Un attacco informatico di grossa portata e di lunga durata è stato portato avanti lo scorso venerdì ai danni di DynDNS, causando come conseguenza il mancato funzionamento di parecchi dei servizi online più diffusi e popolari. L’attacco si è “sentito” soprattutto lungo la East Coast statunitense, ma non solo, con piccoli ceppi sparsi anche in Europa. La provenienza? Milioni di dispositivi della cosiddetta Internet of Things, come DVR o videocamere di sorveglianza, che hanno inviato pacchetti dati ad una velocità complessiva insostenibile per le infrastrutture del servizio.
Quello di venerdì è stato un attacco DDoS, ovvero una particolare tipologia di aggressione in cui si utilizzano varie tecniche per inviare richieste e pacchetti di dati ad un sito internet. L’obiettivo è abusare del traffico a disposizione del sito in modo da saturarlo e rendere difficile la navigazione sullo stesso per tutti gli utenti. I siti web devono riconoscere i pacchetti “buoni” da quelli provenienti da attacchi e filtrarli, tuttavia se si riesce a bucare la protezione l’aggressore può di fatto inviare un flusso costante di dati provenienti, magari, da milioni di dispositivi in tutto il mondo.

attacco-usa

È successo questo venerdì scorso quando ad essere attaccato è stato un provider DNS, un servizio che risolve l’URL di un sito (ad esempio www.doppiapi.it) nell’indirizzo IP unico a cui il sito stesso fa riferimento. Fra i servizi risultati inaccessibili per parecchie ore citiamo Twitter, Amazon, Tumblr, Reddit, Spotify e Netflix, PayPal, con i browser che non riuscivano a risolvere l’URL e, quindi, garantire l’accesso agli utenti. Come avviene spesso con attacchi hacker di questa portata, all’inizio si è brancolato nel buio sui possibili exploit sfruttati, con gli addetti ai lavori che si sono concentrati principalmente a risolvere le problematiche.

L’intero fenomeno è stato documentato sul sito ufficiale di DynDNS. La pagina con gli aggiornamenti sullo stato dei servizi pubblicava questa breve nota lo scorso venerdì:

“A partire dalle 11:10 UTC (13:10 italiane) del 21 ottobre 2016 abbiamo iniziato a rilevare e mitigare un attacco DDoS contro la nostra infrastruttura DynDNS. Alcuni clienti hanno potuto verificare una latenza maggiore nella risoluzione del DNS in questo periodo”

I servizi sono stati portati alla normalità oltre due ore più tardi, con il messaggio di ripristino dei servizi pubblicati alle 13:20 UTC. Ma l’attacco non si era ancora concluso: nella pagina leggiamo infatti che un altro attacco è stato portato a compimento alle 15:52 UTC, con la situazione che si è protratta per parecchie ore e diffusa anche sui servizi avanzati DynDNS, elemento che ha dilungato le operazioni di manutenzione da parte dei tecnici della società. Il problema è stato ripristinato definitivamente alle 22.17 UTC, a oltre 10 ore dal rilevamento del primo attacco.

Ma cos’è successo davvero? Scoprire il dietro le quinte di un attacco di così grande portata non è mai semplice e probabilmente non conosceremo mai tutti i dettagli, tuttavia parecchie firme di sicurezza hanno segnalato che il malware utilizzato all’interno dell’aggressione è Mirai, il cui codice sorgente è disponibile pubblicamente da circa un mese. Il software malevolo prende di mira dispositivi della Internet of Things, ovvero tutti quei dispositivi tradizionali resi smart dalla capacità di connettersi ad internet, e quindi ad altri dispositivi: ad esempio router, videocamere di sorveglianza.

Sono centinaia di milioni i dispositivi IoT sfruttabili per eventi di questo tipo, e capaci di creare botnet estremamente potenti in grado a loro volta di sferrare attacchi di vastissima portata la cui provenienza risulta difficilmente individuabile. In questo caso gli aggressori, ancora ignoti, hanno deciso di prendere di mira un provider DNS, fattore che ha espanso il disservizio ad una serie di siti web fra i più celebri in assoluto per alcune ore. Secondo Flashpoint l’attacco di venerdì è stato veicolato principalmente da videoregistratori digitali e videocamere IP di XiongMai Technologies.

Tale società vende componenti a produttori di terze parti, che poi vengono integrate all’interno di prodotti commercializzati al grande pubblico: “È notevole che un’intera linea di prodotti di una compagnia sia stata trasformata in una botnet che ha preso di mira gli Stati Uniti d’America”, ha commentato Allison Nixon, dirigente presso Flashpoint, che non esclude la possibilità che siano state utilizzate anche altre botnet nell’attacco nei confronti di Dyn, oltre a quella che ha sfruttato il malware Mirai di cui invece si ha la piena certezza al momento in cui scriviamo.

L’attacco di oggi è interessante, quanto preoccupante, soprattutto per la provenienza. La categoria IoT è quella probabilmente a più rapida espansione oggi, e si tratta di un’espansione che arriverà in maniera silente: router, lampadine, forni, addirittura frigoriferi con browser integrati, saranno tutti dispositivi che si insedieranno quasi senza volerlo nelle case di tutti, sia utenti preparati, che utenti meno esperti. Il problema dei dispositivi IoT non sicuri crescerà insieme a quel trend, e forse crescerà iperbolicamente se consideriamo l’essenzialità dei software integrati.

Il software di molti dispositivi è infatti blindato, l’aggiornamento e la manutenzione particolarmente difficile da parte dell’utente. I produttori al momento si stanno concentrando sulle performance e sull’efficienza di funzionamento, ma al momento pare che la sicurezza stia passando in secondo piano: “Il problema è che in questi dispositivi non è possibile cambiare la password di accesso”, commenta Flashpoint. “La password è codificata dentro il firmware e non sono spesso presenti gli strumenti necessari per disabilitarla. Ancora peggio l’interfaccia web spesso non sa neanche che questa password esiste”.

Secondo i dati di Malware Tech sono circa 1,3 milioni i dispositivi IoT vulnerabili al malware Mirai, fra quelli in circolazione, di cui circa 160 mila accesi e attivi al momento in cui scriviamo, numeri che fanno pensare che non sarà facile fare i conti con attacchi di questo tipo nel prossimo futuro. Le varie compagnie del web cercano da tempo di trovare modi per arginare gli attacchi DDoS, ma le crescenti capacità e dimensioni delle botnet costringono gli esperti a trovare continuamente nuove soluzioni per arginare pacchetti spazzatura sempre più grandi e potenzialmente minacciosi.

L’arrivo sregolato della IoT avrà naturalmente una grossa responsabilità sui prossimi potenziali attacchi, dal momento che la facilità con cui le protezioni dei dispositivi possono essere espugnate e il numero di dispositivi in rapida crescita diventeranno armi potentissime nelle mani di utenti potenzialmente molto pericolosi. Gli esperti chiedono certificazioni di sicurezza più stringenti e nuove leggi, e sembra chiaro a tutti che se qualcosa si fosse mosso prima l’attacco di venerdì si sarebbe potuto evitare del tutto.