I DDoS tengono sotto scacco l'e-commerce?

Lo sospetta qualcuno all'indomani del black out che ha costretto Amazon.com a due ore di indisponibilitÓ, e a mancati incassi per milioni di dollari. I segnali di un grave problema per la rete, mai davvero risolto, ci sono tutti

Roma - Amazon.com nei giorni scorsi è caduta sotto un attacco distribuito di tipo denial-of-service (DDoS)? La moltitudine dei suoi server, l'esercito dei suoi tecnici, la ridondanza dei suoi sistemi sono davvero crollati dinanzi alla violenza di un'aggressione telematica di questo tipo? Di certezze non ve ne sono, ma il black out che nei giorni scorsi ha tenuto sotto scacco per due ore il maggiore tra i siti di commercio elettronico lo hanno notato tutti e più di uno lo ha collegato ad un attacco DDoS.

Non che sia un sospetto peregrino: sebbene costituisca una delle più potenti infrastrutture di e-commerce oggi attive in rete, quella di Amazon è una rete che deve vedersela con un nemico di cui si sa pochissimo. Collegati in botnet che possono controllare milioni di computer, PC zombie infettati da cracker e gestiti da remoto possono venire utilizzati per molte diverse finalità e secondo qualcuno potrebbero essere riusciti a intasare i server di Amazon, finendo persino per renderli inaccessibili agli utenti. Due ore non sono certo una eternità, ma si calcola che il negozio di e-commerce abbia buttato via per quella ragione quasi quattro milioni di dollari di vendite. Il danno economico c'è stato e se davvero si è trattato di un attacco DDoS è possibile che chi lo ha ordinato, che potrebbe non essere chi lo ha eseguito, abbia ottenuto il suo scopo.

Da parte sua Amazon per ora ha scelto di non commentare ufficialmente l'accaduto. Ma su quanto successo c'è chi cerca di tirare le somme: gli esperti di Websense hanno già dichiarato di non aver trovato traccia di attacchi ad Amazon che siano collegabili all'aspetto sicurezza e c'è anche chi sottolinea come di attacchi DDoS tutti i maggiori siti debbano fronteggiarne ogni giorno, e siano quindi i più preparati a contenerli. Ciò nonostante, osserva qualcuno, durante le due ore di buco, i server del sito a tratti sono tornati accessibili, un comportamento che potrebbe essere dovuto a molte diverse cause ma che è quantomeno compatibile con la presenza in quel momento di un attacco di tipo distribuito. Jose Nazario, di Arbor Networks, ha fatto sapere che non ci sono "certezze su quello che può essere accaduto: non sono sicuro se sia stato un attacco o un down dei servizi a causa di problemi da parte loro o cos'altro".
Un esperto di sicurezza che ha seguito gli avvenimenti, Supranamaya Ranjan, ha sottolineato come da un lato alcune analisi iniziali suggeriscano che l'attacco DDoS non si sia verificato, dall'altro ha parlato di segnali che fanno ipotizzare un attacco combinato in cui la componente DDoS sia stato solo uno dei fronti aperti. A suffragare questa ipotesi il fatto che esattamente nel momento in cui i server di Amazon diventavano irraggiungibili, altrettanto accadeva a Internet Movie Database, il più noto tra i siti dedicati al cinema, network ospitato dai servizi web di Amazon. Quella di IMDB.com non è stata una sparizione casuale: quanto ha subito è stato un attacco DDoS senza ombra di dubbio, a sentire gli esperti. Scrive Ranjan: "La portata media dell'attacco è stata di 3 megabit al secondo, certamente non abbastanza potente per causare un blocco completo ma probabilmente buona abbastanza per rallentare la normale operatività del sito. Ma allo stesso tempo potrebbero esservi stati altri attacchi lanciati allo stesso tempo su IMDB che noi non abbiamo intercettato".

A spingere alcuni a ritenere che un attacco DDoS abbia giocato un ruolo non secondario nei problemi di Amazon, anche le osservazioni che sono state prodotte da alcuni rappresentanti dell'azienda nel corso della crisi degli scorsi giorni. In particolare attribuivano quanto stava accadendo ad un upgrade del sito che non stava evidentemente sviluppandosi nei modi previsti. Una motivazione che non ha convinto tutti ma che appare però comprensibile, visti gli attesi annunci delle prossime ore sul fronte Apple e su quello videoludico. Alcuni sono comunque stati colpiti dal fatto che porzioni dei servizi Amazon fossero disponibili a tratti, altre solo in alcuni dei paesi in cui il sito è presente, altre ancora a macchia di leopardo. Su questo si è espressa l'azienda in quei momenti difficili, spiegando che "i sistemi di Amazon sono molto complessi e in rare occasioni, nonostante i nostri sforzi, vi possono essere dei problemi".

Va da sé che buttar fuori dalla rete o rendere inaccessibili i server di Amazon richiederebbe DDoS assai più impegnativi di quelli che sono stati messi in atto per censurare voci libere o mettere nei guai piattaforme come Wordpress, richiederebbe botnet di grande ampiezza e potenza. Quello dei DDoS è un argomento che solo ora sembra venir preso sul serio nelle sedi istituzionali. Se i DDoS sono stati utilizzati in passato anche per distruggere l'antispam, più spesso sono stati al centro di ricatti e clamorose aggressioni ai sistemi telematici per motivi economici ed industriali.

Difficile dire ancora oggi, a giorni di distanza dagli avvenimenti, che cosa abbia impedito ad uno dei siti più gettonati della rete di funzionare a dovere in quelle due ore. La preoccupazione che ha circondato gli eventi è peraltro assai superiore a quella che aveva caratterizzato gli attacchi DDoS che nel 2000 avevano spinto offline Amazon, Yahoo ed altri importanti siti web. Tra i motivi di questa attenzione anche il fatto che da otto anni a questa parte Amazon.com non abbia subito down di questa portata. Ma la ragione sta anche nella centralità di certi network per la vita di Internet, o per la vita finanziaria che si svolge grazie ad Internet, una centralità in crescita costante. Il fatto, che un sito di tale rilievo possa finire nei guai per un paio d'ore e che non tutto sia chiaro su quanto accaduto, lascia spazio a gossip deleterio, ad una incertezza che non piace agli esperti di security e ancor meno piace ad investitori e azionisti delle maggiori net company.
17 Commenti alla Notizia I DDoS tengono sotto scacco l'e-commerce?
Ordina
  • Non voglio scatenare polemiche ma il fatto che gli zombie siano tutti sistemi Windows secondo me dovrebbe dire qualcosa.

    Sarebbe assai stupido chiudere gli occhi su questa realtà!

    Se ci fosse un'automobile che provoca incidenti tutti i giorni in grande quantità il costruttore sarebbe obbligato a toglierla dal mercato.

    Perchè questo non accade quando si parla di Windows?
    non+autenticato
  • Assolutamente, non è colpa di Windows, è colpa di tutti gli utenti pazzi che dopo i 60 giorni di prova di Norton Antivirus non acquistano la licenza per il loro nuovo notebook!

    ovviamente sono sarcastico...
    non+autenticato
  • - Scritto da: Gianni
    > Non voglio scatenare polemiche ma il fatto che
    > gli zombie siano tutti sistemi Windows secondo me
    > dovrebbe dire qualcosa.
    >

    Ti dice soltanto che si tratta di sistemi Windows perché è il S.O. più diffuso al mondo. Se al suo posto ci fosse Linux, scriverebbero worm o virus per Linux, molto semplicemente, dato che per fare una botnet ci vogliono molte macchine infettate.

    >
    > Sarebbe assai stupido chiudere gli occhi su
    > questa
    > realtà!
    >
    > Se ci fosse un'automobile che provoca incidenti
    > tutti i giorni in grande quantità il costruttore
    > sarebbe obbligato a toglierla dal
    > mercato.
    >
    > Perchè questo non accade quando si parla di
    > Windows?

    Forse perché una macchina che tende a schiantarsi contro un muro è una cosa un pochino più grave di un PC infettato ?
    non+autenticato
  • dipende cosa fa il pc infettato...
    ciao andrea.
    non+autenticato
  • ovvio siano windows mica faranno l'attacco con 3 pc linux su dom ste cose fanno ridere eheeheeh
    non+autenticato
  • Se fai queste affermazioni mi fai intendere di non conoscere l'architettura con cui è scritto un sistema *nix.
    Scrivere un worm per *nix non servirebbe perchè appena scoperto il bug sfruttato sarebbe chiuso dalla comunità.
    Sicuramenti ci sarebbero utenti che prima di installare programmi non verificano il checksum del pacchetto, ma ti assicuro sarebbero una minoranza trascurabile.
    Potrei continuare ma non mi sento in grado di dare lezioni.... sicuramente in rete potresti trovare informazioni più chiare.
    Ma suppongo che non andrai a cercartele.
    non+autenticato
  • E' inutile negarlo, il DDOS è il male tecnologico del 20░ secolo !!!

    Se pensiamo che ormai sia le piccole aziende (HDSL da 8 megabit) che i grossi provider ( > 10 Gigabit di banda) possono essere presi sotto scacco da ragazzini, la cosa non è per niente rassicurante !

    Il problema di base ancora una volta è la mancanza di sicurezza da parte dei sistemi zombie che vengono utilizzati nell'attacco.

    Se ci si rende conto che detta a livello MOLTO LAMERO basta una settimana di scan per trovare migliaia di router con firmare OpenWRT con user admin password admin, su cui si può scaricare e lanciare un KAITEN, o banalmente installare un rbot su un sistema windows utilizzando i classici bug di IE (ma anche mozilla), aiaiai ..... siamo davvero tutti nella KAKKA !!!!

    Magari oggi no ... domani nemmeno .... ma tra 1 mese o 2 ?

    La concorrenza si fa sempre più spietata, e avere una dosnet è sempre sinonimo di prestare "servizi" al miglior offerente.

    Come difendersi se ci saturano tutta la banda ?
    Esistono soluzioni spartane e alcune "di lima" ma comunque sopravvivere ad un DDOS magari con più tipi di flooding, ICMP, SYN e utilizzando IP SPOOFING rimane sempre una dura e ardua impresa, al più delle volte IMPOSSIBILE !!!!

    Scollegare da Internet da parte dell'ISP fornitore della connessione eventuale traffico sospetto con ip.scr diverso da quello attualmente in uso potrebbe essere la soluzione più adeguata per una convivenza NEUTRALE e BILANCIATA degli utenti in rete.

    Verificare inoltre che le password di default di router e dispositivi siano settate a dovere, dovrebbe essere un'altra prerogativa di chi ti lascia connettere alla propria rete ..... ma qui si sa ..... ANARCHIA TOTALE .... con a volte più CONTRO che PRO.
    non+autenticato
  • Guarda che stai a fare troppo il difficile per i lettori di sto giornale.
    Dai la colpa a Windows, sarai più considerato, dammi retta...


    ciao ciao
    non+autenticato
  • - Scritto da: Marco Marcoaldi
    > E' inutile negarlo, il DDOS è il male tecnologico
    > del 20░ secolo
    > !!!
    >
    > Se pensiamo che ormai sia le piccole aziende
    > (HDSL da 8 megabit) che i grossi provider ( > 10
    > Gigabit di banda) possono essere presi sotto
    > scacco da ragazzini, la cosa non è per niente
    > rassicurante
    > !
    >
    > Il problema di base ancora una volta è la
    > mancanza di sicurezza da parte dei sistemi zombie
    > che vengono utilizzati
    > nell'attacco.
    >
    > Se ci si rende conto che detta a livello MOLTO
    > LAMERO basta una settimana di scan per trovare
    > migliaia di router con firmare OpenWRT con user
    > admin password admin, su cui si può scaricare e
    > lanciare un KAITEN, o banalmente installare un
    > rbot su un sistema windows utilizzando i classici
    > bug di IE (ma anche mozilla), aiaiai ..... siamo
    > davvero tutti nella KAKKA
    > !!!!

    Adesso non esagerare... migliaia... diciamo che fai prima a trovare un bel po' di macchine Windows non aggiornate e con firewall disabilitato (o col FW interno di windows abilitato, che è più o meno la stessa roba)


    > Come difendersi se ci saturano tutta la banda ?
    > Esistono soluzioni spartane e alcune "di lima" ma
    > comunque sopravvivere ad un DDOS magari con più
    > tipi di flooding, ICMP, SYN e utilizzando IP
    > SPOOFING rimane sempre una dura e ardua impresa,
    > al più delle volte IMPOSSIBILE
    > !!!!
    >
    > Scollegare da Internet da parte dell'ISP
    > fornitore della connessione eventuale traffico
    > sospetto con ip.scr diverso da quello attualmente
    > in uso potrebbe essere la soluzione più adeguata
    > per una convivenza NEUTRALE e BILANCIATA degli
    > utenti in
    > rete.
    >
    > Verificare inoltre che le password di default di
    > router e dispositivi siano settate a dovere,
    > dovrebbe essere un'altra prerogativa di chi ti
    > lascia connettere alla propria rete ..... ma qui
    > si sa ..... ANARCHIA TOTALE .... con a volte più
    > CONTRO che
    > PRO.

    Guarda che se vai a crearti una botnet coinvolgendo degli host, delle password di routen non ti frega una cippa. Non che questo significhi che non debbano essere gestiti correttamente, ma i router che potrebbero fare danni (quelli degli ISP) stai tranquillo che sono ben protetti.
    Hai perfettamente ragione quando parli di sistemi che possano dirottare i flussi DDoS, ma hai una vaga idea di cosa vengono a costare infrastrutture del genere ? Si parla di centinaia di migliaia di euro per qualcosa che FORSE accadrà. Poi, quando succede tutti a piangere, ma vai a farglielo capire prima. E' come per la RC auto: se non ti obbligano, nessuno la fa, poi al primo incidente tutti a strapparsi i capelli. Siamo in Italy, after all...
    non+autenticato
  • - Scritto da: Marco Marcoaldi
    > E' inutile negarlo, il DDOS è il male tecnologico
    > del 20░ secolo
    > !!!
    >

    fiuuuuuuuuuuuu,
    per fortuna è passato allora! Sorride

    > Se pensiamo che ormai sia le piccole aziende
    > (HDSL da 8 megabit) che i grossi provider ( > 10
    > Gigabit di banda) possono essere presi sotto
    > scacco da ragazzini, la cosa non è per niente
    > rassicurante
    > !

    ragazzini?
    quale parte di $$$$ non hai afferrato?


    > Se ci si rende conto che detta a livello MOLTO
    > LAMERO basta una settimana di scan per trovare
    > migliaia di router con firmare OpenWRT con user
    > admin password admin, su cui si può scaricare e
    > lanciare un KAITEN, o banalmente installare un
    > rbot su un sistema windows utilizzando i classici
    > bug di IE (ma anche mozilla), aiaiai ..... siamo
    > davvero tutti nella KAKKA
    > !!!!

    Baaaaawwwww, senza tanto andare per il sottile:
    se 10 persone puntano LOIC su di un sito standard lo tirano giù, mentre se sono in 100 ti ddossano una coral network.
    Bene, ci sono centinaia di zombie la fuori con LOIC in standby...

    Credimi che quando sarà attivato ve lo ricorderete tutti Sorride
    non+autenticato
  • > Baaaaawwwww, senza tanto andare per il sottile:
    > se 10 persone puntano LOIC su di un sito standard
    > lo tirano giù, mentre se sono in 100 ti ddossano
    > una coral
    > network.
    > Bene, ci sono centinaia di zombie la fuori con
    > LOIC in
    > standby...

    LOIC ??????

    >
    > Credimi che quando sarà attivato ve lo
    > ricorderete tutti
    >Sorride

    Cosa ? LOIC ?
    Ma dici la 7.1 o la 7.2?
    Qella moddata con ARP poison alla meno 7 ?
    non+autenticato
  • - Scritto da: Tanto Quanto
    > > Baaaaawwwww, senza tanto andare per il sottile:
    > > se 10 persone puntano LOIC su di un sito
    > standard
    > > lo tirano giù, mentre se sono in 100 ti ddossano
    > > una coral
    > > network.
    > > Bene, ci sono centinaia di zombie la fuori con
    > > LOIC in
    > > standby...
    >
    > LOIC ??????



    si,
    LOIC per console è presente in tanti botpack...


    > >
    > > Credimi che quando sarà attivato ve lo
    > > ricorderete tutti
    > >Sorride
    >
    > Cosa ? LOIC ?
    > Ma dici la 7.1 o la 7.2?
    > Qella moddata con ARP poison alla meno 7 ?

    7.X? A bocca storta
    Ma se sono arrivata alla 1.0.0.0m l'altroieri!
    non+autenticato
  • > 7.X? A bocca storta
    > Ma se sono arrivata alla 1.0.0.0m l'altroieri!

    Guarda che forse parla di quella moddata alla meno 7 per lo spoofing dell'IRQ 9 direttamente dal BIOS attraverso il pacchetto ARP via firewire.
    *** L E T A L E ***
    non+autenticato
  • Tutto questo sarà storia quando avremo IPv6.
    non+autenticato
  • E perché? Che differenza fa sul traffico che colpisce un sito bersaglio il formato dell'indirizzo IP?
    non+autenticato
  • perché penso sia abbastanza difficoltoso fare uno range scan con una buona percentuale di successo alla ricerca di sistemi infetti. Questo in un futuro ipotetico popolato solo da ipv6

    - Scritto da: Juppe
    > E perché? Che differenza fa sul traffico che
    > colpisce un sito bersaglio il formato
    > dell'indirizzo
    > IP?
  • ...prima di scrivere un articolo pare brutto?

    il riassunto dell'articolo e' che amazon e' stato a tratti irraggiungibile per due ore.

    *forse* a causa di un attacco, ma forse no.

    ammesso che sia stato attaccato, *forse* e' stato vittima di un DDoS, ma forse no.

    la prossima volta che il titolo di un articolo finisce con un punto interrogativo, lo tralascio di default.