Ransomware-pic

I ransomware sono la nuova peste, sono molto più subdoli dei virus perché fondamentalmente non fanno altro che quello che l’utente fa di solito, scrivono documenti. Vero lo fanno in massa, ma fanno una cosa lecita, anche Dropbox scrive documenti in massa a volte. Fare quindi prevenzione è molto più difficile, educare gli utenti lo e ancora di più perché, secondo me l’informatica è ancora molto lontana dall’utente comune. Ma questa è un’altra storia.

Please welcome Controlled Folder Access

Controlled Folder Access è una nuova funzionalità di Windows 10 Fall Creators Update, da poco disponibile gratuitamente per tutti gli utenti Windows 10, che fa una cosa molto semplice quanto efficace: ci consente di definire delle cartelle, e con esse tutte le sotto cartelle, che possono essere modificate solo ed esclusivamente da un set noto di programmi, una sorta di white list su cui abbiamo parziale controllo. Parziale perché tutta una serie di programmi noti, e firmati digitalmente, come ad esempio la suite Office o appunto Dropbox, sono già nella lista e li restano. La chiave in questo caso è la firma digitale.

Ritengo di far parte degli utenti attenti, ma:

  • Prevenire è meglio che curare
  • Non sono l’unico in famiglia che usa il computer

Quindi ho deciso di attivare Controlled Access Folder per:

  • La cartella di Dropbox
  • La cartella dove ci sono tutti i sorgenti

È paranoia perché entrambe hanno fior di copie online e backup off-site, ma la paranoia aiuta a combattere la sfiga che come sappiamo ci vede benissimo. Attivare Controlled Folder Access è facilissimo, basta andare da Defender e tra i Virus & threat protection settings:

image

attivare Controlled Access Folder:

image

appena fatto come più o meno mi aspettavo sono iniziate le rogne, che poi tanto rogne non sono. Git ha, come mi aspettavo, immediatamente smesso di funzionare:

image

La vera rogna è capire chi non può scrivere, cioè quale sia l’eseguibile che sta fallendo, perché l’informazione è annegata nell’Event Viewer di Windows e precisamente in questo log: Microsoft-Windows-Windows Defender/Operational, li sono elencate le applicazioni che sono state bloccate. Una volta noto l’eseguibile bloccato il gioco è semplice, basta aggiungerlo all’elenco delle applicazioni autorizzate:

image

Ho scelto Git come esempio rognoso non a caso, sulla mia macchina ci sono 11 git.exe sparsi in varie folder e non mi sembrava il caso di ciecamente abilitarli tutti. In altri casi altri programmi potrebbero dare errori strani durante il tentativo di scrittura se non sono autorizzati. Ad esempio Windows Live Writer fallisce miseramente nella creazione dei file temporanei prima ancora del salvataggio vero e proprio del post, e quindi l’errore è un po’ criptico.