Enorme attacco DDoS piega internet: ecco cosa è successo venerdì 21 ottobre

Enorme attacco DDoS piega internet: ecco cosa è successo venerdì 21 ottobre

Numerosi servizi online sono stati inaccessibili per parecchie ore da molte parti del mondo in seguito ad un enorme attacco hacker perpetrato nei confronti di DynDNS

di Nino Grasso pubblicata il , alle 11:00 nel canale Sicurezza
 

Un'aggressione di grossa portata e di lunga durata è stata portata avanti lo scorso venerdì ai danni di DynDNS, causando come conseguenza il mancato funzionamento di parecchi dei servizi online più diffusi e popolari. L'attacco si è "sentito" soprattutto lungo la East Coast statunitense, ma non solo, con piccoli ceppi sparsi anche in Europa. La provenienza? Milioni di dispositivi della cosiddetta Internet of Things, come DVR o videocamere di sorveglianza, che hanno inviato pacchetti dati ad una velocità complessiva insostenibile per le infrastrutture del servizio.

Attacco hackerSegnalazioni dei casi di down negli USA dello scorso venerdì, 21 ottobre

Quello di venerdì è stato un attacco DDoS, ovvero una particolare tipologia di aggressione in cui si utilizzano varie tecniche per inviare richieste e pacchetti di dati ad un sito internet. L'obiettivo è abusare del traffico a disposizione del sito in modo da saturarlo e rendere difficile la navigazione sullo stesso per tutti gli utenti. I siti web devono riconoscere i pacchetti "buoni" da quelli provenienti da attacchi e filtrarli, tuttavia se si riesce a bucare la protezione l'aggressore può di fatto inviare un flusso costante di dati provenienti, magari, da milioni di dispositivi in tutto il mondo.

È successo questo venerdì scorso quando ad essere attaccato è stato un provider DNS, un servizio che risolve l'URL di un sito (come www.hwupgrade.it) nell'indirizzo IP unico a cui il sito stesso fa riferimento. Fra i servizi risultati inaccessibili per parecchie ore citiamo Twitter, Amazon, Tumblr, Reddit, Spotify e Netflix, PayPal, con i browser che non riuscivano a risolvere l'URL e, quindi, garantire l'accesso agli utenti. Come avviene spesso con attacchi hacker di questa portata, all'inizio si è brancolato nel buio sui possibili exploit sfruttati, con gli addetti ai lavori che si sono concentrati principalmente a risolvere le problematiche. 

L'intero fenomeno è stato documentato sul sito ufficiale di DynDNS. La pagina con gli aggiornamenti sullo stato dei servizi pubblicava questa breve nota lo scorso venerdì:

"A partire dalle 11:10 UTC (13:10 italiane) del 21 ottobre 2016 abbiamo iniziato a rilevare e mitigare un attacco DDoS contro la nostra ingrastruttura DynDNS. Alcuni clienti hanno potuto verificare una latenza maggiore nella risoluzione del DNS in questo periodo"

I servizi sono stati portati alla normalità oltre due ore più tardi, con il messaggio di ripristino dei servizi pubblicati alle 13:20 UTC. Ma l'attacco non si era ancora concluso: nella pagina leggiamo infatti che un altro attacco è stato portato a compimento alle 15:52 UTC, con la situazione che si è protratta per parecchie ore e diffusa anche sui servizi avanzati DynDNS, elemento che ha dilungato le operazioni di manutenzione da parte dei tecnici della società. Il problema è stato ripristinato definitivamente alle 22.17 UTC, a oltre 10 ore dal rilevamento del primo attacco.

Ma cos'è successo davvero? Scoprire il dietro le quinte di un attacco di così grande portata non è mai semplice e probabilmente non conosceremo mai tutti i dettagli, tuttavia parecchie firme di sicurezza hanno segnalato che il malware utilizzato all'interno dell'aggressione è Mirai, il cui codice sorgente è disponibile pubblicamente da circa un mese. Il software malevolo prende di mira dispositivi della Internet of Things, ovvero tutti quei dispositivi tradizionali resi smart dalla capacità di connettersi ad internet, e quindi ad altri dispositivi: ad esempio router, videocamere di sorveglianza.

Sono centinaia di milioni i dispositivi IoT sfruttabili per eventi di questo tipo, e capaci di creare botnet estremamente potenti in grado a loro volta di sferrare attacchi di vastissima portata la cui provenienza risulta difficilmente individuabile. In questo caso gli aggressori, ancora ignoti, hanno deciso di prendere di mira un provider DNS, fattore che ha espanso il disservizio ad una serie di siti web fra i più celebri in assoluto per alcune ore. Secondo Flashpoint l'attacco di venerdì è stato veicolato principalmente da videoregistratori digitali e videocamere IP di XiongMai Technologies.

Tale società vende componenti a produttori di terze parti, che poi vengono integrate all'interno di prodotti commercializzati al grande pubblico: "È notevole che un'intera linea di prodotti di una compagnia sia stata trasformata in una botnet che ha preso di mira gli Stati Uniti d'America", ha commentato Allison Nixon, dirigente presso Flashpoint, che non esclude la possibilità che siano state utilizzate anche altre botnet nell'attacco nei confronti di Dyn, oltre a quella che ha sfruttato il malware Mirai di cui invece si ha la piena certezza al momento in cui scriviamo.

L'attacco di oggi è interessante, quanto preoccupante, soprattutto per la provenienza. La categoria IoT è quella probabilmente a più rapida espansione oggi, e si tratta di un'espansione che arriverà in maniera silente: router, lampadine, forni, addirittura frigoriferi con browser integrati, saranno tutti dispositivi che si insedieranno quasi senza volerlo nelle case di tutti, sia utenti preparati, che utenti meno esperti. Il problema dei dispositivi IoT non sicuri crescerà insieme a quel trend, e forse crescerà iperbolicamente se consideriamo l'essenzialità dei software integrati.

Il software di molti dispositivi è infatti blindato, l'aggiornamento e la manutenzione particolarmente difficile da parte dell'utente. I produttori al momento si stanno concentrando sulle performance e sull'efficienza di funzionamento, ma al momento pare che la sicurezza stia passando in secondo piano: "Il problema è che in questi dispositivi non è possibile cambiare la password di accesso", commenta Flashpoint. "La password è codificata dentro il firmware e non sono spesso presenti gli strumenti necessari per disabilitarla. Ancora peggio l'interfaccia web spesso non sa neanche che questa password esiste".

Secondo i dati di Malware Tech sono circa 1,3 milioni i dispositivi IoT vulnerabili al malware Mirai, fra quelli in circolazione, di cui circa 160 mila accesi e attivi al momento in cui scriviamo, numeri che fanno pensare che non sarà facile fare i conti con attacchi di questo tipo nel prossimo futuro. Le varie compagnie del web cercano da tempo di trovare modi per arginare gli attacchi DDoS, ma le crescenti capacità e dimensioni delle botnet costringono gli esperti a trovare continuamente nuove soluzioni per arginare pacchetti spazzatura sempre più grandi e potenzialmente minacciosi.

L'arrivo sregolato della IoT avrà naturalmente una grossa responsabilità sui prossimi potenziali attacchi, dal momento che la facilità con cui le protezioni dei dispositivi possono essere espugnate e il numero di dispositivi in rapida crescita diventeranno armi potentissime nelle mani di utenti potenzialmente molto pericolosi. Gli esperti chiedono certificazioni di sicurezza più stringenti e nuove leggi, e sembra chiaro a tutti che se qualcosa si fosse mosso prima l'attacco di venerdì si sarebbe potuto evitare del tutto.

Resta aggiornato sulle ultime offerte

Ricevi comodamente via email le segnalazioni della redazione di Hardware Upgrade sui prodotti tecnologici in offerta più interessanti per te

Quando invii il modulo, controlla la tua inbox per confermare l'iscrizione

24 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
v10_star24 Ottobre 2016, 11:57 #1
mi domando una cosa: come fanno i c&c da remoto a deployare il loro codice in un dispositivo embedded? forse questi dispositivi fanno un uso troppo allegro di upnp e aprono porte ad cazzum che poi vengono usate dai cracker che si spazzolano la rete alla ricerca di una determinata porta aperta fanno il resto?

No perchè a questo punto mi torna il fatto che in certi periodi sul firewall mi trovo, sempre da ip sorgenti diversi uno scan su una determinata porta alta (es 53544) che perdura per una settimana e poi stop.
Gio2224 Ottobre 2016, 12:13 #2
diranno che sono stati gli aker russi
benderchetioffender24 Ottobre 2016, 12:40 #3
speriamo che sia la volta buona che si faccia una riflessione sull IoT in questo mercato bulimico, che senza grosse rivoluzioni a portata di mano e sempre piu esigente, cerca di creare mercati su esigenze inesistenti

perchè diciamolo, IoT è una cosa interessante, ma chissene di avere le news in tempo reale sulla tazza del caffè?? (si non è solo questo ma si punta anche e sopratutto a questo... sempre per profilare il cliente e vendere pubblicità targettizzata, claro)

io ho sempre sostenuto che IoT dovesse basarsi su una nuova rete, separata, IP diversi etc etc etc

queste son le conseguenze di 4 telecamerine vendute da Dlink con un firmware del benga, figuriamoci che "cataclismi" so potrebbero fare se diventasse come nei sogni dei vari player (ovvero tutto su internet, tazza del cesso compresa)
fano24 Ottobre 2016, 12:53 #4
Ma non ho capito bene (forse è meglio leggere la fonte originale?), ma ste telecamere cinesi di sottomarca avevano un IP pubblico? O il firewall era configurato alla c*zzo di cane in modo da permettergli di uscire all'esterno?

Cioè OK che l'IOT potrebbe anche non servire ad una fava però la separazione minima tra rete pubblica (Internet) e rete privata ci dovrebbero arrivare tutti dai

Se poi vogliamo dirla tutta le Telecamere IP esistono da anni quindi IOT non c'entra nulla in questo caso!
benderchetioffender24 Ottobre 2016, 13:02 #5
Originariamente inviato da: fano
Cioè OK che l'IOT potrebbe anche non servire ad una fava però la separazione minima tra rete pubblica (Internet) e rete privata ci dovrebbero arrivare tutti dai

ci son cose che voi umani....

Se poi vogliamo dirla tutta le Telecamere IP esistono da anni quindi IOT non c'entra nulla in questo caso!


centra nel momento in cui prima vendevano telecamere IP per garantire un segnale decente in grandi aree senza tirare cavi video chilometrici, che poi il segnale ha i suoi limiti, ed eventualmente lavorando sul router portavi fuori il segnale ad un device connesso

ora quelle telecamere son create appositamente per avere accesso da esterno (le famose telecamere easy da sorveglianza da salotto/culla, anche il design esterno è diventato piu eye-candy), e deve essere tutto facile, quindi con uso e abuso di UpnP e via discorrendo
Notturnia24 Ottobre 2016, 13:52 #6
ecco il futuro dove basteranno pochi per mettere in crisi molti.. che poi siano Hacker russi o cinesi poco cambia
YetAnotherNewBie24 Ottobre 2016, 14:02 #7
Quando apro la porta 22 (SSH), trovo dei tentativi di accesso ad intervalli di tempo fissi.
Provano sempre con questi nomi utente: root, admin, user.
Forse è il caso di usare delle credenziali meno banali
NighTGhosT24 Ottobre 2016, 14:23 #8
Originariamente inviato da: Notturnia
ecco il futuro dove basteranno pochi per mettere in crisi molti.. che poi siano Hacker russi o cinesi poco cambia



Aspetta le famose "auto a conduzione autonoma" almeno prima di dirlo

Dato che saranno PER FORZA connesse quantomeno a reti GPS....ma con ogni probabilita' anche al web (aggiornamenti mappe/traffico in tempo reale/incidenti/deviazioni etc etc....)

No perche' c'e' anche questo "piccolo problema" da considerare....OGGI, gli hacker riescono a oscurare mezzi Stati Uniti.......domani, potranno fare molto peggio.

Noi ne abbiamo gia' avuto un assaggio con l'intromissione al sistema UConnect.
Gio2224 Ottobre 2016, 15:47 #9
Originariamente inviato da: Notturnia
ecco il futuro dove basteranno pochi per mettere in crisi molti.. che poi siano Hacker russi o cinesi poco cambia


ne hacker russi cinesi o egiziani.
E molto più probabile che siano gli americani stessi.
!fazz24 Ottobre 2016, 16:04 #10
Originariamente inviato da: NighTGhosT
Aspetta le famose "auto a conduzione autonoma" almeno prima di dirlo

Dato che saranno PER FORZA connesse quantomeno a reti GPS....ma con ogni probabilita' anche al web (aggiornamenti mappe/traffico in tempo reale/incidenti/deviazioni etc etc....)

No perche' c'e' anche questo "piccolo problema" da considerare....OGGI, gli hacker riescono a oscurare mezzi Stati Uniti.......domani, potranno fare molto peggio.

Noi ne abbiamo gia' avuto un assaggio con l'intromissione al sistema UConnect.


il gps non è una rete di comunicazione e i ricevitori sono solo quello ricevono e basta (o quasi)

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^