lunedì 24 ottobre 2016

Attacco DDoS mette offline negli Usa siti come Twitter, New York Times, eBay, Netflix e altri

Un attacco clamoroso che rende l’idea della vulnerabilità dei siti occidentali più cliccati.



Per cominciare il contesto.
Un attacco di tipo DDoS (distributed denial  of service) ha colpito l’infrastruttura DNS di Dyn, non una azienda a caso, ma uno dei colossi del web hosting negli Stati Uniti. Il risultato dell’attacco è stato pesantissimo, mostrando nei fatti la debolezza dei grandi colossi occidentali.

Oscurati per due ore circa

L’attacco contro l’infrastruttura di Dyn ha avuto come conseguenza il fatto che centinaia di siti sono finiti offline per circa 120 minuti. Ma non stiamo parlando del blog di cucina o del piccolo portale, ma di siti del calibro di Twitter, Spotify, Cnn, New York Times, Financial Times, il marketplace di eBay, Reddit e perfino il colosso dei film in streaming Netflix, ma anche il Guardian, PlayStation Network, Xbox Live, Wired (.com), GitHub, PayPal (e altri)


Non uno, ma tre attacchi.
I tecnici di Dyn hanno denunciato non un solo attacco, ma 3, tutti tra il 21 e il 22 Ottobre. 
Il primo sarebbe avvenuto attorno alle 11-52 ora locale ( circa le 18 in Italia).
Il secondo intorno alle 7.10 del mattino circa, infine un terzo in serata.
Esempio di attacco DDoS


Un’offensiva che, al di là del danno tecnico, comporta ingenti perdite dal punto di vista economico: quando siti di tal dimensione e importanza restano irraggiungibili per due ore, vendite online e advertising si azzerano e i profitti subiscono un duro colpo.
E se ne capisce il valore se si nominano aziende quali Amazon, Facebook , Google e così via, aziende la cui quasi esclusiva fonte di proditto discende dall’online. Così, ne risulta ovvio che attaccare (e peggio che mai in un colpo solo) alcune delle colonne portanti dell’economia statunitense, non significa attaccare Google o Amazon o Netflix, ma significa attaccare gli Stati Uniti.

I colossi americani messi offline da una botnet di videoregistratori cinesi. 


L’attacco è stato rivendicato da un gruppo nominato “New Word Hacker”. Loro stessi, nella rivendicazione, hanno spiegato il meccanismo, ovvero che l’attacco sarebbe stato compiuto attraverso un super computer composto da una botnet di circa 100.000 dispositivi IoT, ovvero dispositivi Internet of Things (l’esercito di oggetti che sono collegati ad Internet quali microfoni, videocamere di sorveglianza, automobili, sensori, termostati, lavatrici ecc…).  Il tutto è stato organizzato tramite il software Mirai, che esamina la rete alla ricerca di dispositivi visibili e prova ad entrare nel dispositivo usando login e pasword di fabbrica.  Dato che la maggior parte delle persone non si preoccupa di cambiare la password, ecco che il gioco è semplice e fatto. Una volta entrato, Mirai infetta il dispositivo con un malware specifico che lo aggiunge alla botnet. A questo punto, chi ne ha il controllo, deve solo dirigere tutti i dispositivi della botnet su un obiettivo, che in questo caso è stato il DynDNS: diciamo in questo caso perché, paradossalmente, la botnet Mirai non ha un solo proprietario, ma è a disposizione di chi voglia utilizzarla per attacchi (ovviamente è rintracciabile nel deep web, non di certo su Google). 

Non solo: teniamo di conto che la Botnet legata a Mirai è stata denunciata pubblicamente da Brian Krebs, esperto di sicurezza informatica,  il cui sito web è stato colpito proprio da un attacco DDoS lanciato dai dispositivi di Mirai. Dopo aver denunciato pubblicamente la rete, nella speranza forse di riuscire a depotenziarla, l’effetto ottenuto da Krebs è stato l’opposto: la botnet Mirai è raddoppiata. Pare che ad oggi la Botnet Mirai sia composta da circa 555.000 nodi. Da ricerche è emerso che l’attacco contro Dyn abbia impiegato solo il 10% dei dispositivi di Mirai, ma è stato scoperto che sono stati usate anche altre botnet per l’attacco. Ad esempio sono stati usati il 24% dei dispositivi facenti parte di una botnet simile a Mirai, denominata Bashlite.  Si è scoperto perfino, e questo ha il sapore della beffa, che la maggior parte dei dispositivi che compone Mirai sono videocamere e DVR di una azienda cinese, la XiongMai Technologies, che hanno la particolarità di condividere tutte la stessa username e password: in sunto l'intera linea di prodotti (fatta eccezione per quelli per i quali si è provveduto alla modifica dell'username e della password) è stata interamente hackerata. 

La rivendicazione:
L’attacco è stato rivendicato dai New World Hacker, ma di fatto non dice quasi nulla e sembra collegarsi a futili motivazioni (per chi volesse, su uno dei siti di Anonymous 
è rintracciabile l’intervista rilasciata da uno dei componenti del gruppo New World Hacker). Affermano di aver voluto dimostrare al governo russo di non essere l’unico in grado di portare gravi attacchi informatici contro l’occidente. Una azione dimostrativa quindi, più che mossa una scopo specifico. Questo quanto era possibile dedurre dalla rivendicazione di tre giorni fa.

Fatto sta che, giusto ieri, il gruppo New World Hacker ha pubblicamente annunciato lo scioglimento, adducendo come motivazioni, la non volontà di finire la propria vita in carcere e di non volere il fiato sul collo di Fbi e altre agencie di Intelligence.
Ma interessante è la conclusione con un enigmatico “ps. Wikileaks is a good  friend”. Che fa il paio con l’affermazione “Chi compie un attacco di questo tipo per la fama è malato. Noi non abbiamo compiuto l’attacco per la fama, ma per una ragione specifica”. 
Insomma, fuga di dati e relativa pubblicazione in vista? 









Nessun commento:

Posta un commento