0x10 — L’attacco ad Internet
Venerdì 21 Ottobre 2016, intorno alle 7 di mattina nell’orario della costa est degli Stati Uniti, un attacco digitale all'infrastruttura di internet ha reso irraggiungibili molti siti web, tra cui Twitter, CNN, Spotify e persino l’homepage del New York Times.
Questo attacco non ha colpito direttamente le singole pagine web ma ha mirato ad un’azienda che si occupa di fornire un servizio fondamentale per il funzionamento del web per come lo utilizziamo. Questa azienda si chiama Dyn e si trova in New Hampshire. Dyn offre servizi di DNS, acronimo di Domain Name System. Il suo compito, quindi, è quello di fornire una sorta di elenco telefonico dove, al posto dei numeri, sono presenti gli indirizzi IP delle pagine web a cui vogliamo accedere, ed al posto dei nominativi telefonici ci sono i nomi degli indirizzi web che noi immettiamo nelle barre di ricerca, tipo www.facebook.com
L’esistenza dei DNS facilita notevolmente il nostro utilizzo di internet perchè non ci costringe a ricordare tutti gli indirizzi IP, che sono costituiti da numeri, tipo 192.168.1.1, e ci permette di ricordare invece degli indirizzi composti da nomi e quindi più facili da memorizzare.
Quando un azienda che fornisce servizi di DNS viene attaccata, parte del suo sistema smette di funzionare e tutte le richieste di accesso ai siti web da parte degli utenti non vengono indirizzate correttamente. Il risultato? Internet si rompe.
A rendere il quadro ancor più drammatico, è la tipologia di attacco utilizzata.
Si è trattato di un DDoS effettuato tramite una botnet composta da dispositivi dell’Internet degli oggetti.
Per gli assidui ascoltatori di R0b0t0, questi termini suonano di certo familiari. Il DDoS è l’acronimo di Distributed Denial of Service, un attacco che sovraccarica di richieste un server in modo tale da renderlo inutilizzabile ed impedirgli di funzionare propriamente. Una botnet, invece, è un insieme di dispositivi che sono stati infettati da un malware e che, simile ad un esercito di zombie, possono essere comandati a proprio piacimento.
In questo caso, la botnet, era costituita da oggetti connessi ad internet come videocamere di sorveglianza e videoregistratori.
Un software chiamato Mirai che crea una botnet di questo tipo era stato recentemente diffuso online.
Secondo Flashpoint, un’azienda di sicurezza informatica, l’attacco del 21 Ottobre è stato in parte effettuato utilizzando una botnet creata con il software Mirai. Nello specifico, aggiungono, i dispositivi compromessi sembrano avere in comune alcuni componenti prodotti da un’azienda cinese, chiamata XiongMai Technologies.
Il software Mirai cerca dispositivi connessi ad internet ed effettua un attacco di forza bruta per indovinare le credenziali di accesso a questi dispositivi che sono state definite dalle aziende in fase di produzione. Spesso queste credenziali sono veramente banali come “admin”, “12345” o “password” e quindi, partendo da una lista di banali possibili password, tenta tutte le combinazioni fino a quando non ha successo. Una volta effettuato l’accesso, i dispositivi diventano parte della botnet e sono pronti ad essere utilizzati dagli hacker.
I dispositivi che sembrano essere caduti nella botnet sono circa 500 mila, ma probabilmente il numero è in costante aumento visto che Mirai è pubblicamente disponibile. Nel caso specifico di questo attacco, sembra che solo il 10% di tutti i dispositivi compromessi sia stato utilizzato.
Temo che questo attacco sia solo un assaggio di ciò che potremmo subire in futuro. La diffusione sul mercato di centinaia di migliaia di dispositivi dell’internet of things, privi persino delle misure di sicurezza più basilari, rappresenta una minaccia consistente a tutta l’infrastruttura di internet. Questi dispositivi non sono nemmeno facilmente riparabili, non tutte le persone, infatti, sono in grado di modificare le password di questi dispositivi intelligenti ed in alcuni cassi non è nemmeno possibile farlo per una scelta dell’azienda produttrice.
In molti di questi casi è necessario un intervento diretto delle aziende che devono sostituire tutti i loro prodotti. Un impegno che richiederebbe delle spese ingenti e che, visto il basso prezzo di molti di questi dispositivi venduti online, sicuramente non è allettante.
Continuare a produrre oggetti intelligenti ma che sono altamente vulnerabili mostra chiaramente la mancanza di volontà nell’affrontare seriamente la questione della sicurezza informatica. Il mantra degli oggetti intelligenti rischia di offuscarci la vista ed illuderci che la semplice aggiunta di internet ad un tostapane possa migliorare la nostra vita.
Se la sicurezza informatica non viene richiesta come standard di qualità, l’unica trasformazione che questi oggetti produrranno sarà quella di creare un inferno tecnologico. Fino a quando ci saranno in circolazione oggetti intelligenti vulnerabili dovremo tenerli staccati da internet.
