Assange e la vox populi degli hacker

Lo scorso 11 aprile ha fatto il giro del mondo la notizia dell’arresto di Julian Assange, la controversa figura dietro a WikiLeaks. Da tempo rifugiato all’interno dell’ambasciata ecuadoriana la sua cattura da parte di Scotland Yard ha scatenato una forte protesta, ma non nel classico senso della parola.

A poche ore dalla diffusione della notizia le comunità dei criminal hacker hanno lanciato un assalto all’infrastruttura IT di Quito, reo di aver revocato la cittadinanza onoraria concessa all’australiano nel 2017 e di averlo consegnato nelle mani dei suoi accusatori. Lo stesso Ecuador ha confermato che negli ultimi giorni sono stati registrati quasi 40 milioni di attacchi contro le proprie pagine web. Stando a quanto riferito in una conferenza stampa dal viceministro della Comunicazione, Tecnologia e Informazione Patricio Real l’attacco “ha avuto origine principalmente dagli Stati Uniti, Olanda, Germania, Francia, Romania, Austria e Regno Unito, Brasile oltre che dall’Ecuador stesso”.

Entrando nei dettagli, il Governo dell’Ecuador ha fatto sapere, per bocca del suo sottosegretario al Ministero delle Telecomunicazioni Javier Jara, che gruppi collegati al fondatore di Wikileaks avevano lanciato “attacchi volumetrici bloccando parzialmente l’accesso a internet”. Le pagine del Ministero degli Esteri, della Banca Centrale, dell’Ufficio della Presidenza, oltre a numerose università sono state soggette a massicci attacchi DDoS che le hanno tagliate fuori dalla Rete. Fortunatamente al momento non sono giunte notizie di fughe di dati.

Ma cos’è un attacco DDoS e perché causa così tanti grattacapi?

L’acronimo sta per Distributed Denial of Service, in italiano letteralmente “negazione del servizio distribuita”, una variante del classico attacco DoS (Denial of Service o negazione del servizio) che sfrutta molti sistemi “infettati” da un trojan ad hoc per prendere di mira un singolo sistema.

Durante un attacco DDos il server preso di mira viene sovraccaricato di connessioni fino a quando nuove connessioni non possono più essere effettuate. Questa situazione si verifica, come accennato, quando molti sistemi compromessi inviano contemporaneamente traffico dati al sistema bersaglio, provocandone il crash. Solitamente quando si verifica un sovraccarico di richieste di questo tipo il risultato è quello di rendere inaccessibile per ore o addirittura giorni un server, un sito oppure un qualsiasi servizio online (Ergo Denail of service, ti nego un servizio). Le peculiarità proprie dell’attacco DDoS rendono molto complicata la difesa dei sistemi oltre a essere difficile da rintracciare con precisione, questo perché la fonte originale dell’attacco si mimetizza nei sistemi compromessi a cui sottrae il legittimo controllo, non solo però si confonde anche con tutti quegli utenti legittimi che nello stesso momento stanno cercando di connettersi al servizio sotto attacco.

La metodologia dell’attacco
 

Come detto, per riuscire a causare caos nel sistema i criminal hacker infettano migliaia di dispositivi attraverso malware. Una volta ottenuto il controllo di questi sistemi, la maggior parte delle volte a insaputa delle vittime, li sfruttano a loro piacimento per scagliarsi contro i loro bersagli. È stato stimato che i DDoS possono arrivare ad “arruolare” fino a 2 milioni di dispositivi infettati contemporaneamente.

L’attacco sferrato contro l’Ecuador è solo l’ultimo caso in un’escalation di colpi inferti a server di Governi, aziende o provider di servizi, dimostrazione evidente dell’efficacia del DDoS anche rispetto al suo parente stretto, il DoS, oramai innocuo per la quasi totalità dei sistemi moderni.

Se vogliamo introdurre un’analogia per capire il concetto, possiamo pensare a un attacco DDoS come a un cospicuo gruppo di persone che si ammassa all’entrata di un negozio impedendo ai clienti legittimi l’entrata e bloccando così il normale proseguimento dell’attività commerciale.  Il timore è che col passare del tempo le cose possano solo peggiorare. Questo perché compiere attacchi DDoS sta diventando sempre più facile grazie a servizi online a pagamento. Questi servizi permettono anche a un principiante di potersi cimentare in queste azioni illecite. Per far fronte a questa problematica l’Unione Europea sta pianificando di aumentare drasticamente le misure di sicurezza per ridurre il rischio che i cittadini del vecchio continente corrono tutti i giorni.

La tipologia di attacchi
 

Per complicare ulteriormente la situazione gli attacchi DDoS possono assumere varie forme, le più comuni sono:

·       Smurf attack

Uno Smurf attack, utilizzando un programma malware detto proprio Smurf (puffo, come i personaggi del fumettista Pierre Culliford), sfrutta i protocolli IP e ICMP. Viene falsificato un indirizzo IP e usando il protocollo ICMP vengono pingati gli indirizzi IP su un network dato.

·       SYN Flood

Questa tipologia di attacco DDoS sfrutta i punti deboli relativi alla TCP connection sequence, conosciuta anche come una stretta di mani a tre (traduzione letterale da three-way handshake). La macchina host riceve un messaggio sincronizzato (SYN) per iniziare la stretta di mano e il server riconosce il messaggio inviando un acknowledgement flag (ACK) all’host iniziale che a questo punto chiude la connessione. Per quanto riguarda questa particolare tipologia di attacco, a ogni modo, i messaggi falsificati vengono inviati e la connessione non si chiude, spegnendo il servizio.

·       HTTP Flood

Utilizza minore larghezza di banda rispetto alle altre tipologie. Tuttavia, questo può spingere il server a utilizzare il massimo delle risorse impedendo agli utenti legittimi l’utilizzo delle risorse del server stesso. Durante un HTTP Flood, i client HTTP interagiscono con un server per inviare richieste HTTP che possono essere sia GET che POST.

·       Fraggle Attack

Un Fraggle Attack – proprio come lo Smurf – invia un vasto quantitativo di traffico UDP a un broadcast del router all’interno di un network. La differenza sostanziale rispetto allo Smurf Attack è che, in questo caso, viene usato il traffico UDP piuttosto che quello ICMP.

·       Ping of Death

Questa tipologia di attacco si può definire oggi alquanto obsoleta, rispetto a una ventina di anni fa la tecnica ha perso molta della sua efficacia. Il Ping of Death consiste nel manipolare i protocolli IP inviando ad un sistema dei ping malevoli.

·       UDP Flood

Abbiamo accennato qualcosa in precedenza riguardo l’User Datagram Protocol (UDP) che è un connectionless networking protocol. Questa tipologia di attacco – l’UDP Flood per l’appunto – è una tipologia di DDoS che ha come bersaglio delle porte casuali su un computer o un network con pacchetti UDP. L’obiettivo è chiaro ed è quello di sommergere la vittima di pacchetti…

Prevenire è meglio che curare
 

Per far fronte a questo rischio, così come per molti altri tipi di attacco informatico, la soluzione migliore è la prevenzione. Un passo fondamentale da compire è effettuare un Network Scan: effettuando questo test l’utente sarà in grado di individuare tutte le criticità e vulnerabilità presenti sulla propria rete. È proprio questo il primo bersaglio dei criminal hacker, prima di ogni attacco “sondano il terreno” per cercare falle da sfruttare. Il Network scan fornisce informazioni dettagliate necessarie ad attuare misure correttive per fare in modo che i criminal hacker non possano sfruttare le criticità. Un sistema solido e sicuro rappresenterà sempre un bersaglio molto meno invitante per le comunità di pirati informatici rispetto a una rete “compromessa” da innumerevoli falle.