[banner]…[/banner]
Il maxi attacco hacker che venerdì 21 ottobre ha mandato in tilt centinaia di siti internet e servizi online quali Twitter e Spotify, è stato provocato da Mirai, una botnet che ha sfruttato – tra le altre cose – debolezze dei dispositivi per l’Internet delle Cose. È stata presa di mira Dyn, azienda che offre servizi di domain name system per alcuni dei siti più trafficati della rete. Il Domain Name System (DNS) è un sistema utilizzato per la risoluzione di nomi dei nodi della rete. In pratica è una sorta di elenco telefonico della rete, un meccanismo che converte un indirizzo (es. twitter.com) in un indirizzo IP, semplificando in questo modo il compito dell’utente che può saltare da un indirizzo a un altro senza necessariamente ricordare indirizzi composti da numeri.
Servizi quali Twitter, spiega Mashable, non sono ospitati in un solo luogo. Molti dati sono duplicati e memorizzati in server sparpagliati su più regioni geografiche, per consentire agli utenti di accedere più velocemente a determinati servizi. Grazie ai DNS i browser sanno a quali indirizzi IP dirottare gli utenti, aggiornando costantemente i loro dati di riferimento.
Attaccando Dyn, è stato impedito ai browser di individuare gli indirizzi IP corrispondenti ai vari nomi di dominio, è stato tranciato l’accesso al database (all'”elenco telefonico”) da quale ricavare i nodi che consentono di trovare informazioni che appartengono ad altri domini. Steve Grobman, Chief Technology Officer responsabile sicurezza di Intel, spiega che quanto accaduto è paragonabile alla perdita del segnale GPS in un navigatore impedendo al sistema di capire come arrivare a destinazione.
Per provocare il malfunzionamento è stato sfruttato il meccanismo noto come distributed denial of service (DDoS), generando un numero enormemente elevato di richieste al punto di fare esaurire deliberatamente le risorse del sistema attaccato. Nel momento in cui scriviamo non è stata individuata con esattezza l’origine dell’attacco ma gli esperti in sicurezza ritengono che sia stata sfruttata allo scopo una botnet, una rete di dispositivi controllata (all’insaputa dei proprietari) da un’unica entità. La maggiorparte dei dispositivi-zombie sfruttati sarebbero quelli dedicati all’Internet delle Cose: molti di questi sono vulnerabili ed è stato dimostrato che è relativamente semplice prendere il loro controllo.
Mirai è una versione rinnovata di un altro trojan DDoS conosciuto anche con altri nomi (Bashlite, GayFgt, LizKebab, Torlus, Bash0day e Bashdoor). Sfrutta dispositivi come videocamere di sorveglianza connesse a internet, digital video recorder e altri dispositivi spesso lasciati con le password di base dai proprietari. Il codice sorgente di Mirai è disponibile online e non è difficile immaginare che la risorsa in questione sarà sfruttata dall’hacking criminale anche per altri scopi.
Intanto l’FBI e il dipartimento per la Sicurezza nazionale USA hanno aperto un’indagine. Tra le ipotesi allo studio, manovre per destabilizzare le elezioni (impedire il voto via internet laddove è permesso) ma anche una semplice vendetta nei confronti del gruppo Dyn.
