Chi ha rotto Internet venerdì?

L'attacco informatico della settimana scorsa ha pochi precedenti e dimostra quanto sia sottovalutata la sicurezza della cosiddetta "Internet delle cose"

Il governo degli Stati Uniti sta indagando sull’esteso attacco informatico che venerdì 21 ottobre ha reso inaccessibili centinaia di siti web nel paese, con ripercussioni anche per gli utenti in Europa e in altre parti del mondo. Per diverse ore sono rimasti inaccessibili servizi molto usati e popolari come Twitter, Reddit, Netflix e siti di informazione come quelli del Guardian e del New York Times. Nel fine settimana gli attacchi sono stati rivendicati da due gruppi di hacker, ma diversi esperti di sicurezza informatica hanno espresso dubbi circa la loro attendibilità: è piuttosto comune che dopo un attacco informatico ci siano più rivendicazioni, e spesso sono necessarie settimane di indagini prima di poterle smentire o confermare. L’attacco è stato isolato alla sola giornata di venerdì e negli ultimi due giorni non sono state rilevate nuove attività, ma ci sono ancora molti dettagli da chiarire.

Che cosa è successo
Il primo attacco è iniziato intorno alle 7 del mattino di New York, le 13 in Italia, e i suoi effetti si sono fatti rapidamente sentire anche in Europa, dove con diversi operatori era impossibile accedere a decine di siti e servizi statunitensi online. Sono seguiti due altri attacchi, l’ultimo dei quali è iniziato verso le 16 (le 22 in Italia) ed è durato poco meno di un’ora. Gli hacker non hanno attaccato direttamente i siti, ma i sistemi di un’azienda che si chiama Dyn e che ha il compito di smistare e indirizzare il traffico utilizzando il sistema dei DNS (Domain Name System). Semplificando molto: Dyn è una specie di enorme elenco telefonico, che mette in corrispondenza i nomi dei domini per come li conosciamo – come www.ilpost.it – con gli indirizzi IP dei singoli dispositivi collegati (qui i DNS spiegati bene). Ci sono centinaia di gestori di DNS in giro per il mondo, ma le grandi società di Internet fanno affidamento sui più grandi e attrezzati per assicurarsi che il traffico verso il loro sito sia smistato al meglio, e Dyn è uno di questi.

Gli hacker hanno indirizzato verso Dyn un attacco di tipo DDoS (distributed denial-of-service), che vuol dire che migliaia di dispositivi inviano di continuo richieste per sovraccaricare i sistemi e rallentarli il più possibile, cosa che spesso causa la totale interruzione della loro attività. Le tre ondate di DDoS di venerdì hanno messo fuori uso i sistemi di Dyn, rendendo impossibile collegarsi ai siti gestiti dal servizio. In pratica: sull’elenco telefonico di Dyn c’erano i nomi di Netflix, Guardian e gli altri (che erano regolarmente online), ma mancavano i numeri di telefono per raggiungerli.

Kyle York, uno dei responsabili di Dyn, ha scritto sul blog dell’azienda che gli attacchi DDoS sono abbastanza comuni da tempo, ma che non gli era mai successo di vederne uno così esteso e articolato come quello di venerdì. Secondo le prime stime di York, l’attacco ha coinvolto decine di milioni di sistemi riconducibili a Mirai, un malware piuttosto diffuso che infetta soprattutto videocamere, punti di accesso domestici e altri dispositivi che si collegano a Internet (“Internet delle cose / Internet of Things”, IoT), creando una grande rete (botnet) di sistemi controllati a distanza per compiere attacchi informatici su larga scala.

Mirai
Il malware utilizzato per l’attacco contro Dyn è conosciuto da tempo e il suo funzionamento è ormai noto, anche perché il suo codice sorgente è stato più volte pubblicato sui forum di hacker e appassionati di informatica (con l’inevitabile conseguenza di essere stato riadattato per la creazione di altri malware). Mirai cerca su internet i dispositivi IoT e prova a infettarli usando lunghi elenchi di username e password piuttosto diffusi: molti utenti non cambiano mai le impostazioni di fabbrica delle loro videocamere di sicurezza, termostati intelligenti e altri IoT, ed è quindi piuttosto semplice trovare le credenziali per accedere a quei dispositivi e ottenerne il controllo. Una volta violati, gli IoT entrano a far parte di una botnet e possono essere controllati a distanza, per esempio per inviare decine di richieste al secondo per un attacco DDoS, come quello di venerdì.

Il modo più semplice per liberarsi di Mirai è riavviare il dispositivo infettato e cambiare subito dopo la password. In assenza di questa modifica, di solito Mirai impiega pochi minuti per riottenere il controllo del dispositivo che aveva infettato in precedenza. Il problema è che questa modifica è totalmente invisibile al proprietario della videocamera, del termostato o del router, che non ha quindi la minima idea di far parte con la sua connessione di una botnet. Questa caratteristica, insieme a quella di sfruttare dispositivi che hanno quasi sempre username e password che non vengono mai cambiate rispetto a quelle di fabbrica, ha reso possibile la creazione di enormi reti di dispositivi infettati.

Chi ha condotto l’attacco
Grazie alle ricerche di Dyn e di altri esperti di sicurezza, sappiamo che gli attacchi di venerdì sono stati condotti sfruttando Mirai, ma non sappiamo ancora chi abbia organizzato e gestito materialmente l’iniziativa. Due dei più conosciuti gruppi di hacker, New World Hackers e Anonymous, hanno rivendicato l’attacco dicendo di averlo organizzato contro la decisione del governo dell’Ecuador di limitare l’accesso a Internet a Julian Assange, accusato di avere interferito nella campagna elettorale per le presidenziali negli Stati Uniti pubblicando centinaia di email riservate di Hillary Clinton. Assange vive da anni nell’ambasciata dell’Ecuador di Londra, dove ha ottenuto asilo ed evitato finora di essere estradato in Svezia dove è accusato di molestie sessuali.

Nel fine settimana sono stati sollevati molti dubbi sulle rivendicazioni circolate finora, perché gli esperti di sicurezza ritengono che i due gruppi non abbiano risorse sufficienti per organizzare attacchi di questo tipo, per lo meno non su una scala così grande. New World Hackers ha comunque mantenuto la sua versione e domenica 23 ottobre ha pubblicato un breve comunicato su Twitter, nel quale annuncia di volere terminare le proprie attività dopo avere ottenuto risultati così importanti. Il comunicato fa intendere che quello di venerdì sia stato una specie di atto dimostrativo, che ha messo in evidenza la debolezza dei dispositivi di “Internet delle cose”, su cui c’è molto da lavorare per garantire un maggiore livello di sicurezza e affidabilità della Rete, soprattutto in vista di un aumento significativo degli IoT nei prossimi anni.

Il governo degli Stati Uniti ha confermato di essere al lavoro per identificare i colpevoli e ha aggiunto che per ora non esclude nessuna possibilità sugli attacchi. Trovare i responsabili di iniziative di questo tipo non è però semplice, proprio perché l’attacco viene organizzato in modo diffuso e gli hacker sono piuttosto abili a confondere le acque.

“Internet delle cose”
Come ricorda Hannah Kuchler sul Financial Times, negli ultimi anni l’euforia intorno alla possibilità di potere controllare a distanza alcune cose nella propria casa o in ufficio – dalla temperatura degli ambienti alla videosorveglianza, passando per cosa c’è ancora in frigorifero – ha portato “molti produttori con scarsa esperienza nel campo della sicurezza informatica a collegare i loro dispositivi a Internet”. A oggi non ci sono regole chiare da parte dei governi, o degli organismi di autocontrollo di Internet, su come questi dispositivi debbano funzionare dal punto di vista della sicurezza. In alcuni casi, basta un solo sistema non sicuro per mettere in pericolo un’intera rete aziendale, ma problemi di questo tipo sono stati finora sottovalutati, come testimonia il successo e la diffusione di Mirai.

Gli esperti di sicurezza informatica dicono da anni che l’attuale espansione senza regole dei dispositivi IoT è molto rischiosa e dovrebbe essere affrontata più seriamente. Secondo gli esperti della società di analisi Gartner, entro il 2020 ci saranno circa 20 miliardi di dispositivi collegati a Internet in tutto il mondo, e che la spesa da parte delle aziende per affrontare la sicurezza di questi sistemi è ancora molto bassa e inadeguata.

Eppure, per cominciare, basterebbero alcuni accorgimenti per ridurre il rischio di finire in una botnet con il proprio termostato di casa o lampadina WiFi superintelligente a colori. I produttori potrebbero, per esempio, obbligare gli utenti a cambiare la password predefinita al primo utilizzo del loro nuovo dispositivo, con una semplice condizione: se non lo fai, non puoi usarlo. Tra le altre possibili soluzioni c’è quella di inserire nel dispositivi un sistema che rilevi le attività anomale, per esempio impedendo l’invio di continue richieste verso uno specifico sito come avviene quando si sta compiendo un attacco DDoS. (Il comportamento di un dispositivo all’interno di una botnet è molto anomalo rispetto a quello in normali condizioni, quindi non è così difficile creare un sistema che rilevi queste anomalie anche in oggetti poco sofisticati rispetto a un computer).

Dyn e DNS
L’attacco di venerdì ha inoltre dimostrato come possa essere rischioso concentrare in poche grandi entità online la gestione dei DNS per l’accesso ai siti di mezzo mondo. Dyn ha molti grandi clienti e questo ha influito sull’estensione del problema. L’azienda dice di avere fatto il possibile per ripristinare in fretta i suoi servizi, ma in molti si stanno chiedendo se fosse preparata a eventualità di questo tipo, che superano i normali attacchi giornalieri che ricevono i gestori di questi servizi.