Prima di raccontavi questa storia è bene evidenziare 4 parole chiave.
IoT
è l’acronimo di Internet of things (Internet delle cose) ed è la possibilità concessa agli oggetti di connettersi alla rete e comunicare tra loro. Per esempio un piccolo termostato installato su un frigorifero, un forno, una caldaia, che avvisa via internet il raggiungimento di una temperatura, oppure delle scatoline porta-farmaci che fanno squillare il cellulare di un familiare se il nonno si dimentica di prendere la pillola, tutte le smartTV, l’impianto di riscaldamento o di climatizzazione, ecc…. Insomma tutti quegli oggetti che attraverso un protocollo IP sono in grado di dialogare con qualche nodo della rete Internet e dei quali ci occupiamo poco in termini di sicurezza perché ci viene facile pensare che nessuno voglia entrare nel nostro tostapane.
DNS
è l’acronimo di Domain Name System e serve a “risolvere” i nomi dei nodi della rete in indirizzi IP e viceversa. Per esempio se digitiamo sulla barra degli indirizzi del nostro browser questo indirizzo IP: 216.58.198.36 ci comparirà la pagina di Google, come se avessimo scritto www.google.com. Sostanzialmente a questo serve il DNS e prima della loro invenzione (giugno 1983) se avessimo voluto trovare Google avremmo dovuto conoscere esattamente il suo indirizzo IP. In pratica, ogni dominio internet viene registrato con un indirizzo IP pubblico e un nome, poi dei database sui server DNS si incaricano di accoppiarli sempre.
Ddos
Il Distributed Denial of Service è un tipo di attacco malevolo che, sfruttando la logica della comunicazione con il protocollo TCP, consiste nell’inviare molti pacchetti di richieste a un server il quale, dovendo rispondere necessariamente a ogni richiesta, si “ingolfa” al punto da rendersi inefficiente. Quindi tutti gli apparati collegati a internet con TCP sono potenzialmente soggetti a questo tipo di attacco. Ovviamente maggiore è la quantità delle richieste inviate al server e più letale sarà il Ddos, ecco perché, prima di sferrare l’attacco, i cracker devono mettere insieme un buon numero di macchine attaccanti. Siccome queste macchine sono poi individuabili, i cracker infettano prima un buon numero di apparati, attraverso virus che aprono delle porte esterne, e poi le comandano da remoto. Tutti questi computer diventati “zombie” entrano a far parte della BotNet che diventa la vera macchina da guerra. E’ interessante sapere che vengono preferite le macchine che eseguono Windows perché è più facile inoculare un trojan ed è praticamente assicurata la diffusione dell’infezione a tutti i contatti presenti sul computer, quindi automaticamente ingigandire la botnet.
Era la primavera del 2013 e i server di Spamhaus, un’organizzazione che fornisce filtri per bloccare lo spam nelle email, subisce una serie di attacchi informatici che costringono a una navigazione lenta e addirittura nulla in intere regioni del Belgio, Lussemburgo, Olanda, Gran Bretagna e in minima parte anche in Germania e in Francia. Si tratta di attacchi Ddos partiti ai primi di marzo in sordina e che verso la metà del mese erano diventati già insostenibili per i server di Spamhaus. La mole di dati che bombarda questi server viaggiano, all’inizio, a circa 10 Gigabit al secondo, poi si incrementano fino a 100 Gigabit e alla fine raggiungono i 300 Gigabit per secondo (cioè una cosa come 300 miliardi di bit al secondo). Subito dopo tutti parlano del più grande attacco informatico che la rete abbia mai conosciuto e, per inciso, i sospetti cadranno su CyberBunker, un gruppo olandese di web hosting che era stato accusato, proprio da Spamhaus, di usare lo spam per la vendita di prodotti e per questo l’aveva inserito nella sua lista per i filtri antispam. Anche se, in verità, la polemica era già iniziata prima, nel momento esatto in cui CyberBunker aveva ospitato il dominio di “The Pirate Bay”.
Fra coloro che subirono più disservizi ci fu la webtv Netflix che restò irraggiungibile per un bel po’ di tempo.
C’è di nuovo Netflix fra i siti bloccati con l’ultimo attacco Ddos di qualche giorno fa, insieme a Twitter, Spotify, Airbnb, Reddit, Etsy, SoundCloud, GitHub e The New York Times, giusto per fare i nomi più grossi. La trama è simile a quella appena raccontata e si riparla del “più grande attacco a internet“: la tecnica è la stessa, cambia solo il target, ma la quantità di dati inviati ai server attaccati è di oltre 620 Gigabit al secondo, più del doppio di quello del 2013.
Alla base c’è sempre il solito Ddos (ormai il 90% degli attacchi sono di questo tipo) ma la prima differenza è rappresentata dal bersaglio: i server di Dyn.com, una società che offre il DNS ai molti domini Internet, che appena attaccata crea un effetto domino su un numero incredibilmente alto di altri server che non riescono più ad essere raggiunti nella rete perchè non rispondono più alla chiamata in chiaro in internet. La seconda sostanziale differenza è costituita dalla botnet: non più un esercito di computer zombie ma una massa indecifrata di attrezzature e oggetti che utilizzano l’IoT: immaginate un esercito zombie di frigoriferi, televisori, lavatrici, macchine fotografiche, termostati, router, telecamere, video registratori digitali, strumenti della robotica, ecc…. che lanciano l’attacco alla Dyn.
E’ da tempo che l’internet delle cose veniva accusato di non badare troppo alla sicurezza, lo diceva già Forbes nel 2014, per esempio. Brian Krebs, fra i maggiori esperti di sicurezza informatica, l’aveva previsto e aveva lanciato l’allarme denunciando la presenza di un codice che alimenta la botnet costruita su IoT.
Insomma, l’attacco del 21 ottobre sicuramente farà storia per la semplicità con la quale è riuscita a piegare i grandi di internet senza attaccare i loro server. Farà anche accademia per quanti vorranno provarci seguendo uno dei tanti tutorial disponibili in rete e noleggiando una botnet per 5 dollari l’ora.
Chi è stato? Al momento è difficile dirlo o fare delle previsioni, tutte le strade sono aperte: un gruppo di cracker ingaggiati da qualche azienda o qualche partito? oppure una semplice prova sul campo di una nuova strategia di intelligence?