Censura di Krebs on Security: la sicurezza informatica è un dovere di tutti nella salvaguardia della libertà
La vicenda accaduta al blog Krebs on Security dovrebbe suonare come un campanello d'allarme per le minacce alla libertà d'espressione. La sicurezza tecnologica deve diventare un aspetto a cui tutti sono tenuti a badare
di Andrea Bai pubblicata il 27 Settembre 2016, alle 11:59 nel canale SicurezzaIl famoso blog di sicurezza Krebs on Security è stato messo offline la scorsa settimana da un massiccio attacco DDoS (distributed denial of service) di 620gbps di dati non-stop come risultato di un'azione di rappresaglia dopo che l'autore Brian Krebs ha portato alla luce due venditori di cyberattacchi che sono, a seguito delle sue rivelazioni, stati arrestati. Il blog è potuto tornare online solamente grazie all'aiuto di Project Shield di Google, iniziativa che ha lo scopo di proteggere siti d'informazione indipendenti o individuali che sono vittime di campagne DoS orientate alla censura.
Akamai, il provider anti-DDoS a cui Krebs si affidava, non ha avuto alcuna scelta se non quella di scaricarlo: la società ha dichiarato al Boston Globe che un attacco del genere portato avanti in maniera continuata avrebbe avuto un costo di milioni di dollari per la compagnia. Krebs, di contro, non accusa Akamai di alcunché: il provider offriva infatti volontariamente questo servizio per Krebs on Security, e l'attacco che stava sostenendo aveva iniziato a causare qualche disservizio anche ai clienti paganti.
L'aspetto più sinistro di questa vicenda è che l'azione di vendetta potrebbe aver richiesto uno sforzo realmente minimo. Lo stesso Krebs crede infatti che gli attaccanti abbiano potuto sfruttare una botnet formata da dispositivi IoT come DVR, router domestici e videocamere di sorveglianza, molti dei quali sono protetti (o non lo sono affatto) da password deboli che a volte non è nemmeno possibile cambiare. Vi è inoltre la possibilità che nell'attacco siano state impiegate anche tecniche di spoofing, per amplificare gli attacchi ingannando le macchine a mandare messaggi di risposta alla vittima. Recentemente anche il provider francese OVH è stato colpito da un attacco simile, ma con una potenza di fuoco di circa 1Tbps.
Nell'era moderna difendere la libertà di parola è difficile e oneroso
Krebs parla di "democratizzazione della censura", sottolineando quanto difficile e costosa possa essere la difesa della libertà di parola nell'era moderna. Non solo, infatti, è relativamente semplice poter architettare un attacco informatico a scopi censori, ma l'enorme disparità si amplifica pensando a quanto proibitivi possano essere i costi di difesa da una campagna del genere: un provider in grado di fornire una protezione anti-DDoS come quella che Akamai ha gentilmente regalato a Krebs avrebbe un costo di 150-200 mila dollari all'anno.
Si evince come nessun organo di informazione di piccole dimensioni o nessun singolo giornalista possa essere in grado di sostenere questo genere di protezione. Finché vi sarà questo asimmetrico e sproporzionato vantaggio per attaccanti e tecniche di attacco, tutte quelle realtà (siano esse governi o corporazioni) non troppo riluttanti a mettere mano a misure censorie potrebbero accarezzare l'idea di usare questi metodi per imbavagliare gli oppositori od ostacolare i concorrenti.
Le tecniche di attacco sono sproporzionatamente più accessibili delle misure di difesa
Questa vicenda aiuta a comprendere come la sicurezza tecnologica e informatica sia un aspetto a cui chiunque, nel proprio piccolo, dovrebbe essere tenuto a badare. Una maggiore e migliore cura, ad esempio, della sicurezza di tutti i dispositivi connessi alla rete renderebbe più difficoltose tecniche di attacco come quella usata contro Krebs, contribuirebbe a rafforzare la sicurezza di base della rete e a proteggere le libertà.
9 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - infovoi direte che akamai stessa si era offerta volontaria quindi è a gratis, ma allora quando conviene tutti volontari e poi alla bisogna ci si tira indietro?
semplice riflessione
my 2cents
Google se lo puo' permettere, perche' ha gazzillioni di terabytes di banda a disposizione. Vedremo fino a quando riuscira' a resistere.
Da questo punto di vista MS fa bene a imporre gli aggiornamenti su w10, almeno ci mette una pezza.
D'altra parte una maggiore diffusione di linux sarebbe auspicabile, per via della maggiore robustezza intrinseca. Vabbe, sto sognando..
In verita' stavolta la parte del leone l'hanno fatta i dispositivi IoT. Il problema e' che questi dispositivi vengono prodotti in base a standard di sicurezza anni '50.
Quello che si temeva sta accadendo, ovvero che miliardi di dispositivi vulnerabilissimi sono connessi ad internet. E sono dispositivi con cui l'utente non interagisce direttamente, per cui non si puo' accorgere del breach dai segnali tipici ( consumo di memoria, lentezza della macchina, strani picchi sulla rete, ecc... ).
Fatti e finiti per soddisfare le esigenze dell'utente che vuole pigiare un tasto e tutto funziona. Chi vive di botnet può stare sereno.
Google se lo puo' permettere, perche' ha gazzillioni di terabytes di banda a disposizione. Vedremo fino a quando riuscira' a resistere.
pagherei per avere una rappresentazione grafica di dorsali e traffico (con relativi attacchi ddos) mondiale...
Google se lo puo' permettere, perche' ha gazzillioni di terabytes di banda a disposizione. Vedremo fino a quando riuscira' a resistere.
si scusami per sicurezza intendevo di protezione anti-ddos, però riprendendo il tuo discorso, se krebs fosse utente pagante , lo avrebbero scaricato lo stesso?
Questo e' il massimo che possiamo avere http://www.norse-corp.com/map/
Purtroppo si. Capita con gli hoster piccoli e pure con quelli grandi. Se fosse stato pagante, avrebbero cominciato a chiedergli sui 200.000$ per la banda necessaria a far fronte all'attacco. Lo stesso Krebs ne ha parlato sul suo blog.
Questa roba e' grossa, da qualunque angolazione la si voglia guardare. I DDOS sono una minaccia tutt'altro che banale e a cui non e' stata ancora trovata soluzione.
Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".