Cambridge (USA) – A due giorni di distanza dal massiccio attacco denial of service (DoS) che ha messo in ginocchio diversi server DNS di Akamai , e causato problemi di reperibilità ad alcuni celebri siti Web, il colosso americano del Web hosting ha rivelato l’origine dell’aggressione: un imponente network di computer “zombie” che, sotto il controllo di un software malevolo, sarebbero stati usati come teste di ponte per lanciare un attacco DoS su grande scala.
Akamai ha spiegato che la rete di computer da cui si è originata l'”inondazione” di dati che ha colpito i propri server è stata probabilmente creata da un “bot”, una sorta di cavallo di Troia utilizzato da un aggressore per prendere il controllo di un computer remoto e utilizzarlo, fra le altre finalità, per lanciare attacchi anonimi a singoli host o intere reti. Fra i bot passati recentemente alle cronache vi è la famiglia Ago/Gao/Phatbot .
I bot, che talvolta vengono veicolati dai worm, sono già stati riconosciuti da tempo come una delle maggiori minacce del ciberspazio: il maggior pericolo è rappresentato dal fatto che una sola persona può inviare comandi a centinaia o anche migliaia di bot simultaneamente, orchestrando così attacchi di vasta portata. Il traffico generato da centinaia di personal computer è spesso sufficiente a bloccare, o rallentare drasticamente, anche i server meglio corazzati.
“Il diluvio di pacchetti che ha colpito la nostra infrastruttura era così grande che non poteva provenire da un paio di server”, ha spiegato Tom Leighton, chief scientist e co-founder di Akamai. “L’attacco è stato il più sofisticato che avessimo mai visto fino ad oggi”.
“La Rete corre un grande pericolo”, ha poi avvisato Leighton. “Ci sono giganteschi network di bot fuori di qui che possono fare un bel po’ di danni. È un problema enorme”.
Il dirigente di Akamai ha ribadito che l’attacco di martedì ha interessato solo una piccola frazione dei propri clienti: fra questi, Microsoft, Yahoo, Google ed Apple. Il sospetto, secondo alcuni esperti, è che il vero bersaglio non fosse Akamai, ma i siti di alcune famose società.
Sebbene Leighton non abbia fornito dettagli sulla tecnica utilizzata dagli aggressori, una fonte vicina all’azienda, rimasta anonima, ha spiegato che il traffico generato dalla rete di zombie era “legittimo”, nel senso che non faceva leva su delle vulnerabilità di sicurezza dei server né sull’invio di particolari tipi di pacchetto: questo rende ancora più difficile, secondo gli esperti, distinguere il traffico “buono” da quello “cattivo” e bloccare la fonte dell’attacco in tempi brevi. Ad Akamai sono occorse oltre due ore per fermare l’aggressione, un arco di tempo non certo breve se si considera che questa società gestisce i servizi di un buon numero di siti Web fra i più trafficati al mondo.
C’è tuttavia chi, pur riconoscendo in questo tipo di attacchi una minaccia globale, sostiene che Akamai, contravvenendo a quelli che sono i principi fondanti di Internet, accentra nelle proprie mani troppi servizi, finendo così per rappresentare un bersaglio vulnerabile, nonché appetibile. Uno dei guru del sistema DNS, Paul Vixie, fa poi notare che Akamai è uno dei pochi provider di grosso calibro a non utilizzare BIND, nota implementazione open source dello standard Domain Name System: al suo posto, la società utilizzerebbe una soluzione proprietaria.