Il massiccio attacco di tipo Distributed Denial of Service (DDoS) che si è concentrato sulla costa orientale degli Stati Uniti, venerdì scorso, in un certo senso era stato, se non predetto, quanto meno annunciato, dopo la denuncia del giornalista statunitense Brian Krebs, il cui sito era stato al centro, a partire dal 20 settembre scorso, di ciò che è stato descritto come l’attacco più massiccio di sempre. Il blog rebsonsecurity.com era infatti stato oscurato da un DDoS di potenza superiore a 600Gb/s, un gesto considerato come una ritorsione per l’indagine condotta dal giornalista che ha portato all’arresto di due persone responsabili di VDOS, un vero e proprio marketplace su cui comprare un arsenale di Bot da impiegare per portare a compimento attacchi DDos che sfruttino le falle di device IoT. Il codice utilizzato per sferrare l’attacco al blog di Krebs, denominato Mirai , era successivamente stato pubblicato su HackForum . Da quel momento, come sostiene Krebs, chiunque può portare a termine un attacco di dimensioni colossali, o meglio, qualsiasi sito o servizio può essere oscurato, attuando difatti ciò che egli stesso definisce come una sorta di censura.
A rafforzare il concetto espresso da Krebs, le parole di Paolo Bufarini, responsabile della divisione security di Akamai in Italia, Grecia, Turchia, Israele, Malta e Cipro, il quale ricorda il primo grande attacco del 2016, registrato sulla rete della multinazionale, con una potenza di 363Gb/s: “Nessuno di noi si aspettava un attacco di queste dimensioni generato da qualcosa di nuovo: non più una semplice BotNet, ma una che impiegasse strumenti di riflessione capaci di sfruttare le mancanze di sicurezza (falle) di apparati IoT, ovvero dell’Internet delle cose”. L’analisi di Akamai, insieme a quella di altri advisor del settore della sicurezza, come Forrester e Gartner , prevedeva che tali tipi di attacchi giungessero tra il 2018 e il 2020 e non così presto come si è verificato.
A settembre, invece, Akamai si trova ad affrontare l’attacco più massiccio di sempre, quello di un suo cliente pro bono , ovvero il blog di Brian Krebs. Secondo quanto ricostruito da Bufarini, “a differenza di quello di giugno, l’attacco al sito di Krebs ha impiegato device IoT ma senza sfruttare la riflessione. In pratica, si è trattato di un attacco brutal force che ha coinvolto migliaia di device IoT compromessi all’interno della rete di BotNet Mirai”. Sempre secondo l’analisi di Akamai, tale rete ha generato un traffico massivo contro i siti gestiti dalla multinazionale. “Akamai ha lavorato per 3 giorni, dal 20 al 22 settembre, per mitigare il traffico, con un picco di 650Gb/s, generato dalla rete di BotNet”. Per Bufarini, a caratterizzare l’attacco al sito di krebs non è soltanto l’enorme volume di traffico: “gli hacker hanno utilizzato ciò che viene chiamato un vettore d’attacco , analizzando il quale è stato possibile determinare la simulazione di un tunnel gray , di solito impiegato dagli operatori come Akamai per indirizzare il traffico pulito verso i data center”. Ciò ha creato non poche difficoltà alla società nel distinguere tra pacchetti genuini dei propri clienti e quelli creati attraverso il vettore d’attacco. Sempre secondo quanto affermato dall’Head of Security di Akamai per l’Italia, “A causa dei danni collaterali all’interno delle reti di telecomunicazioni, abbiamo deciso di chiudere il rapporto con Krebs. Per via del grande volume di traffico generato dagli attacchi che si sono verificati tra il 20 e il 22, infatti, le reti di telecomunicazioni internazionali presenti negli internet peering point di Tokyo, Londra, Francoforte ecc., non riuscivano più a restituire ai nostri clienti (istituzioni, media, soggetti privati) il traffico pulito”. Sostanzialmente, si è verificato ciò che Bufarini definisce “un armageddon” della rete Web , ovvero “si è creato un tappo nelle comunicazioni per cui le infrastrutture delle telco non sono state più in grado di contrastare il traffico generato da un attacco DDoS”.
Unica possibilità per la multinazionale della sicurezza, mettere il sito di Krebs in silent mode , ovvero indirizzarne il traffico verso il servizio di localhost. Risolto il problema contingente, rimangono aperte alcune considerazioni importanti, partendo da un universo di dispositivi connessi (nel caso dell’attacco al sito di Krebs, si trattava di telecamere e router) “esposti a bug e non patchabili, milioni di device installati, non sicuri ma utilizzabili e che diventeranno presto miliardi. Se questi device vengono utilizzati, sfruttandone potenziali falle non gestibili dal fornitore né dall’utilizzatore, diventa un problema”. Per comprendere la portata dell’attacco sferrato contro il sito di Krebs, secondo quanto riferito sempre da Bufarini, “se fosse successo a Milano, ci sarebbero stati dei grossi rallentamenti nella rete e, probabilmente, il blocco delle telecomunicazioni nell’Italia intera”. Per il responsabile di Akamai per l’Italia, si pone un problema a livello di community internazionale: “Non possiamo più permetterci di immettere sul mercato apparati che abbiano lacune tali da poter essere sfruttati per portare attacchi di questo genere. O i fornitori danno la possibilità di applicare patch per risolvere i problemi di sicurezza di questi device, oppure tali dispositivi devono essere security by default , ovvero non in grado di generare problemi come quelli sfruttati dalla rete Mirai. Questa è la posizione che Akamai sta portando avanti anche all’interno del Clusit (l’associazione italiana per la sicurezza informatica)”.
Secondo il responsabile Akamai, la pervasività dei device IoT unita al fatto che gli attacchi DDoS che li sfruttino siano giunti con molto anticipo rispetto a quanto previsto dagli analisti di sicurezza, costringono tutti i soggetti coinvolti, dai produttori hardware ai fornitori di connessione, passando per gli hoster e le società di sicurezza come Akamai, a concentrare i propri sforzi per fornire una riposta concreta ad un problema i cui esiti sono destinati a peggiorare , gettando un’ombra sul futuro della Rete. Per Bufarini non ci sono dubbi: “ciò che è successo il 22 settembre va considerato a tutti gli effetti come l’11 settembre della Rete”, al di là della coincidenza numerologica. D’altro canto, quanto successo nei giorni scorsi negli Stati Uniti dimostra che le cose stanno progredendo in maniera più rapida di quanto ipotizzato. Secondo Bufarini “è necessario promuovere la creazione di un gruppo internazionale di lavoro sui dispositivi IoT”. Certo è che se non ci si muove, attacchi come quelli citati sono destinati a ripetersi e a moltiplicarsi.
Thomas Zaffino