Vai al contenuto
Come agisce NoName, il gruppo filorusso che ha attaccato la Svizzera? Male

Come agisce NoName, il gruppo filorusso che ha attaccato la Svizzera? Male

Questo articolo è disponibile anche in versione podcast.

Nei giorni scorsi un gruppo di aggressori informatici filorussi che si fa
chiamare NoName ha attirato su di sé parecchia attenzione mediatica
rivendicando pubblicamente attacchi contro numerosi siti istituzionali e
aziendali svizzeri, come RUAG, la rete di trasporto che copre il cantone di Zurigo e le aree adiacenti, Svizzera Turismo, SwissID
(RSI), il sito della Città di Bellinzona, i siti del Canton Basilea Città, della
città di Zurigo, di San Gallo (RSI;
La Regione), dell’aeroporto di Ginevra (Swissinfo) e anche il sito del Parlamento svizzero, Parlament.ch (Swissinfo).

Così mi sono iscritto al loro canale su Telegram e ho monitorato un po’ le
loro attività. Il quadro tecnico che ne risulta è piuttosto dilettantesco, con
alcuni scivoloni che permettono di capire meglio il modo di operare di questo
gruppo.

Prima di tutto, chiarisco che non c’è nulla di speciale nel mio monitoraggio:
il canale Telegram di NoName è pubblico e quindi facilmente consultabile da
chiunque, sia in russo sia in inglese. Anche la tecnica di attacco usata da
NoName non è particolarmente sofisticata: è un classico
distributed denial of service o DDOS, cioè una interdizione di
un sito effettuata sommergendolo di centinaia di migliaia di richieste di
accesso fasulle, provenienti da computer o altri dispositivi gestiti o
coordinati dagli aggressori. 

Questo tipo di attacco non comporta nessuna violazione dell’integrità del sito. Semplicemente, il sito diventa temporaneamente
irraggiungibile per gli utenti legittimi, e questo può causare disagi se si
tratta di un sito di commercio o di servizio al pubblico, ma a parte questo il
sito resta integro e inviolato. 

Per fare un paragone, immaginate mille persone che si accalcano davanti alla
porta d’ingresso di una banca e impediscono ai clienti di entrare e fare
operazioni agli sportelli: la banca in sé rimane sicura e non viene
danneggiato o rubato nulla. Una volta che la folla si è stufata di accalcarsi
e se ne va, tutto torna come prima.

Questo non vuol dire che attacchi di questo tipo siano innocui o trascurabili:
un’interruzione di un servizio comporta costi e problemi concreti. Nel 2010,
per esempio, il sito di Postfinance fu bloccato da un attacco DDOS lanciato
per protestare contro la chiusura delle donazioni al sito Wikileaks e del
conto di Julian Assange in Svizzera (CdT), rendendo difficili se non impossibili le transazioni con i numerosi
servizi online di Postfinance. Nel 2013 un altro DDOS importante
colpì
la Svizzera, cercando di sfruttarne l’infrastruttura Internet per amplificare
un’interdizione rivolta però a siti statunitensi [ma
Switch.ch respinse rapidamente il
tentativo] 

Questi attacchi, fra l’altro, non coinvolgono soltanto computer, che spesso
appartengono a utenti ignari che si sono fatti infettare da un malware che
visita a ripetizione il sito-bersaglio; già da qualche anno vengono sfruttati
anche altri tipi di dispositivi connessi, comprese persino le
telecamere
di sorveglianza, perché sono più facili da infettare e spesso meno protette rispetto ai
computer. È quindi importante evitare di diventare aiutanti involontari di
queste aggressioni, come può capitare a chi lascia le password predefinite nei
propri dispositivi e non li aggiorna.

Chiarito tutto questo, veniamo a NoName: il canale Telegram di questo gruppo
annuncia trionfalmente di aver “ucciso” vari siti svizzeri (usando proprio la
parola inglese killed), ma si tratta solo di attacchi DDOS. Passato
l’attacco, il sito resta intatto e torna accessibile come prima. E la rassegna
eterogenea dei siti presi di mira suggerisce un approccio molto a casaccio di
NoName: la loro idea di trionfo è, per esempio,
interdire
momentaneamente il sito della
società di navigazione del lago di Lucerna
o il sito del
centro per la sicurezza stradale di Obvaldo e Nidvaldo, per poi passare ad altri siti in Danimarca, Svezia, Polonia, Belgio, Regno
Unito, Grecia e Canada, con una predilezione solo momentanea per i siti svizzeri. Sono tutti attacchi di breve durata e non sostenibili: dopo qualche ora NoName passa ai bersagli successivi, liberando l’accesso a quelli attaccati prima.

Dai loro annunci, inoltre, emerge un indicatore tecnico piuttosto utile: in
varie occasioni NoName nota che i siti si sono difesi bloccando l’accesso da
parte di dispositivi che hanno un indirizzo IP estero.

Questo sembra indicare che NoName non abbia sotto il proprio controllo un numero significativo di dispositivi in nessuno dei paesi presi di mira, e che quindi gli amministratori dei siti possano difendersi abbastanza facilmente bloccando appunto le richieste di consultazione che arrivano dall’estero e specificamente dalla Russia. Ci sono ovviamente anche strategie di difesa più sofisticate, ma il fatto che NoName sia seriamente ostacolata da una misura così semplice la dice lunga sulla scarsità delle sue risorse.

Anche il numero di annunci di siti attaccati ogni giorno, ossia normalmente non più di una decina, permette di valutare le effettive capacità di NoName:

  • 10 giugno: 8
  • 11 giugno: 9
  • 12 giugno: 7
  • 13 giugno: 12
  • 14 giugno: 9
  • 15 giugno: 9
  • 16 giugno: 8
  • 17 giugno: 10
  • 18 giugno: 10
  • 19 giugno: 7
  • 20 giugno: 8

Si tratta insomma di attacchi che fanno notizia, perché toccano obiettivi ben visibili al grande pubblico, ma la loro sostanza tecnica è davvero modesta e banale in confronto a quella degli attacchi effettuati da bande criminali specializzate. La speranza è che l’attenzione attirata sul problema della sicurezza informatica da queste scorribande superficiali serva a incoraggiare tutti gli utenti ad agire concretamente. 

Questa non è una cyberguerra combattuta su qualche fronte immaginario e lontano, da geni dell’informatica: è un conflitto digitale che sfrutta i nostri dispositivi elettronici a casa e in ufficio, e quindi ciascuno di noi può avere un ruolo attivo nella difesa. A volte possono bastare piccole cose, come un cambio di password per la telecamera di sorveglianza o l’aggiornamento puntuale del software, per evitare di diventare complici involontari.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Raffica di attacchi contro siti istituzionali svizzeri: il punto della situazione stamattina a Modem (RSI)

Raffica di attacchi contro siti istituzionali svizzeri: il punto della situazione stamattina a Modem (RSI)

Stamattina sono stato ospite del programma
Modem
della Radiotelevisione Svizzera (Rete Uno) per parlare della serie di attacchi
informatici che hanno colpito numerosi siti istituzionali nazionali, su due
filoni: distributed denial of service da una parte e
ransomware con esfiltrazione e pubblicazione di dati sensibili. 

L’annuncio fatto dal gruppo Play dell‘esfiltrazione dei dati dal sito di Xplain. Fonte:
Bleepingcomputer.com.

Potete riascoltare la
puntata
qui sotto:

Questo è il mio rapido riassunto delle informazioni pubblicate sugli attacchi
noti fin qui, sugli aggressori e sulle misure di difesa possibili.

  • Ci sono rivendicazioni di un gruppo filorusso che si fa chiamare
    NoName. Il Centro Nazionale per la Cibersicurezza conferma
    “legami con la Russia del gruppo responsabile” (RSI).
  • Il gruppo NoName ha un canale Telegram pubblicamente accessibile, dove
    annuncia i propri attacchi in inglese (NoName057(16) Eng) e in russo
    (NoName057(16)).  
  • 15 giugno: NoName rivendica DDOS contro RUAG e
    “ZVV – la  rete di trasporto che copre il cantone di Zurigo e le
    aree adiacenti – Svizzera turismo e SwissID, i cui siti web sono risultati
    temporaneamente inaccessibili.”
    (RSI). 
  • 14 giugno: il Centro Nazionale per la Cibersicurezza (NCSC) pubblica un altro comunicato stampa sull’attacco ai danni di Xplain, nel quale precisa che “tra i dati di Xplain rubati e criptati vi erano probabilmente anche dati operativi dell’Amministrazione federale”, diversamente da quanto annunciato inizialmente. “Le diverse autorità e organizzazioni interessate devono chiarire se i dati trafugati sono attuali e se la loro pubblicazione possa comportare implicazioni di ampia portata. […] Dato che sono stati colpiti dati operativi, diversi servizi dell’Amministrazione federale hanno sporto denuncia penale o stanno prendendo in considerazione misure simili. Ciò permetterebbe di chiarire per quale motivo i dati dell’Amministrazione federale sono finiti nel sistema della ditta Xplain”. Un’ipotesi è che si tratti di dati condivisi con Xplain per risolvere questioni tecniche (cose per esempio del tipo “questo allegato in una mail inviata da un cliente fa scattare l’antivirus/l’antispam, ti giro la mail per fartela analizzare”).
  • 14 giugno: NoName rivendica DDOS al sito della Città di Bellinzona, effettuato con circa 1500
    computer al ritmo di 70.000 richieste/secondo (RSI).
  • 14 giugno: NoName rivendica DDOS ai siti del Canton Basilea Città, città di Zurigo, San Gallo
    (RSI) (La Regione).
  • 13-14 giugno: pubblicati nel dark web
    “altri dati operativi sottratti in precedenza all’Amministrazione
    federale. Questi attacchi di tipo ransomware erano stati inflitti a fine
    maggio ai danni di Xplain, ditta svizzera che fornisce software per le
    autorità e avevano interessato, tra gli altri, l’Ufficio federale di
    polizia (Fedpol) e l’Ufficio federale della dogana e della sicurezza dei
    confini (UDSC), nonché le FFS e le autorità di polizia cantonali.”
    (RSI). Attribuito al gruppo che si fa chiamare Play.
    “Non vi sono tuttavia ancora prove che i sistemi federali siano stati
    attaccati direttamente. Visto che sono stati colpiti dati operativi,
    diversi servizi dell’amministrazione federale hanno sporto denuncia penale
    o stanno prendendo in considerazione misure simili. Ciò permetterebbe di
    chiarire per quale motivo questi dati sono finiti nel sistema della ditta
    Xplain, una società che sviluppa, tra l’altro, applicazioni per i servizi
    cantonali di esecuzione delle pene.”
    (RSI).
  • 14 giugno: NoName rivendica DDOS contro il sito dell’aeroporto di Ginevra (Swissinfo).
  • 8 giugno: NoName rivendica DDOS contro il sito del Parlamento svizzero, Parlament.ch (Swissinfo). Non è corretto dire che il gruppo di criminali informatici si è
    “intrufolato”, come scrive
    La Regione: un DDOS non sfonda le difese, non entra nel sito, ma lo rende
    inaccessibile agli utenti legittimi.
  • 8 giugno: il Centro Nazionale per la Cibersicurezza (NCSC) pubblica un comunicato stampa sull’attacco ai danni di Xplain.
  • 3 giugno:
    “L’esercito svizzero, l’Ufficio federale della dogana e della sicurezza
    dei confini (UDSC), l’Ufficio federale di polizia (Fedpol) e diversi corpi
    di polizia cantonali sono indirettamente toccati da un attacco
    cibernetico. Secondo rivelazioni pubblicate sabato dal quotidiano romando
     Le Temps, l’aggressione ha visto come vittima Xplain, una società
    informatica bernese a cui facevano riferimento tutte le entità in
    questione… Si parla di sei file compressi contenenti migliaia di
    documenti, provenienti dalla società con sede a Interlaken (BE)
    specializzata in servizi di sicurezza informatica… UDSC e Fedpol hanno
    confermato a Keystone-ATS che sono state divulgate delle informazioni,
    minimizzando la portata di quanto accaduto: l’Ufficio delle dogane
    sostiene che non sono stati sottratti dati interni, bensì elementi legati
    alla corrispondenza con clienti, mentre Fedpol afferma che l’attacco non
    ha interessato i suoi progetti, ma soltanto “dati di simulazione
    anonimizzati a scopo di test”.”
    (Tvsvizzera.it)
  • L’attacco contro Xplain sembra un classico caso di
    supply chain attack, nel quale l’aggressore prende di mira un fornitore di servizi o risorse
    tecniche del bersaglio effettivo e lo usa per raggiungere quel bersaglio.
    Tecnica molto efficace, usata già per esempio per i grandi attacchi di
    Solarwinds e NotPetya.
  • A fine maggio il gruppo Play ha fatto ransomware a Xplain (annuncio pubblico
    del gruppo il 23 maggio) e ha colpito anche i media: CH Media e NZZ (The Local). Colpiti indirettamente anche le FSS e il Cantone di Argovia (RSI) il Dipartimento dell’istruzione di Basilea Città, l’amministrazione
    comunale di Rolle (Vd),
    “l’Università di Neuchâtel e il caseificio Cremo nel Cantone di
    Friburgo”
    (La Regione).
Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Aveva paralizzato EA, Sony, Steam e altri per divertimento. Ora ride molto meno

Aveva paralizzato EA, Sony, Steam e altri per divertimento. Ora ride molto meno

Molti sedicenti “hacker” pensano di essere invincibili. Lo pensava anche Austin Thompson, quando ha rovinato il Natale a tanti giocatori online con un attacco DDOS ai danni di PlayStation Network,
Electronic Arts, Riot Games, Nintendo, Quake Live, League of Legends,
Steam e altri, come segnala Hot For Security.

Thompson, oggi ventitreenne, è stato condannato a 27 mesi di carcere e a 95.000 dollari di ammenda. Si era vantato pubblicamente delle sue imprese, fatte per divertimento (“for the lulz”), sotto lo pseudonimo Derp Trolling. Ma la sua vanteria e imperizia gli sono costate caro: uno dei suoi follower lo ha rintracciato nello Utah. Thompson si è dichiarato colpevole e inizierà a scontare la pena a fine agosto.

Morale della storia: se stai in Utah, ti mettono nel sacco.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Mirai, avevano infettato 500.000 dispositivi online: ora sono rei confessi

Mirai, avevano infettato 500.000 dispositivi online: ora sono rei confessi

I responsabili di Mirai, uno degli attacchi informatici più vasti del 2016 sono stati identificati e arrestati e ora sono rei confessi.  Rischiano vari anni di carcere negli Stati Uniti.

A ottobre dell’anno scorso un enorme attacco DDOS nei confronti di Dyn, una società di servizi DNS, ha reso inaccessibili per moltissimi utenti alcuni dei siti più frequentati di Internet, come Amazon, Reddit, Netflix, Twitter, Soundcloud, Spotify, Etsy e Github. L’attacco era stato sferrato usando circa 500.000 dispositivi connessi a Internet: non computer o telefonini, ma telecamere di sorveglianza, videoregistratori digitali e router di utenti comuni, di cui gli aggressori avevano preso il controllo.

I rei confessi, secondo i documenti delle autorità statunitensi, sono il ventunenne Paras Jha, del New Jersey, e i suoi complici Josiah White (20 anni), della Pennsylvania, e Dalton Norman (21 anni) della Louisiana.

Jha e White avevano creato una società, la Protraf Solutions, che forniva servizi anti-DDOS. I due hanno stimolato le vendite dei propri servizi sferrando attacchi DDOS contro vari siti e poi contattandoli per chiedere denaro per interrompere gli attacchi o per vendere servizi di protezione che (ovviamente) solo loro potevano fornire. Norman invece usava una rete di dispositivi violati per commettere altri reati, come clic fraudolenti sulle pubblicità per generare incassi illeciti.

I tre sono stati assicurati alla giustizia, ma il codice del loro malware è in circolazione a disposizione di chiunque voglia usarlo per ripetere imprese criminose come queste.

L’uso dei dispositivi dell’Internet delle Cose per compiere reati informatici è sempre più frequente grazie al fatto che non è ancora diffusa l’abitudine di metterli in sicurezza o di considerarli vulnerabili. Mentre gli utenti si sono a malincuore rassegnati a usare antivirus e tenere aggiornati telefonini e computer, raramente pensano di dover applicare aggiornamenti di sicurezza ad altri dispositivi connessi alla Rete o a impostarli in modo meno insicuro. Queste sono le principali raccomandazioni del Department of Homeland Security statunitense sul tema:

  • le password predefinite di qualunque dispositivo connesso devono essere cambiate, perché sono facilmente reperibili online;
  • vanno installati gli aggiornamenti di sicurezza appena possibile;
  • lo Universal Plug and Play va disabilitato nei router se non è strettamente necessario;
  • i dispositivi vanno acquistati da aziende che hanno una buona reputazione di sicurezza.

Fonti aggiuntive: Cnet, Tripwire.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
L’Attacco delle Centomila Telecamere che ha paralizzato Internet

L’Attacco delle Centomila Telecamere che ha paralizzato Internet

Venerdì scorso (21 ottobre) gran parte di Internet è diventata inaccessibile: sono andati in tilt siti popolarissimi come Twitter, Netflix, Reddit, CNN e molti altri. Non per un guasto, ma per un attacco, effettuato con una tecnica molto particolare: gli aggressori hanno preso il controllo di un elevatissimo numero di telecamere e videoregistratori digitali connessi a Internet e li hanno indotti a inondare di traffico di dati un fornitore di servizi, Dyn, dai quali dipendono molti dei grandi nomi della Rete. Saturando Dyn, questa rete di dispositivi (botnet) ha mandato in crisi i sistemi di risoluzione dei nomi dei siti (DNS, domain name system) che traducono il nome di un sito nelle sue coordinate su Internet (indirizzo IP) e consentono quindi agli utenti di raggiungere un sito digitandone il nome.

Le stime aggiornate, a una settimana dall’attacco, parlano di circa centomila dispositivi comandati a distanza tramite un malware denominato Mirai, che si diffonde da solo sfruttando la pessima sicurezza dei dispositivi connessi a Internet, in particolare contenenti componenti fabbricati dalla marca cinese XiongMai Technologies ma anche stampanti della Panasonic e router di SNC e ZTE, che hanno password di amministrazione banali, fisse e non modificabili ma soprattutto note a chiunque, come admin, 123456 o password. Il malware, in sintesi, entrava in questi dispositivi dalla porta principale tentando un breve elenco di password standard fino a trovare quella giusta e poi iniziava a trasmettere dati in quantità verso Dyn e altri bersagli, saturandoli.

Il fatto che le password non erano modificabili significa che l’attacco non è colpa degli utenti che comprano dispositivi insicuri e li collegano a Internet, ma dei fabbricanti di questi dispositivi, che non rispettano le norme più elementari della sicurezza informatica. XiongMai ha dovuto richiamare alcuni dei propri prodotti venduti negli Stati Uniti, ma è difficile che un richiamo possa togliere da Internet tutti i dispositivi vulnerabili. In altre parole, aspettiamoci altri attacchi come questo.

Sapere chi ha lanciato l’attacco è molto difficile, perché il codice di Mirai è stato reso pubblico (da qualcuno che dice di esserne l’autore) alla fine di settembre e quindi può averlo usato chiunque; inoltre localizzare i centri di controllo della botnet è arduo. Sta ora ai fornitori di accesso a Internet filtrare il traffico in modo da bloccare quello proveniente da questi dispositivi, ma ci vorranno anni prima che questa vulnerabilità perfettamente evitabile venga chiusa. Nel frattempo, se avete telecamere o videoregistratori connessi a Internet, cercate di scoprire se sono fra quelle difettose e infettabili (ci sono servizi come questo di MalwareInt che le indicano su una mappa) e se sono accessibili dall’esterno (con strumenti come questo). Meglio ancora, scollegatele se non sono strettamente indispensabili.

Fonti: Krebs on Security, The Register, Incapsula, Dyn, Ars Technica.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Nuove frontiere degli attacchi informatici: oscurare un sito tramite le webcam

Nuove frontiere degli attacchi informatici: oscurare un sito tramite le webcam

Ultimo aggiornamento: 2016/10/05 8:05.

Siamo ormai abituati agli attacchi informatici messi a segno tramite virus, siti falsi o documenti che rubano password. Ma pochi giorni fa KrebsOnSecurity, il sito del popolare esperto di sicurezza informatica Brian Krebs, è stato oscurato con una forma di attacco decisamente insolita: sono state utilizzate centinaia di migliaia di telecamere connesse a Internet.

Insieme a router, videoregistratori digitali e altri dispositivi connessi (la cosiddetta Internet delle cose), queste telecamere sono state infatti infettate in massa e comandate dagli aggressori in modo da generare un traffico enorme verso il sito di Krebs: l’equivalente informatico di migliaia di persone che tentano di telefonare contemporaneamente allo stesso numero. In gergo tecnico si chiama distributed denial of service o DDOS.

Si tratta di uno degli attacchi più grandi mai effettuati: le stime parlano di 620 gigabit al secondo. Per dare un senso a questa cifra, immaginate di trasmettere a qualcuno via Internet settanta film al secondo (stimando un gigabyte per film). Ed è stato probabilmente un assaggio di quello che vedremo nel prossimo futuro: pochi giorni dopo, un servizio di hosting francese, OVH, è stato attaccato ancora più massicciamente con 1100 gigabit al secondo. E Ars Technica segnala numerosi altri casi di oscuramenti effettuati tramite webcam.

L’oscuramento del sito di Brian Krebs, spina nel fianco di molti criminali online per via delle sue inchieste che fanno i loro nomi e cognomi, ha messo in ginocchio persino le risorse di una delle più grandi aziende per la distribuzione di contenuti via Internet, Akamai, che aveva difeso gratuitamente Krebs dagli attacchi subiti in passato ad opera di questi criminali. Al suo posto è subentrato Google, che ha sopportato l’attacco nell’ambito del proprio Project Shield per la difesa dei giornalisti dalla censura online. In effetti un DDOS è una forma di censura: se nessuno ti può leggere, è come se tu non avessi scritto nulla.

Il problema principale di questi attacchi è che la loro potenza di fuoco è difficile da mitigare e resta attiva a lungo perché gli oggetti connessi a Internet, a differenza dei computer, non vengono quasi mai aggiornati per correggerne le falle e per i loro proprietari è difficile rendersi conto di essere complici di un’aggressione online. Questi oggetti, inoltre, non hanno antivirus che permettano di fare una loro scansione alla ricerca, appunto, di virus o simili o di proteggerli da intrusioni. E con la crescente popolarità dell’Internet delle Cose (insicure), possiamo aspettarci altri attacchi spacca-Internet come questi.

Tutto quello che possiamo fare noi utenti per evitare di diventare complici inconsapevoli di questi assalti è cambiare le password predefinite dei dispositivi che colleghiamo a Internet: sarebbe già un grande miglioramento, visto che non lo fa nessuno, a giudicare dal numero di oggetti digitali accessibili tramite le loro password standard, e oltretutto metterebbe anche noi al riparo da eventuali atttacchi di ficcanaso. Alcuni dispositivi, però, sono realizzati in modo talmente insicuro da non consentire cambi di password: in questi casi l’unica soluzione è scollegarli o isolarli da Internet, se possono funzionare senza essere online. Benvenuti nell’Internet delle Cose.

Fonti aggiuntive: The Inquirer, Motherboard

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.

Disinformatico radio, la puntata di oggi

L’articolo è stato aggiornato dopo la pubblicazione iniziale. Ultimo aggiornamento: 2013/01/13.

Potete scaricare qui il podcast della puntata di stamattina del Disinformatico radiofonico che ho condotto con Rosy Nervi stamattina, parlando dell’attacco informatico ai nameserver svizzeri di ieri mattina (con dettagli tecnici nell’ambito della parola di Internet di questa settimana, che è DDOS), della vulnerabilità della versione più recente di Java (con le raccomandazioni del DHS statunitense e la disattivazione da parte di Apple e Mozilla), dell’allarme fasullo per il gruppo di pedofili su Facebook e della novità più bizzarra dal CES di Las Vegas: il vasino con porta-iPad.

Aggiornamento (2013/01/13): Oracle ha rilasciato un aggiornamento di Java che risolve la specifica vulnerabilità.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
“Attacco a Internet”: servono dati, non titoloni da panico

“Attacco a Internet”: servono dati, non titoloni da panico

Questo articolo vi arriva grazie alla gentile donazione di “cavalieremita” e “f.momoni” ed è stato aggiornato dopo la pubblicazione iniziale.

Ho letto ieri sulla BBC che Internet sta subendo “il più grande attacco della storia”. Ars Technica parla di un attacco “grande abbastanza da minacciare Internet”. Ma qui al Maniero Digitale non si sente nessun effetto, nessun rallentamento, niente. Nessuno dei servizi che uso online ha mostrato problemi.

Poi noto un fatto curioso: nessuno degli articoli catastrofisti fornisce dati precisi sui rallentamenti causati dall’attacco, che durerebbe da “ben oltre una settimana” (BBC). Solo frasi generiche e un riferimento a un picco di 300 Gb/s di traffico. Ma dati concreti, zero. Altre fonti, come Wired e La Stampa, attingono semplicemente alla BBC o al New York Times, senza verifiche.

La vicenda è legata, a quanto pare, a un attacco DDOS rivolto a Spamhaus, società che si occupa di elencare gli spammer e offre liste nere di siti da bloccare per arginare lo spam, da parte di Cyberbunker, società olandese di hosting un po’ controversa.

Poi trovo un articolo su Gizmodo che fa le mie stesse domande, nota che tutte le dichiarazioni d’Apocalisse partono da Spamhaus e da Cloudflare (società specializzata, guarda caso, nella difesa contro i DDOS) e va a cercare un po’ di dati concreti. L’Internet Traffic Report segnala traffico stabile negli ultimi trenta giorni. L’articolo di Gizmodo include anche una smentita da parte di Renesys, altra società che si occupa di monitoraggio della Rete. L’enorme infrastruttura di Amazon non mostra problemi. Al MIX-it tutto tranquillo da giorni.

Qui in Svizzera, Melani non ha segnalazioni in merito. L’Internet Storm Center ha poche righe ben poco preoccupate. L’unica segnalazione vagamente interessante è un breve calo presso LINX il 23 marzo. Akamai segnala, in questo momento, un calo del traffico del 2% a livello mondiale. Un po’ misero, come effetto di un “attacco nucleare”.

Internet Traffic report del 28/3
Amazon stamattina (28/3)
Akamai stamattina (28/3)

Viene il forte dubbio, a questo punto, che siamo di fronte a una notizia montata perché offriva lo spunto per titoli sensazionali e chi l’ha alimentata non s’è reso conto di essere incappato nel Principio di Belzebù del giornalismo: mai fidarsi di notizie che provengono da una fonte interessata (fra l’altro, noto che online questo principio comincia a essere attribuito a me, ma non è mio, anche se non ricordo la fonte originale). Cloudflare ha molto interesse a dimostrare di saper resistere ad attacchi DDOS massicci e spettacolari (con strilli come “il DDOS che ha quasi spezzato Internet”) e Spamhaus ha molto interesse a far notare la propria indubbia utilità nella lotta allo spam.

Certo, 300Gb/s di DDOS sono un attacco da record e dimostrano l’aggressività dei criminali informatici, ma prima di gridare all’attacco nucleare che ammazza tutta Internet magari è meglio guardarsi intorno e vedere se davvero stanno piovendo bombe.

Maggiori info: Cloudflare, NY Times, Mashable, ZDNet.

Aggiornamenti

13:30. Avevo scritto che Spamhaus è olandese, ma in realtà ha base a Ginevra e sede legale a Londra (fonte: Spamhaus). Ho corretto l’errore. Al Jazeera riporta una dichiarazione del portavoce di LINX, secondo il quale la sua organizzazione aveva visto “un grado modesto d’intasamento in una piccola parte della rete”.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.