Cos’è il protocollo SMB?

Anche se non hai mai sentito parlare del protocollo SMB, milioni di persone lo usano ogni giorno. Tuttavia, ha una vulnerabilità rivelata in un massiccio attacco informatico che ha colpito centinaia di migliaia di persone. Ciò che è peggio è che semplicemente non usarlo più non è una soluzione valida. Fortunatamente, c’è un modo per utilizzare questo protocollo in modo sicuro. Ma prima – cos’è SMB?

Il Server Message Block (SMB) è un protocollo di rete che consente agli utenti di comunicare con computer e server remoti – per utilizzare le loro risorse o condividere, aprire e modificare i file. Viene anche chiamato protocollo server/client, poiché il server ha una risorsa che può condividere con il client.

Come ogni protocollo di rete per la condivisione di file, SMB ha bisogno di porte di rete per comunicare con altri sistemi. Originariamente, usava la porta 139 che permetteva ai computer di comunicare sulla stessa rete. Ma da Windows 2000, SMB usa la porta 445 e il protocollo di rete TCP per “parlare” con altri computer su internet.

Come si usa il protocollo SMB?

Il protocollo SMB crea una connessione tra il server e il client inviando più messaggi di richiesta-risposta avanti e indietro.

Immagina che la tua squadra stia lavorando su un grande progetto che comporta un sacco di avanti e indietro. Potreste voler essere in grado di condividere e modificare i file che sono memorizzati in un posto. Il protocollo SMB permetterà ai membri del vostro team di utilizzare questi file condivisi come se fossero sui loro dischi rigidi. Anche se uno di loro è in viaggio d’affari a mezzo mondo di distanza, possono comunque accedere e utilizzare i dati.

Diciamo che la stampante del vostro ufficio è collegata al PC delle receptionist. Se vuoi stampare un documento, il tuo computer (il client) invia al computer della receptionist (il server) una richiesta di stampa e usa il protocollo SMB per farlo. Il server invierà quindi una risposta, affermando che il file è in coda, stampato, o che la stampante ha finito il magenta e non è in grado di eseguire il compito.

Cos’è l’autenticazione SMB?

Come ogni altra connessione, il protocollo SMB ha bisogno di misure di sicurezza per rendere sicura la comunicazione. A livello di utente, l’autenticazione SMB richiede un nome utente e una password per consentire l’accesso al server. È controllata dall’amministratore di sistema, che può aggiungere o bloccare gli utenti e tenere sotto controllo chi è autorizzato ad entrare.

A livello di condivisione, gli utenti devono inserire una password una tantum per accedere al file o al server condiviso, ma non è richiesta alcuna autenticazione dell’identità.

Diverse varianti del protocollo SMB

Nel 1996, Microsoft cercò di rinominare SMB in CIFS (Common Internet File System). Era una versione aggiornata dello stesso protocollo e aveva più funzioni, ma il nome non è rimasto. A causa di questo, molti pensano ancora che sia la stessa cosa. CIFS è ora solo uno dei molti dialetti (varianti) di SMB.

Queste sono tutte le varianti del protocollo SMB:

• SMBv1 fu rilasciato nel 1984 da IBM per la condivisione di file in DOS. Microsoft lo ha modificato e aggiornato nel 1990.
• CIFS è stato rilasciato nel 1996 con più caratteristiche e supporto per file di dimensioni maggiori. Venne insieme al nuovo Windows 95.
• SMBv2 debuttò in Windows Vista nel 2006. Presentava un notevole aumento delle prestazioni a causa di una maggiore efficienza – meno comandi e sottocomandi significava una migliore velocità.
• SMBv2.1 è arrivato con Windows 7, portando migliori prestazioni.
• SMBv3 è stato introdotto con Windows 8 con molti aggiornamenti. Il più notevole dei quali è una maggiore sicurezza – il protocollo ha iniziato a supportare la crittografia end-to-end.
• SMBv3.02 è arrivato insieme a Windows 8.1. Ha offerto la possibilità di aumentare la sicurezza e le prestazioni disabilitando completamente SMBv1.
• SMBv3.1.1 è stato rilasciato nel 2015 con Windows 10. Ha aggiunto più elementi di sicurezza al protocollo, come la crittografia AES-128, la protezione dagli attacchi man-in-the-middle e la verifica della sessione.

È importante sapere quale versione del protocollo SMB utilizza il tuo dispositivo, soprattutto se possiedi un’azienda e hai molte macchine Windows collegate tra loro. Sarebbe difficile trovare un PC con Windows 95 o XP (e che usa SMBv1) in un ufficio moderno, ma potrebbero essere ancora in funzione su vecchi server. Perché è importante?

L’attacco ransomware WannaCry

Nel 2017, la US National Security Agency (NSA) ha trovato una vulnerabilità nel protocollo SMBv1. Permetteva a un attaccante di eseguire il proprio codice senza che l’utente si accorgesse di nulla. Quando un dispositivo veniva infettato, l’hacker poteva ottenere l’accesso all’intera rete e ad ogni dispositivo collegato ad essa.

Questo exploit è stato chiamato EternalBlue. Un gruppo di hacker chiamato Shadow Brokers lo ha presumibilmente rubato dalla NSA e lo ha fatto trapelare online nel 2017. Microsoft ha rilasciato un aggiornamento per patchare la vulnerabilità, ma solo un mese dopo è scoppiato il ransomware WannaCry. Questo attacco massiccio ha colpito quasi 200.000 dispositivi Windows in 150 paesi. Ha criptato tutti i dati sul computer della vittima e ha chiesto un riscatto in Bitcoin. WannaCry è costato al servizio sanitario nazionale del Regno Unito circa 120 milioni di dollari di riscatto, per non parlare del caos creato da migliaia di computer criptati e inutilizzabili.