Attacco DDoS negli USA: Internet of Things al servizio degli hacker
Il recente attacco DDoS che ha colpito decine di servizi internet potrebbe essere solo la punta dell'iceberg di una Botnet dalle potenzialità illimitate.
L'IoT è un settore in rapida espansione, su cui tutte le più grandi case produttrici di hardware stanno lavorando da tempo. Il motivo è molto semplice: si tratta di un mercato potenzialmente enorme per il futuro. Pensate a un mondo completamente interconnesso, dallo smartphone al frigorifero, passando per sistemi di allarme, prese della corrente e tutto quanto è presente normalmente nelle case e nelle città. Si tratta di una rivoluzione che comporterà la nascita di nuovi prodotti e la sostituzione di quelli più vecchi, almeno sul lungo periodo. Allo stato attuale però, si tratta di un settore molto acerbo e con diversi limiti, limiti che si sono palesati il 21 ottobre, giorno in cui si è verificato un attacco informatico senza precedenti. Ma da dove è partito tutto? Proprio dai dispositivi per l'IoT, che sono stati fondamentali per il successo dell'operazione criminale.
Un caso preoccupante
Il 21 ottobre una serie di attacchi DDoS a Dyn DNS, azienda fornitrice di servizi per il funzionamento della rete, ha messo fuori gioco alcuni dei portali più importanti di internet. Tra questi figurano nomi del calibro di Netflix, eBay, Spotify e Xbox Live, ma anche molti altri sono stati messi ko dall'attacco. Per capire bene cosa è accaduto è bene approfondire prima due aspetti fondamentali: il primo è chi è Dyn DNS, il secondo invece è cos'è un attacco DDoS. Dyn DNS è un'azienda che offre un servizio molto semplice ma essenziale per il funzionamento del web: in pratica associa gli indirizzi IP dei siti internet al loro nome effettivo (ad esempio www.bbc.com). Si tratta di un servizio che si piazza tra utente e siti web, senza il quale un computer non può raggiungere il sito desiderato. Un attacco DDoS (Distributed Denial-of-Service) invece sfrutta una Botnet per colpire un server con un numero enorme di richieste di accesso, senza uno scopo preciso, ma in grado comunque di causare il blocco del sistema. Questa tipologia di attacco è sempre più utilizzata negli ultimi anni, ad esempio da Anonymous, e permette di compiere danni ingenti senza particolari conoscenze tecniche. Il caso di Anonymous però è ben diverso da quello visto lo scorso venerdì, perché gli attivisti del gruppo si univano in modo volontario alla Botnet responsabile delle richieste di accesso ai server. Se non sapete così una Botnet, questa è una rete che mette insieme un numero enorme di dispositivi, con il loro consenso o meno, e li sfrutta per effettuare attacchi DDoS mirati all'abbattimento delle infrastrutture di rete. Tornando al caso del 21 ottobre, gli esperti di sicurezza dell'azienda Flashpoint sono concordi nell'affermare che l'attacco sia stato causato da una Botnet creata tramite Mirai, software utilizzato per scandagliare il web alla ricerca di dispositivi IoT. Una volta trovato un possibile bersaglio, Mirai fa una cosa molto semplice: tenta di accedervi utilizzando le credenziali di fabbrica, ovvero User e Password che vengono forniti all'utente all'acquisto di un prodotto. Se queste non sono state cambiate, allora Mirai accede al dispositivo e lo fa suo, facendolo entrare nella sua Botnet. I dati rilevati finora dicono che nella Botnet responsabile dell'attacco erano presenti oltre 500.000 device, distribuiti tra nord e sud America, ma solo una parte è stata usata per abbattere i server. Si tratta di una dimostrazione di forza notevole, come a voler sottolineare che le potenzialità della Botnet Mirai sono ben più elevate.
Le responsabilità degli utenti non sono poche, di fatto basta cambiare la password di fabbrica per essere esenti da problemi, ma anche le aziende produttrici hanno colpe piuttosto importanti. Ad esempio, un meccanismo che obblighi al cambio della password dopo la configurazione iniziale eliminerebbe del tutto la possibilità di infezione con questa metodologia, come anche una semplificazione di questa procedura. A conferma delle responsabilità dei produttori, la maggior parte dei dispostivi che formano la Botnet sono registratori e videocamere realizzate da XiongMai Technologies, che ha già provveduto al richiamo dei prodotti dal mercato dopo l'attacco. Il motivo è che questi dispositivi hanno un sistema molto complesso per il cambio della password, che non prevede interfaccia web ma avviene tramite Telnet o riga di comando. Come potete capire, sono pochi gli utenti in grado di portare a termine questa procedura e non si tratta di un caso isolato, visto che altri dispositivi per l'IoT presentano una procedura complessa per la modifica della password. In pratica, il 21 ottobre internet è stata messa ko da due fattori: l'utilizzo di password poco sicure e le mancanze in termini di sicurezza dei dispositivi IoT. Se si pensa che nei prossimi anni saranno miliardi i device IoT messi in commercio, allora è bene iniziare fin da subito a imporre rigide norme di sicurezza, perché gli effetti di una Botnet composta da un numero tanto elevato di dispositivi potrebbero essere catastrofici. Ma chi ha il controllo della Botnet Mirai che ha compiuto l'attacco? Allo stato attuale, non ci sono certezze. Un gruppo di cracker chiamato "New World Hackers" ha rivendicato l'attacco, dopo quelli al sito della BBC a dicembre e prima ancora a uno dei portali di ESPN. Il gruppo ha affermato di aver utilizzato oltre 100000 dispositivi per bloccare Dyn DNS; una prova di forza per mostrare alla Russia che gli hacker americani non sono inferiori a quelli sovietici, secondo un loro portavoce, e per testare i limiti delle attuali infrastrutture di rete. Argomentazioni piuttosto vaghe e che lasciano spazio a forti dubbi. Dopo la rivendicazione, New World Horder ha emanato un comunicato in cui ha annunciato il suo ritiro dalle scene internazionali.
Altra possibilità è che si sia trattato di una risposta della Russia alle recenti rivelazioni della NBC, secondo cui la CIA è in procinto di effettuare un massiccio attacco informatico contro Mosca. Andrea Zapparoli Manzoni, esperto di sicurezza e membro del Clusit, associazione italiana per la sicurezza informatica, ha dichiarato all'ANSA che "Questo non è un attacco ma un test per misurare quanto sia robusta la struttura mondiale del web. Potrebbe essere messo in atto contro la Borsa di Londra e l'economia mondiale soffrirebbe gravi conseguenze. Ad avere interesse a sferrare azioni di questo tipo sono diversi soggetti, statali e non statali. Non solo la Russia, ma anche la Cina e l'Isis, solo per fare esempi. Ci vuole cautela con le attribuzioni, può essere un esercizio spericolato. La situazione è molto più complicata di quello che sembra". Allo stato attuale, è impossibile affermare con certezza chi ha compiuto l'attacco e probabilmente non si saprà mai. La cosa certa è che le tensioni tra USA e Russia, che hanno riportato in auge i timori di una Guerra Fredda mai realmente terminata, non sembrano placarsi, soprattutto online, e sembrano destinate ad acuirsi nel prossimo periodo. A tal proposito, nella sua intervista all'ANSA Andrea Zapparoli Manzoni ha parlato di scenari piuttosto inquietanti: "C'è qualcuno in questo momento che ha il potere di mettere offline qualsiasi organizzazione. Abbiamo creato degli ecosistemi che sono un luogo naturale per effetti domino, basta una singola vulnerabilità e si blocca tutto. Gli scenari apocalittici non sono fantasie da film, il vero problema è che con un blackout del genere torniamo a 150 anni fa". Parole molto pesanti, che non possono che far riflettere sulla necessità di maggiore sicurezza per i dispositivi connessi alla rete.
Attacco DDoS negli USA: Internet of Things al servizio degli hacker
Il recente attacco DDoS che ha colpito decine di servizi internet potrebbe essere solo la punta dell'iceberg di una Botnet dalle potenzialità illimitate.
L'IoT è un settore in rapida espansione, su cui tutte le più grandi case produttrici di hardware stanno lavorando da tempo. Il motivo è molto semplice: si tratta di un mercato potenzialmente enorme per il futuro. Pensate a un mondo completamente interconnesso, dallo smartphone al frigorifero, passando per sistemi di allarme, prese della corrente e tutto quanto è presente normalmente nelle case e nelle città. Si tratta di una rivoluzione che comporterà la nascita di nuovi prodotti e la sostituzione di quelli più vecchi, almeno sul lungo periodo. Allo stato attuale però, si tratta di un settore molto acerbo e con diversi limiti, limiti che si sono palesati il 21 ottobre, giorno in cui si è verificato un attacco informatico senza precedenti. Ma da dove è partito tutto? Proprio dai dispositivi per l'IoT, che sono stati fondamentali per il successo dell'operazione criminale.
Un caso preoccupante
Il 21 ottobre una serie di attacchi DDoS a Dyn DNS, azienda fornitrice di servizi per il funzionamento della rete, ha messo fuori gioco alcuni dei portali più importanti di internet. Tra questi figurano nomi del calibro di Netflix, eBay, Spotify e Xbox Live, ma anche molti altri sono stati messi ko dall'attacco. Per capire bene cosa è accaduto è bene approfondire prima due aspetti fondamentali: il primo è chi è Dyn DNS, il secondo invece è cos'è un attacco DDoS. Dyn DNS è un'azienda che offre un servizio molto semplice ma essenziale per il funzionamento del web: in pratica associa gli indirizzi IP dei siti internet al loro nome effettivo (ad esempio www.bbc.com). Si tratta di un servizio che si piazza tra utente e siti web, senza il quale un computer non può raggiungere il sito desiderato. Un attacco DDoS (Distributed Denial-of-Service) invece sfrutta una Botnet per colpire un server con un numero enorme di richieste di accesso, senza uno scopo preciso, ma in grado comunque di causare il blocco del sistema. Questa tipologia di attacco è sempre più utilizzata negli ultimi anni, ad esempio da Anonymous, e permette di compiere danni ingenti senza particolari conoscenze tecniche. Il caso di Anonymous però è ben diverso da quello visto lo scorso venerdì, perché gli attivisti del gruppo si univano in modo volontario alla Botnet responsabile delle richieste di accesso ai server. Se non sapete così una Botnet, questa è una rete che mette insieme un numero enorme di dispositivi, con il loro consenso o meno, e li sfrutta per effettuare attacchi DDoS mirati all'abbattimento delle infrastrutture di rete.
Tornando al caso del 21 ottobre, gli esperti di sicurezza dell'azienda Flashpoint sono concordi nell'affermare che l'attacco sia stato causato da una Botnet creata tramite Mirai, software utilizzato per scandagliare il web alla ricerca di dispositivi IoT. Una volta trovato un possibile bersaglio, Mirai fa una cosa molto semplice: tenta di accedervi utilizzando le credenziali di fabbrica, ovvero User e Password che vengono forniti all'utente all'acquisto di un prodotto. Se queste non sono state cambiate, allora Mirai accede al dispositivo e lo fa suo, facendolo entrare nella sua Botnet. I dati rilevati finora dicono che nella Botnet responsabile dell'attacco erano presenti oltre 500.000 device, distribuiti tra nord e sud America, ma solo una parte è stata usata per abbattere i server. Si tratta di una dimostrazione di forza notevole, come a voler sottolineare che le potenzialità della Botnet Mirai sono ben più elevate.
Le responsabilità degli utenti non sono poche, di fatto basta cambiare la password di fabbrica per essere esenti da problemi, ma anche le aziende produttrici hanno colpe piuttosto importanti. Ad esempio, un meccanismo che obblighi al cambio della password dopo la configurazione iniziale eliminerebbe del tutto la possibilità di infezione con questa metodologia, come anche una semplificazione di questa procedura. A conferma delle responsabilità dei produttori, la maggior parte dei dispostivi che formano la Botnet sono registratori e videocamere realizzate da XiongMai Technologies, che ha già provveduto al richiamo dei prodotti dal mercato dopo l'attacco. Il motivo è che questi dispositivi hanno un sistema molto complesso per il cambio della password, che non prevede interfaccia web ma avviene tramite Telnet o riga di comando. Come potete capire, sono pochi gli utenti in grado di portare a termine questa procedura e non si tratta di un caso isolato, visto che altri dispositivi per l'IoT presentano una procedura complessa per la modifica della password.
In pratica, il 21 ottobre internet è stata messa ko da due fattori: l'utilizzo di password poco sicure e le mancanze in termini di sicurezza dei dispositivi IoT. Se si pensa che nei prossimi anni saranno miliardi i device IoT messi in commercio, allora è bene iniziare fin da subito a imporre rigide norme di sicurezza, perché gli effetti di una Botnet composta da un numero tanto elevato di dispositivi potrebbero essere catastrofici.
Ma chi ha il controllo della Botnet Mirai che ha compiuto l'attacco? Allo stato attuale, non ci sono certezze. Un gruppo di cracker chiamato "New World Hackers" ha rivendicato l'attacco, dopo quelli al sito della BBC a dicembre e prima ancora a uno dei portali di ESPN. Il gruppo ha affermato di aver utilizzato oltre 100000 dispositivi per bloccare Dyn DNS; una prova di forza per mostrare alla Russia che gli hacker americani non sono inferiori a quelli sovietici, secondo un loro portavoce, e per testare i limiti delle attuali infrastrutture di rete. Argomentazioni piuttosto vaghe e che lasciano spazio a forti dubbi. Dopo la rivendicazione, New World Horder ha emanato un comunicato in cui ha annunciato il suo ritiro dalle scene internazionali.
Altra possibilità è che si sia trattato di una risposta della Russia alle recenti rivelazioni della NBC, secondo cui la CIA è in procinto di effettuare un massiccio attacco informatico contro Mosca. Andrea Zapparoli Manzoni, esperto di sicurezza e membro del Clusit, associazione italiana per la sicurezza informatica, ha dichiarato all'ANSA che "Questo non è un attacco ma un test per misurare quanto sia robusta la struttura mondiale del web. Potrebbe essere messo in atto contro la Borsa di Londra e l'economia mondiale soffrirebbe gravi conseguenze. Ad avere interesse a sferrare azioni di questo tipo sono diversi soggetti, statali e non statali. Non solo la Russia, ma anche la Cina e l'Isis, solo per fare esempi. Ci vuole cautela con le attribuzioni, può essere un esercizio spericolato. La situazione è molto più complicata di quello che sembra".
Allo stato attuale, è impossibile affermare con certezza chi ha compiuto l'attacco e probabilmente non si saprà mai. La cosa certa è che le tensioni tra USA e Russia, che hanno riportato in auge i timori di una Guerra Fredda mai realmente terminata, non sembrano placarsi, soprattutto online, e sembrano destinate ad acuirsi nel prossimo periodo. A tal proposito, nella sua intervista all'ANSA Andrea Zapparoli Manzoni ha parlato di scenari piuttosto inquietanti: "C'è qualcuno in questo momento che ha il potere di mettere offline qualsiasi organizzazione. Abbiamo creato degli ecosistemi che sono un luogo naturale per effetti domino, basta una singola vulnerabilità e si blocca tutto. Gli scenari apocalittici non sono fantasie da film, il vero problema è che con un blackout del genere torniamo a 150 anni fa". Parole molto pesanti, che non possono che far riflettere sulla necessità di maggiore sicurezza per i dispositivi connessi alla rete.
Altri contenuti per Il Mondo della Tecnologia