Come gli hacker siriani combattono la guerra sul web
Tecnologia

Come gli hacker siriani combattono la guerra sul web

New York Times e Twitter sono le ultime vittime del Syrian Electronic Army, l’esercito che vuole dominare internet. Ma la colpa è della poca prevenzione

Che la battaglia della Siria contro il mondo si combatta anche su internet è oramai chiaro. La milizia digitale pro Assad, anche se il presidente non lo ha mai confermato, è venuta alla ribalta lo scorso aprile quando un loro tweet, lanciato dal profilo hackerato dell’agenzia Associated Press , aveva fatto cadere il Dow Jones. Da allora non sono poche le vittime degli hacker siriani: BBC News, National Public Radio, Al Jazeera, Financial Times, Daily Telegraph, Washington Post, Human Rights Watch, e i servizi VoIP Viber e Tango.

Quando nella notte italiana, tra il 27 e il 28 agosto, il New York Times ha lanciato un tweet per avvertire di alcuni problemi sulla piattaforma molti pensavano ad un inconveniente come quello che era avvenuto il 14 agosto quando il team parlò di “incomprensione tecnica” e nulla di più. Pochi minuti dopo il panico con il sito completamente irraggiungibile da ogni parte del mondo. Il sentore di un attacco hacker era nell’aria, d’altra parte il NYT era l’unico big statunitense dei media a non essere ancora caduto vittima dell’esercito elettronico siriano.

Entrando nel dettaglio gli hacker sono riusciti a intrufolarsi nei sistemi del Times partendo da lontano, per la precisione dall’Australia. È qui infatti che vi è la sede della Melbourne IT , l’azienda che gestisce l’infrastruttura di hosting dei siti del New York Times, Twitter e di molti altri. Secondo un comunicato inviato a Business insider , gli hacker del SEA sono entrati nei sistemi digitali utilizzando username e password di un rivenditore del gruppo. Come sia stato possibile è presto detto: phishing. Utilizzando una email maligna, i siriani hanno rubato i dettagli di login del “reseller”.

Una volta dentro il sistema della Melbourne IT, il gruppo ha avuto accesso ad una serie di dati e informazioni sensibili, proprio ciò che serviva per dirottare altrove gli utenti che digitavano https://www.nytimes.com , tutt’ora irraggiungibile. In gergo tecnico una casella DNS è paragonabile ad una rubrica telefonica per internet fatta di un indirizzo IP e un nome associato. Così se una persona riesce a cambiare corrispondenza ad un DNS può far puntare un indirizzo esteso (come nytimes.com) verso un altro indirizzo IP, diverso da quello originale. In questo modo gli hacker siriani hanno reindirizzato il traffico web destinato al New York Times verso una pagina bianca con la scritta “Hacked by SEA”.  Con il beneficio del dubbio, e in attesa di conoscere nel dettaglio come gli hacker hanno lavorato, si può ben pensare che il gruppo non abbia realmente cambiato le corrispondenze dei DNS ma solo la “cache poisoning ”. Proprio per la particolare procedura di attacco il ripristino dei DNS può richiedere del tempo. Per questo il team del New York Times ha lanciato un mini sito che rispecchia l’originale e reso disponibile l’indirizzo IP per raggiungere la versione classica.

Simile l’attacco sferrato in contemporanea su Twitter. In questo caso è stato preso di mira il server che conserva le immagini sul social network twimg.com . Proprio per questo il microblog di per sé non è mai andato offline, gli unici inconvenienti si sono verificati nel postare o visualizzare le immagini caricate dal servizio che potevano mostrare loghi e foto del Syrian Electronic Army. A quanto pare non sarebbero state esposte le credenziali di login degli utenti peraltro conservate sui server di un’altra azienda, la statunitense DYN . L’ombra più grande su tutta la vicenda è come una singola vulnerabilità, conosciuta dal 2008 , abbia permesso di entrare così a fondo all’interno di sistemi di tutto valore come quelli del New York Times e Twitter. Se si considera poi che alla base vi è la tecnica del phishing, la situazione è ancora più paradossale e fa pensare a quanto poca formazione ci sia nel campo della sicurezza informatica, soprattutto in strutture che più di altri dovrebbero preservarla. 

 

I più letti

avatar-icon

Antonino Caffo

Nato un anno prima dell’urlo di Tardelli al Mondiale, dopo una vita passata tra Benevento e Roma torno a Milano nel cui hinterland avevo emesso il primo vagito. Scrivo sul web e per il web da una quindicina di anni, prima per passione poi per lavoro. Giornalista, mi sono formato su temi legati al mondo della tecnologia, social network e hacking. Mi trovate sempre online, se non rispondo starò dormendo, se rispondo e sto dormendo non sono io. "A volte credo che la mia vita sia un continuo susseguirsi di Enigmi" (Guybrush Threepwood, temibile pirata).

Read More