Libero
TECH NEWS

Attacco DDoS, Internet messo KO dalle telecamere di sicurezza

I pirati informatici hanno colpito DynDNS, provider di servizi web tra i più utilizzati al mondo. I problemi di connessione sono andati avanti per ore

Hacker Fonte foto: Flickr

Twitter, Spotify, SoundCloud, Github, Airbnb, Reddit, Heroku e Shopify. Questi alcuni dei portali che, nella mattinata del 21 ottobre (ore 11 UTC, circa le 13 italiane), hanno registrato gravi disservizi, tanto da non essere raggiungibili dagli utenti.

Alla base di tutto, stando alle prime informazioni che hanno iniziato a circolare in rete negli ultimi minuti, ci sarebbe un massiccio attacco DDoS, capace di mettere KO i server del provider Dyn DNS, fornitore di servizi web e Internet per le aziende citate in precedenza. Sempre stando alle indiscrezioni, i problemi avrebbero riguardato soprattutto i cittadini statunitensi della costa Est, ma non è da escludere che gli effetti dell’attacco possano aver causato qualche rallentamento nel resto del mondo. L’attacco è stato mitigato (neutralizzato in gergo tecnico), ma le informazioni a riguardo sono ancora poche. Probabile che solo nei prossimi giorni si saprà qualcosa in più sull’origine e sulla sua reale portata.

Hacker di nuovo all’attacco

I pirati informatici sono tornati a colpire alle 15:50 UTC (circa le 18 in Italia), con un nuovo attacco DDoS in grande stile. In questo caso, però, l’attacco non ha riguardato solo gli Stati Uniti, ma ha avuto effetti – anche se temporanei e diffusi a macchia di leopardo – anche in Europa, Italia inclusa. Oltre ai “soliti” Twitter, Skype e Spotify, il secondo attacco ha reso irraggiungibili portali di informazione come il New York Times, il Financial Times, la CNN e poi eBay, Visa e Amazon.

Twitter attacco DNSFonte foto: Facebook - Francesco Ficarola

Twitter irraggiungibile anche dall’Italia

La componente IoT

Nel frattempo, iniziano a emergere i primi particolari riguardanti i due attacchi DDoS nei confronti di Dyn DNS. Secondo un portavoce dell’azienda statunitense, i server sarebbero stati raggiunti contemporaneamente da milioni di richieste generate da milioni di indirizzi IP differenti. Si fa largo, dunque, l’ipotesi che la botnet (la rete composta da computer zombie o bot) sia composta in larga parte da dispositivi smart e IoT. A rafforzare questo scenario ci pensa Brian Krebs, tra i maggiori esperti di sicurezza informatica al mondo. Nel suo blog (Krebsonsecurity.com), l’analista statunitense sottolinea come un attacco di così vasta portata possa essere messo in piedi solo grazie ai dispositivi che popolano l’Internet of Things e individua anche un possibile colpevole: le telecamere di sicurezza IP realizzate con componenti della cinese XiongMai Technologies.

Secondo Krebs gli hacker hanno utilizzato la botnet Mirai, scansionando la Rete alla ricerca di dispositivi poco protetti (al massimo da una semplice passowrd di accesso e non schermati da firewall e altre componenti di sicurezza), infettandoli e aggiungendoli così alla loro botnet. In un secondo momento tutti questi dispositivi – milioni di device – hanno inviato richieste di accesso alla rete DynDNS, mettendola KO e rendendo irraggiungibili tutti quei servizi web che ne sfruttano le funzionalità.

Che cosa sono i DNS

Il Domain Name System (il cui acronimo è, per l’appunto, DNS) è una delle infrastrutture fondamentali di Internet. Gli indirizzi delle varie risorse presenti in Rete (dai server alle immagini, dai portali web ai video, passando per testi e tracce audio) sono formati da quattro triplette di numeri, ognuna delle quali va da 000 a 255: si tratta del cosiddetto indirizzo IP, scritto solitamente nella forma “xxx.xxx.xxx.xxx”. Un codice che difficilmente può essere ricordato a memoria e, per questo motivo, si è preferito sostituirlo con le URL (acronimo di Uniform Resource Locator), gli indirizzi alfanumerici che utilizziamo solitamente per collegarci a un qualunque sito (ad esempio, www.libero.it). Il compito dei provider DNS è quello di tradurre gli indirizzi IP (numerici) in URL (alfanumerici) e viceversa: quando si digita la URL di un sito nella barra degli indirizzi del browser, il DNS “sfoglia” una sorta di rubrica del web alla ricerca della corrispondenza esatta e fa sì che l’utente visualizzi nel suo browser il contenuto corretto.

ServerFonte foto: Wikimedia

Rack di server

Cosa sono gli attacchi DDoS

Gli attacchi DDoS sono la tipologia di attacco informatico più pericoloso oggi in circolazione. Acronimo di Distributed Denial-of-Service, impiega migliaia e migliaia di dispositivi informatici (in passato solo computer, oggi anche dispositivi connessi come telecamere IP ed elettrodomestici smart) per rendere irraggiungibile un portale, un server web, una rete di distribuzione o, come in questo caso, un provider DNS. La tattica impiegata è estremamente semplice: tutti i dispositivi informatici, infettati da malware che li trasformano in “zombie” e permettono agli hacker di controllarli a distanza, si collegano contemporaneamente all’indirizzo IP del server o del portale. In questo modo il traffico in ingresso è così elevato che la rete non riesce a gestirlo e si crea, di fatto, un ingorgo digitale. Maggiore la portata dell’attacco, ovviamente, maggiore il traffico in ingresso e più difficile sarà raggiungere il sito o la risorsa web oggetto dell’attacco stesso.