Dimenticate Spamhaus, è questo l’attacco che può spegnere internet

“Dovrei scusarmi con CloudFare e Spamhaus visto che un mio errore ha contribuito all’attacco DDoS degli ultimi giorni” – ha rivelato un professionista del mondo IT al portale britannico The Register ad un giorno dalla notizia della cyberwar tra l’azienda anglo-svizzera e i Cyberbunker olandesi. Ma come è possibile che un responsabile tecnico IT abbia partecipato “per sbaglio” ad un attacco del genere? Il modo in cui avviene un attacco di amplificazione DNS è molto semplice. I server DNS possono essere configurati in due modi basilari. Nel primo si può “dire” al server DNS di viaggiare solo sui domini per i quali è autorevole, in un’altra si può configurare il server per servire i domini generali non personalmente gestiti, tale modalità si dice ricorsiva. Nel primo caso ad esempio, se si digita in qualsiasi browser l’indirizzo www.google.it , il computer non arriverà mai al sito, il server DNS non sa dov'è google.it.

Nel secondo il server spulcia in una lista di domini che terminano con .it e cerca l’indirizzo digitato e dopo averlo trovato mostra il sito vero e proprio. Come avrete capito i server DNS ricorsivi sono quelli che fanno funzionare internet, ma sono anche un facile obiettivo di hacker e criminali informatici. Il motivo è che quando un DNS è ricorsivo può essere visualizzato anche da altri soggetti, che se cominciano a chiederli dov'è google.it, invieranno una serie di richieste ai server di google.it. Per ogni byte di dati inviati dal server di un computer, 50 bytes finiscono direttamente al bersaglio, in termini molto spartani vuol dire che per ogni richiesta che parte da un computer verso un specifico indirizzo web, al sito digitato arrivano informazioni “pesanti” 50 volte maggiori, in termini di bytes. Moltiplicati questi dati per migliaia di computer e avrete un attacco DDoS.

Al suo apice l’attacco di Cyberbunker ha intasato la rete con 300 gigabit al secondo, in quello che è stato chiamato il più grande cyber-attacco della storia. Ma cosa succederebbe se si potesse staccare la spina a 1,28 terabit di dati, cioè quattro volte la quantità lanciata da Cyberbunker, con spartani mezzi hi-tech? È quello che hanno cercato di fare ieri tre uomini in Egitto le cui identità non sono ancora note. Come riporta la Reuters la guardia costiera egiziana ha intercettato una barca da pesca al largo della costa di Alessandria d’Egitto e ha arrestato tre uomini che stavano cercando di tagliare il cavo sottomarino conosciuto come SEA-ME-WE 4 . Il cavo è uno dei principali collegamenti tra Asia ed Europa, in una zona che va dalla Francia alla Malesia collegando l’Italia al Nord Africa, il Medio Oriente all’Asia meridionale. Le autorità egiziane hanno anche diffuso le immagini dei tre uomini su Facebook , sperando che qualcuno possa riconoscerli.

È bene ricordare come internet non viva su una nuvola, ma in centinaia di cavi sotterranei che serpeggiano sul fondo del mare. Nonostante molti paesi abbiano posizionato cavi ridondanti come “riserva” di segnale, la perdita di uno solo causerebbe una congestione rilevante visto che il traffico dovrebbe essere dirottato sulle connessioni rimanenti. Se pensate che alcuni cavi passano anche per lo stretto di Suez, non servirebbe molto per tagliarli ed eliminare in un batter d’occhio internet in molte zone del mondo. Non a caso la settimana scorsa si sono visti cavi recisi appartenenti alla Seacom sulle coste d’Egitto, rafforzando il controllo delle autorità su questo tipo di crimine.

L’attacco DDoS di ieri alle infrastrutture della Spamhaus e successivamente ad alcune reti dell’Internet Exchange, dimostrano modi diversi di attentare alla vita della rete. Se l’obiettivo degli aggressori informatici è una singola azienda può andare bene dirottare i server DNS e inserirli in una rete di computer zombie che affollano tutti lo stesso indirizzo; se l’obiettivo è più grande, diciamo uno stato o un intero continente, allora basta una piccola imbarcazione con un paio di attrezzature subacquee.