né più né meno di quel che faresti tu per proteggere il file da altre persone.
L'unica protezione che hai, è che se il tuo metodo di crittazione prevede che il tuo *.pdf venga criptato come *.pdf_k ad esempio, il ransomware sia impostato per criptare solo le estensioni note e quindi agisca sui *.pdf ma non sui *.pdf_k (è un esempio ovviamente). Se il ransomware invece è impostato per criptare tutto, allora cripterà a sua volta anche il tuo file *.pdf_k che è il file che contiene il tuo *.pdf, rendendolo quindi inutilizzabile (se non dopo aver decrittato il ransomware o pagato per farselo decrittare)

[Allievo]

L'azione dei ransomware mi è chiara. Ho usato "corrotto" in modo improprio. Quello che non mi era chiaro era come un ransomware operasse questa azione.

Quindi, provo a ragionare:
proteggere un file criptandolo mi aiuta solo a impedire che altri non autorizzati accedano al contenuto.
Ma non impedisce che un ransomware raccolga il file in un "archivio", il quale viene a sua volta criptato e che rende ora a me inaccessibile il file.

Pertanto criptare un file *.pdf con un metodo che cambia l'estensione in *pdf_f lo protegge da un attacco ransomware (che ipotizziamo operi solo su certe estensioni) tanto quanto lo proteggerei da me se gli cambiassi l'estensione in *pdf_f senza criptarlo.


Il senso della mia domanda originale -ora ho capito che ero fuori strada- era se criptare un file comportasse anche delle protezioni come che quel file, una volta criptato, non potesse subire più nessuna modifica (compresi cancellazione, spostamento, rinomina, ecc) senza prima essere autorizzati per mezzo della 'chiave di cifratura'.
Capisco però che non funziona così.

Ma questo mio pensiero probabilmente si fonda su qualche passaggio di base dell'informatica che mi manca. Perché se non esiste una cifratura di questo tipo mi viene da dire che dovrebbero inventarla!
Ma penso anche che se fosse stato possibile l'avrebbero fatto.


Vabbè, detto ciò, la mia curiosità è stata saziata. Grazie ancora alefello!

[alefello]

Qui apri un mondo però... In parte quello che dici tu puoi farlo con BitLocker, ma non ti metti al riparo da modifiche a SO avviato e disco aperto. In parte puoi farlo con un disco esterno crittografato interamente con veracrypt o similari, ma non ti metti al riparo da una formattazione del disco o da modifiche ai file contenuti quando "apri" il disco con la sua chiave... E sicuramente ci sono mille altre casistiche di cui non mi viene in mente... Poi la mia sull'estensione era un po' una banalizzazione, in base a come lavorano alcuni ransomware... Nulla vieta che uno specifico ransomware invece che sull'estensione si basi sulla firma del file o invece critti tutto, e allora anche il tuo file con estensione modificata subirebbe la stessa sorte dell'originale.

[roccosicilia]

Purtroppo cifrare un file o cambiare l'estensione non sono protezioni valide per gli attacchi di tipo ransomware. Fino a quando il file, anche in forma di archivio cifrato, è accessibile dal sistema operativo un malware potrebbe operare la cifratura e la successiva cancellazione dell'originale.

E' vero, come dice @alefello, che alcuni malware prediligono determinate estensioni ma ve ne sono molti che non fanno distinzione. In particolare, visto che citi i backup, vi sono attacchi che puntano proprio agli archivi delle copie di backup che, per prassi, è bene conservare "offline" in modo da impedirne la compromissione.