martedì 25 ottobre 2016

Che cos’è un attacco DDoS

la Stampa
andrea signorelli

Com’è stato compiuto quello che venerdì ha mandato in tilt Internet e perché le debolezze della Internet of Things li stanno rendendo sempre più potenti



L’esperto di cybersicurezza Brian Krebs l’aveva previsto un mese fa: «Internet sarà presto inondata da attacchi DDoS resi possibili da router, telecamere di sorveglianza e videocamere digitali connesse alla rete e non protette a dovere». I suoi timori si sono avverati venerdì, quando Internet è stata messa fuori uso in larga parte degli Stati Uniti.

La previsione, in effetti, era difficile da sbagliare, visto che gli hacker che a settembre hanno compiuto il più grande DDoS della storia (che aveva preso di mira proprio il sito di Krebs) avevano pubblicato sul forum specializzato HacksForum il codice di Mirai, il malware utilizzato per infettare una miriade di apparecchi connessi alla Internet of Things e sfruttarli per lanciare l’attacco. È anche per questa ragione che aumentano i timori che l’internet delle cose – vale a dire tutti gli oggetti connessi, dai frigoriferi, alle tv, fino ai baby monitor – si stia trasformando nella peggiore vulnerabilità della rete.

Per capire come tutte queste cose siano legate, è necessario fare un passo indietro e vedere prima di tutto che cosa sia un attacco DDoS (distributed denial of service, “rifiuto distribuito del servizio”), un sovraccarico di richieste che è in grado di rendere inaccessibile per ore (ma in alcuni casi anche svariati giorni) un sito, un server o altri servizi online.

Nel momento in cui proviamo a collegarci a un sito, il computer invia una specifica richiesta al server, che risponde visualizzando la pagina internet desiderata. In un attacco DDoS vengono inviate decine e decine di migliaia di richieste contemporanee, mandando il server in sovraccarico e rendendolo di fatto inutilizzabile. È come se uno sportello della posta venisse improvvisamente preso d’assedio da una miriade di clienti che vogliono essere serviti contemporaneamente, mandando in tilt lo sportellista.

Per riuscire a portare a termine questi attacchi DDoS, gli hacker infettano migliaia di dispositivi con dei malware, per sfruttarne la capacità di banda nel momento in cui si vuole bersagliare un server di richieste. Akamai, azienda specializzata nella difesa da DDoS, ritiene che durante eventi di questo tipo possano essere oltre due milioni gli apparecchi utilizzati per attaccare un server, approfittando del fatto che molto spesso non dispongono delle misure di sicurezza necessarie, anche solo in termini di password, per impedire a intrusi di accedere al sistema. 

L’attacco di venerdì è stato compiuto in questo modo: il malware Mirai è stato utilizzato per infettare centinaia di migliaia di apparecchi IoT (in particolare telecamere digitali e camere di sorveglianza prodotte dalla cinese XiongMai) che sono stati poi impiegati per attaccare Dyn, la società che fornisce gli indirizzi internet a siti del calibro di Twitter, Spotify o del New York Times, vittima dell’attacco di venerdì. 

Tutto questo è stato confermato dalla stessa Dyn: «Possiamo dire (...) che una fonte del traffico utilizzato per gli attacchi erano dispositivi infettati dal malware Mirai. Abbiamo osservato decine di milioni di indirizzi IP associati con la botnet di Mirai che hanno preso parte all’attacco». Chi siano i responsabili, però, non è ancora stato scoperto.

Il timore degli esperti è che, nel futuro, le cose non potranno che peggiorare: da una parte perché è quasi impossibile ripulire gli apparecchi IoT infettati; dall’altra perché compiere attacchi DDoS è sempre più facile (su internet ci sono anche servizi a pagamento che consentono a chiunque di cimentarsi). Non stupisce, quindi, che l’Unione Europa stia spingendo per aumentare drasticamente le norme di sicurezza richieste ai produttori di dispositivi IoT. Anche se, almeno in parte, il danno potrebbe essere irreparabile.