Di cose, casi e case


ddos

Solo un'altro articolo su un attacco DDOS? Non è questa la mia intenzione, di quelli ce ne sono a bizeffe. Scrivere dell'attacco che venerdì 21 ottobre ha mandato down molti tra i big di internet ha senso e sarò ben liento di spiegarvi il perché: Ma partiamo dai fatti, venerdì 21 ottobre un attacco di tipo DDOS è riuscito a mettere "offline" molti dei big di internet tra i quali tweeter, github, amazon e reddit. In realtà il virgolettato su offline è d'obbligo visto che l'attacco non era indirizzato direttamente a loro ma bensì aveva un'altro obbiettivo. Come nel gregge il lupo cerca la preda più debole nell'ecosistema dei sistemi telematici è stato individuato il servizio più esposto: il DNS, ed ecco che mettendo in crisi il provider DNS  dei sudetti servizi di riflesso si è ottenuto il risultato voluto, quindi non un attacco diretto ma un attacco all'anello "debole" della catena: il servizio dns DYN. Ora, come già accennato qualcosa rende questo evento quasi una pietra miliare nella storia della cyber security, il perché è presto detto: Il codice del malware in grado di dare origine alla botnet che sta dietro a tale attacco è stato reso publico dal suo autore anna-senpai sul forum hackforums.net . 

 

I risvolti della vicenda sono molteplici ma andiamo per ordine facendo un passo indietro: Come molti di voi sapranno le botnet sono un insieme di device eterogenei che come comun denominatore hanno il fatto di essere stati violati ed infettati dal medesimo malware. Scopo di questo malware è quello di creare un insieme di dispositivi in grado di agire all'unisono al fine di dare potenza ad azioni che nel singolo sarebbero insignificanti nei risultati. In parole povere l'unione fà la forza. Chi detiene il controllo di una botnet è padrone di una potere tanto più grande quanto più è estesa la botnet stessa.

Sappiamo bene che seppur la consapevolezza a riguardo della cybersecurity sia in aumento e i moderni sistemi operativi siano sempre più sicuri by default  il tasso di macchine non protette o non correttamente configurate è comunque alto, ma c'è una novità: Un bacino di device che nascono senza la minima attenzione al tema sicurezza, un esercito di oggetti inconsapevoli e non gestiti che ad oggi viene stimato in 6,8 milioni di unità ( fonte garthner ): Quello dell' IoT.

IoT per i non addetti ai lavori è l'acronimo di Internet of Things, Ossia internet delle cose, cose che sono fondamentalmente tutti quei device che in un modo o nell'altro vengono connessi ad internet, parliamo di televisori, caldaie, DVR, telecamere e tutti gli oggetti che in nome di un mondo sempre più interconnesso vengono esposti senza alcuna protezione ad una rete dove chi, come anna-senpai, può trovare il modo di piegarli al proprio volere. Ed ecco che si prefigura l'importanza del DDOS di venerdì.

Sempre per chi non è del campo spiego che DDOS sta per distribuited denial of service ed è la realizzazione del concetto esposto poche righe fà: Avete presente quando i call center sono intasati? quello è una sorta di denil of service, centinaia di migliaia di richieste simultanee che saturano la capacità di risposta di un determinato servizio riducendolo semplicemente all'indisponibilità. Ed è esattamente ciò che è accaduto venerdì, quando circa 500.000 telecamere di videosorveglianza infette dal malware mirai hanno iniziato a generare pacchetti GRE verso i name server di dyn.

Mirai non è nuovo nel mondo del cybercrime tanto che i ragazzi di malwaremustdie lo hanno analizzato già in tempi non sospetti (fine agosto 2016), pare tra l'altro che mirai sia la genesi della botnet che già in passato ha mandato offline il sito di Bryan Krebs celebre autore del best seller spam nation.

Ciò che rende unico l'evento di venerdì è l'atto del creatore di mirai, ossia quello di pubblicare i sorgenti della sua creatura. Mossa a detta di Krebs non nuova nel campo dell'underground, molti hacker rilasciano i propri tools quando sentono di avere le forze dell'ordine alle calcagna. Anna-senpai ha rilasciato il codice il 2 ottobre annunciando di fatto il suo ritiro dal mondo delle botnet:" avevo già in mente di non rimanere molto nel mondo delle botnet, ho fatto i miei soldi, or per voi ho una rivelazione… " . A scriverlo lo stesso anna-senpai nel post dove insieme ai sorgenti di mirai sbeffeggia anche il lavoro dei ragazzi di malwaremustdie rei di aver effettuato un reverse engineering non proprio riuscito. Anna-senpai è un hacker di cui per ovvi motivi non si sà molto se non la passione per gli anime (da cui deriva il nick), lo stesso mirai trae il suo nome dal medesimo mondo, curioso? non solo, a mio dire un buon punto di partenza per tracciare un macroscopico profilo psicologico e studiare chi sta dietro le quinte del mondo della cybersecurity.  

DYN ha impiegato circa 7 ore a ripristinare i propri servizi mitigando per ben due volte gli effetti dell'attacco in atto e ha rivelato che il traffico malevolo proveniva per lo più da america e brasile, smentendo dunque le voci che addossavano alla russia la paternità dell'attacco. Le stesse rivendicazioni di wikileaks sarebbero secondo Krebs un diversivo. Non sappiamo pertanto chi o perché sia realmente dietro questo attacco.

Marshall Web, CTO di backconnect, afferma che qualcuno ha preso le redini di mirai e ha utilizzato tale sistema per danneggiare dyn o uno dei suoi clienti e non ha dubbio sul fatto che nessun'altro tipo di scenario sia possibile, testualmente:" Nothing else would have enough legitimate devices to saturate DNS queries." pertanto se la paternità di questo attacco rimane un mistero non lo è altrettanto il futuro che ci aspetta.

Ora che mirai è di dominio pubblico (procurarmi i sorgenti è stato un lavoro di meno di cinque minuti) e anche grazie alle dettagliate istruzioni di anna-senpai, il background tecnico necessario per crearsi la propria botnet mirai based è sceso notevolmente. Per fare un paragone è come distribuire liberamente pistole, procurarsi armi cybernetiche in internet è sempre più semplice e diventare vittima è sempre più facile. 

Chiudo con la riflessione del giorno: Fintanto che le cose saranno al centro di casi come questo non saremo al sicuro neanche nelle nostre case.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *