Cos’è successo a internet venerdì

Venerdì scorso, un attacco DDoS ha reso una grossa fetta di internet inutilizzabile per diverse ore. Un attacco di tipo denial of service avviene quando un server viene reso irraggiungibile inondandolo di richieste fasulle, riuscendo così a impedire accessi legittimi verso di esso. Lo spiega bene Tommaso Tani su Valigia Blu:

Avete presente quando state avendo una conversazione con una persona e allo stesso momento un’altra tenta di parlare con voi? E poi una terza si aggiunge a porvi delle domande? Molto probabilmente, riuscirete a gestirne solo due contemporaneamente e quanto proverete a dar retta anche all’ultima giunta, vi bloccherete perché non sarete più in grado di gestire tre conversazioni allo stesso momento.

Lo stesso principio – e anche la stessa tecnica – è utilizzato per questo attacco: migliaia di richieste sono inviate contemporaneamente a uno stesso server il quale non riesce a gestirle e a dare una risposta a tutti, bloccandosi e smettendo di funzionare. Certo, è nella natura di un servizio web “rispondere” a più utenti contemporaneamente, ma non a così tanti e in così breve tempo.

La parte “ingegnosa” dell’attacco è che invece di essere stato diretto verso un singolo sito ha riguardato Dyn, un’azienda che si occupa di gestire i DNS di diverse aziende. Attaccando un pezzo comune dell’architettura della rete, è stato possibile buttare giù Twitter, Airbnb, SoundCloud, GitHub, Reddit, New York Times e Spotify, fra gli altri. Per diverse ore nessuno di questi servizi ha funzionato[1. Secondo una stima del The Atlantic, il danno economico per ciascuna di queste aziende può variare fra i $20.000 e i $100.000 all’ora]. Come scrive il New York Times:

The attack on the infrastructure of the internet, which made it all but impossible at times to check Twitter feeds or headlines, was a remarkable reminder about how billions of ordinary web-connected devices — many of them highly insecure — can be turned to vicious purposes. And the threats will continue long after Election Day for a nation that increasingly keeps its data in the cloud and has oftentimes kept its head in the sand.

A portare avanti l’attacco sono stati centinaia di migliaia di device IoT, come telecamere di sicurezza, router o registratori digitali. Device connessi alla rete, apparentemente innocui, ma infetti da un malware: Mirai. Mirai scandaglia la rete in cerca di device protetti debolmente, da poco altro che una password di default mai cambiata, data dal produttore, e prova a prenderne possesso. Come spiega Krebs, gran parte dei device compromessi provengono da singole aziende cinesi — come la XiongMai Technologies — produttrici di componenti che finiscono dentro prodotti di altre aziende. L’utente non potrebbe cambiare la password neppure se lo volesse, in molti casi.

Mirai — il cui codice sorgente è stato rilasciato online — ha assemblato un botnet, un esercito fatto da questi dispositivi del cosiddetto internet delle cose, che hanno portato avanti l’attacco di venerdì. Lo stesso malware è responsabile di uno dei più grossi attacchi DDoS della storia, avvenuto solamente il mese scorso, verso il blog di uno dei maggiori esperti di sicurezza informatica: riuscì a portare verso il provider del blog, Akamai, 620Gbps di traffico.

Gli attacchi informatici vengono solitamente distinti in tre gruppi:

  • Quelli che riguardando la confidenzialità dei dati, ovvero l’accesso a dei dati personali
  • Quelli che riguardando l’integrità dei dati. Un attacco volto a compromettere l’integrità dei dati li modifica per comprometterne la validità
  • Quelli che riguardano l’accesso — ovvero impediscono agli utenti dall’accedere ai propri dati

Un attacco DDoS è un modo efficace per censurare un sito internet, impedendone l’accesso, e rientra quindi nella terza tipologia. Come scrive Bruce Schneier gli attacchi di questo tipo si sono fatti sempre più intensi e difficili da contrastare — e nell’internet delle cose gli attacchi di questo tipo, così come quelli che compromettono l’integrità dei dati, sono quasi una questione più seria di un leak di dati:

So far, internet threats have largely been about confidentiality.

On the Internet of Things, integrity and availability threats are much worse than confidentiality threats. It’s one thing if your smart door lock can be eavesdropped upon to know who is home. It’s another thing entirely if it can be hacked to allow a burglar to open the door—or prevent you from opening your door. A hacker who can deny you control of your car, or take over control, is much more dangerous than one who can eavesdrop on your conversations or track your car’s location.