Breve storia degli attacchi DDoS

Quindi sta per accadere: l’abbreviazione “DDoS” è entrata così tanto nel lessico che spesso in questi giorni la parola non viene scritta per intero nei giornali di interesse pubblico. Beh, alcuni magari non sanno ancora cosa significa l’abbreviazione, ma tutti, perfino i cani, sanno che un DDoS è pericoloso su vasta scala, che provoca l’improvviso non funzionamento di qualcosa molto importante e allora gli impiegati si girano i pollici dal momento che la rete non funziona e i telefoni del supporto tecnico devono farsi una doccia fredda dal momento che il telefono bolle a causa delle chiamate (e clienti contrariati li riempiono di parolacce). Inoltre, tutti sanno che normalmente un attacco DDoS viene effettuato da cybercriminali sconosciuti, misteriosi e pericolosi.

Gli attacchi DDoS si sono evoluti molto velocemente, come capirete leggendo questo post. Sono più pericolosi e molto più avanzati dal punto di vista tecnico; adottano di volta in volta metodi d’attacco assolutamente insoliti; cercano sempre nuovi obiettivi; stabiliscono nuovi record mondiali dal momento che sono i DDoS più grandi e pericolosi di sempre. Ma poi anche il mondo in cui si sono trovati i DDoS si è evoluto velocemente. Tutto, anche il lavello della cucina, è connesso alla rete: il numero di dispositivi “intelligenti” connessi alla rete supera di gran lunga il numero dei buon vecchi computer fissi e dei portatili.

Il risultato di queste due evoluzioni in parallelo (quella dei DDoS e del panorama digitale in cui questi risiedono) ci ha portato a notizie ugualmente evolute: le botnet formate da telecamere IP e router Wi-Fi di casa che violano i registri DDoS (Mirai) e grandi attacchi DDoS alle banche russe.

Se un tempo le botnet erano formate da PC zombie, presto saranno formate da frigoriferi zombie, aspirapolveri, asciugatrici e macchinette del caffè.

brevity-comic

Quindi, cosa ci aspetta?

Niente di buono, ovviamente. In passato finiva sempre male per le vittime coinvolte. Ma quanto soffriranno le vittime in futuro? Per fare un’ipotesi migliore, dobbiamo guardare al passato per farci un’idea migliore di quello che ci aspetta in futuro. Pertanto, con questo post, ripercorriamo la storia degli attacchi DDoS, per il piacere della lettura e per avere chiarimenti storici al riguardo.

Segue una mia soggettiva Top 8 degli attacchi DDoS di tutti i tempi. “Top” non in senso positivo del termine ma in senso negativo, se capite cosa intendo. Tutte e otto hanno causato seri danni sia a buona parte di Internet sia a un grande servizio Internet.

Prima di iniziare, faccio una precisazione: non sono tutti e otto “attacchi DDoS” stando al senso che si attribuisce oggi alla parola; ad ogni modo, l’elemento “diffuso” era presente in tutti e otto, dal momento che hanno causato un’interruzione della rete.

1. Il Morris worm (1988)

Robert Tappan Morris – creator of the first computer worm on the InternetRobert Tappan Morris – creatore del primo worm su Internet per computer

Mentre era ancora un laureando, Robert Tappan Morris ha sviluppato il suo worm esclusivamente per scopi di ricerca (“per misurare le dimensioni di Internet”). Ad ogni modo, come sempre, nascosto nel codice c’era un errore, a causa del quale il worm non poteva determinare se un sistema fosse “pulito” o infetto (da sé!). Invece di un attacco una tantum sui computer remoti, il worm si è copiato in uno stesso sistema tantissime volte… Di conseguenza la rete è crollata (tutti i 60.000 nodi della rete). L’ARPANET infetta (un primo prototipo di Internet) aveva realizzato un attacco DDoS su se stessa!

Morris si è dichiarato colpevole, si è pentito e gli sono stati assegnati 400 ore di servizi sociali e una multa di 10.000 dollari.

2. Melissa (1999)

David Smith, creator of Melissa, the mass-mailing virus that left Microsoft and Intel without emailDavid Smith, creatore di Melissa, il virus delle mail di massa che ha lasciato Microsoft e Intel senza email

Un semplice macrovirus di posta elettronica che ha colpito i documenti di MS Office. Se un utente apriva un file, il virus inviava questo fino a 50 destinatari dall’elenco degli indirizzi della vittima.

Quindi, vi chiederete dove sia il collegamento con i DDoS…

Beh, quelle 50 email inviate da ogni vittima ha causato un’enorme gigantesca epidemia, che ha perso il controllo: l’attacco si è diffuso nel mondo. Non aveva un target particolare, mirava però all’intero sistema di email! Il macrovirus è riuscito ad accrescere il traffico mondiale di mail e ha obbligato molte aziende a disabilitare semplicemente i propri server di posta elettronica.

Anche questo programmatore di virus è stato catturato, processato e accusato.

3. L’attacco DDoS ad Amazon, eBay, Dell, CNN e altri (2000)

Questo DDoS è forse il più eclatante, ha provocato danni immensi e il colpevole dell’attacco è stato a mala pena punito.

Ecco cosa è accaduto: un hacker di 15 anni, conosciuto con il nome di MafiaBoy ha bloccato quasi tutti i principali portali Internet, incluso Yahoo!, poi il principale motore di ricerca (Google era ancora in fasce). Si stima che il danno finanziario causato da MafiaBoy sia di 1,2 miliardi di dollari.

Il motivo per cui ha fatto quel che ha fatto era abbastanza comune in quel periodo: voleva solo mostrare al mondo cibernetico quanto fosse bravo. Non era interessato al denaro. Si trattava solo di ego adolescenziale, aiutato dalla vulnerabilità di Internet.

Dal momento che era ancora minorenne, il tribunale canadese l’ha condannato a soli otto mesi in riformatorio.

4. Code Red (2001)

Eccone un altro risalente al periodo precedente all’era del cybercrimine come lo conosciamo oggi; in quanto tale, non era alla ricerca di denaro. Era semplicemente cattiveria per puro piacere.

Code Red ha attaccato i computer con il server web Microsoft IIS. Ha lasciato dei messaggi che dicevano “Hackerato dai cinesi” e hanno anche bloccato il sito della Casa Bianca.

Il worm ha fatto tre cose:

Ha sostituito il contenuto utile di una pagina con la seguente frase:

ddos-4

b) Si è diffuso tra i nuovi server del web;

c) Ha realizzato gli attacchi DDoS in una serie predefinita di indirizzi web (incluso quello della Casa Bianca, che è crollato in un lasso di tempo predefinito, come previsto dalla voce corrispondente nel codice).

Ha colpito oltre un milione (!) di server web nel mondo, una parte considerevole di tutto Internet. Si trovava solo nella memoria dei computer delle vittime, senza creare alcun file.

Chi ha creato Code Red e perché lo ha fatto resta ancora un mistero.

La cosa particolarmente interessante di Code Red è che la vulnerabilità nel server web utilizzata dal worm era stata risolta da Microsoft un mese prima dell’attacco. La morale: non rimandate mai gli aggiornamenti, gente!

5. SQL Slammer (2003)

Si tratta di una cattiveria piccola ma MOLTO pericolosa (complessivamente 376 bytes, non mancavano i “kilo”, i “mega” o i “giga”). A gennaio 2003 è riuscito ad infettare centinaia di migliaia di server di tutto il mondo in 15 minuti, ad aumentare il traffico globale del 25% e a lasciare la Corea del Sud senza Internet e telefonia mobile (!) per diverse ore, dal momento che l’attacco DDoS aveva distrutto il paese. Inoltre, il problema di Microsoft SQL Server 2000 era stato già risolto (non una mese ma ben sei mesi prima, proprio come Code Red)!

Poi si è scoperto esistere tanti sistemi pieni di falle e il mondo informatico è stato colpito seriamente. In quella disastrosa domenica mattina il nostro (adesso) massimo esperto Aleks Gostev, che lavorava con noi di KL da un mese, era l’unico a lavorare durante il turno del fine settimana. Ricordo bene il suo “battesimo” nel mondo del rilevamento dei cattivi e non me lo dimenticherò mai!

The jump in traffic looked something like thisIl traffico sembrava questo

Tra le altre cose, questa epidemia ha bloccato 13.000 bancomat della Banca d’America e, stando a quanto si dice, ad agosto 2003 ha lasciato 50 milioni di persone dell’America nordoccidentale senza elettricità.

6. Estonia (2006)

Nel 2007 il governo dell’Estonia ha deciso di muovere il soldato di bronzo di Tallinn, costruito nel luogo in cui sono avvenute numerose guerre, dalla capitale al vicino Cimitero Militare di Tallinn. La statua è stata costruita in memoria del soldati sovietici morti durante la Seconda Guerra Mondiale mentre combattevano contro le truppe naziste. La comunità estone russofona si è opposta fortemente e ha continuato a farlo, provocando due notti di sommosse e arresti di massa. Ecco il panorama in breve.

Quando il monumento è stato spostato, è stato lanciato un DDoS storico su varie organizzazioni estoni. Non era il più grande DDoS della storia, ma è stata la prima volta che le botnet di criminali hanno minacciato la sicurezza nazionale di un paese: l’Internet estone era praticamente bloccato. Le banche, i provider di Internet, i giornali, i siti dei governi…erano tutti arrivati a un punto di stallo. Si dice che dietro tutto questo ci fosse lo stato russo, ma non possiamo confermarlo. Sappiamo solo che erano state utilizzate botnet criminali, così come persone eccessivamente entusiaste.

La lezione principale dall’attacco in Estonia: il cybercrimine è diventato una possibile minaccia alla sicurezza nazionale ed internazionale e il mondo digitale che abbiamo costruito risulta essere estremamente vulnerabile.

7. DDoS nel sud della Russia (2007)

Si tratta di un attacco DDoS meno conosciuto ma non per questo meno importante. Durante l’estate del 2007 nella regione della Krasnodar, nel sud della Russia, le città di Adygea e Astrakhan avevano solo una copertura Internet intermittente (si sconnetteva e si riconnetteva in continuazione). Sembra che il motivo di tutto questo fosse un DDoS che aveva bloccato il provider della rete dell’intera regione.

Ovviamente si è creato il panico, gli ingegneri non si fermavano un attimo, i router (e i cervelli) fumavano, volavano imprecazioni, i clienti (anche i VIP) iniziavano a chiedere quando tornasse la connessione Internet e le forze dell’ordine si chiedevano chi fossero i tizi che dovevano arrestare (e per quale motivo)!

Per un intero mese si sono verificate ondate di attacchi, raggiungendo l’incredibile (per quei tempi) cifra di 10 gigabytes al secondo. Gli attacchi erano anche molto strani: utilizzavano botnet, ma facevano più uso di file che scambiavano i siti peer, che ai tempi non riguardavano i progetti di ricerca. Non si è mai scoperto chi ci fosse dietro questi attacchi.

Questo attacco DDoS è stato un momento cruciale per la Russia. L’intero Internet di un’intera regione veniva acceso e spento come una torcia e nessuno poteva farci niente. Prima di questo incidente nessuno aveva notato le minacce DDoS; poi era successo proprio il contrario: venivano trattati come minacce gravi che dovevano essere prese sul serio. Poi sono nate le tecnologie e le compagnie telefoniche hanno iniziato a installare nuovi kit specializzati. Anche noi abbiamo fatto la nostra porte, sviluppando la nostra propria soluzione.

8. DDoS politico in Russia (2011-2012)

Tra dicembre 2011 e marzo 2012 ci sono state molte tensioni politiche in Russia: si sono svolte sia il Duma (il parlamento) che le elezioni presidenziali, e sono state accompagnate da tante dimostrazioni politiche. Come se non bastasse c’è stata una guerra tra le diverse forze DDoS. Entrambe le opposizioni e i siti pro governo avevano subito un attacco DDoS. La morale: questa è stata la prima volta in Russia in cui i metodi dei cybercriminali sono stati applicati così ampliamente per scopi politici.

Cosa ci riserva il futuro?

Gli attacchi DDoS non si sono fermati nel 2012. In realtà è avvenuta proprio il contrario: il settore criminale dei DDoS è cresciuto notevolmente. Il motivo è chiaro: denaro, il cybercrimine come un servizio che fa obbedire i servizi. Anche gli attivisti si stanno occupando dei DDoS, cosí come anche i cyber generali nel mondo intero.

Oggi è difficile pensare ad un’epidemia come Slammer (ma adesso con così tanti dispositivi “intelligenti” connessi a Internet e con così tanti dati di scambio, tutto può succedere). Ma i criminali non si arrendono e i recenti attacchi DDoS all’Internet delle cose ne sono la prova. La nostra dipendenza da Internet e dai kit intelligenti sta aumentando, così come anche i danni potenziali di qualsiasi interruzione della rete, incluso quelli creati dall’uomo.

Per adesso il mondo è stato già colpito (un po’ nel passato, un po’ nel pericoloso futuro). E tra i due viviamo un presente preoccupante. Ci sono ancora motivi per essere ottimisti; ad ogni modo ho paura che assisteremo ancora a spiacevoli attacchi DDoS.

LEGGI I COMMENTI 0
Scrivi un commento