Originariamente pubblicato in data 19/06/2004
A
C
C
O
M
A
Z
Z
I
DDoS
Ancora una volta i maggiori siti al mondo cadono vittime degli assalti degli hacker. Vediamo di capire come sia possibile
Il sito Apple? Non risponde. Quello Microsoft? Come non esistesse. Amazon? Assente ingiustificato. Ma è crollata l'Internet? No, i siti di casa nostra rispondono.Era già successo nel 2000, è accaduto di nuovo a fine giugno di quest'anno: la colpa è degli informatici reietti che aggrediscono i siti web delle più importanti aziende grazie a un attacco insidioso e imparabile. Noi siamo abituati a chiamarli hacker, un termine che in inglese significa semplicemente "quelli che manipolano i sistemi". Loro preferiscono farsi chiamare cracker, un termine che a noi fa un po' ridere perché ci ricorda il pane a fette salato in superficie, ma che per un inglese significa "quelli che spaccano tutto".
E l'attacco? Gli addetti ai lavori lo chiamano distributed denial of service, cioè "negazione di servizio distribuita", o più semplicemente DDoS, con una di quelle sigle che tanto piacciono agli informatici. Attaccare direttamente la presenza sul web di una grande azienda è molto difficile i loro sistemi sono tipicamente ben protetti e anche rischioso, perché l'attaccante potrebbe venire scoperto, rintracciato e trascinato in giudizio. Così, i cracker hanno ideato il DDoS: subdolo e diabolicamente semplice. Si comincia con il rastrellare la grande Rete alla ricerca di utilizzatori di comuni PC che si siano dotati di una connessione veloce all'Internet, la cosiddetta linea ADSL. Molti tra questi si mantengono perennemente connessi alla rete, perché il canone è a forfait, quindi quei PC sono bersagli numerosi e sempre presenti. Lo hacker tenta di fare breccia sfruttando uno qualsiasi tra i punti deboli del sistema Microsoft Windows scoperti di recente. Se, per sua sfortuna, il malintenzionato incappa nel PC di un utente disciplinato e abile, che mantiene sempre aggiornato il suo sistema operativo, allora non riesce a combinare granché. Purtroppo accade spesso che il manigoldo riesca invece a trarre vantaggio delle distrazioni dell'utente medio: in questi casi prende possesso della macchina e riesce a controllarla a distanza all'insaputa del suo legittimo proprietario. A questo punto potrebbe frugare tra i suoi documenti, o cancellarli, o depositare software illegale o pornografia dura: se lo scopo finale è un DDoS, lo hacker non fa danni e passa oltre.
La trafila si ripete sinché il cracker non controlla un discreto numero di PC sparpagliati nel mondo; a questo punto li programma tutti per connettersi, contemporaneamente, al sito Internet dell'azienda che più gli risulta antipatica. L'inatteso e vertiginoso aumento di connessioni in ingresso sconvolge i sistemi web del ricevente sino al punto di sovrastarne le capacità di elaborazione e provocarne il blocco. Può sembrare strano, ma è inevitabile. Conti fatti, calcolatrice alla mano: i siti web che abbiamo citato ricevono circa dieci milioni di connessioni al giorno, cioè circa 115 al secondo. Di queste, la maggior parte arrivano da utenti dotati di modem lento. Se al lavoro ordinario però si aggiungono altrettante connessioni provenienti da macchine connesse ad alta velocità allora il traffico decuplica rispetto alle quantità che il sistema è stato progettato per gestire. Ben che vada, il sito web dell'azienda attaccata svanisce dalla Rete sinché l'attacco non recede. Nei casi peggiori, il calcolatore responsabile per il sito Internet si impalla addirittura, e allora per il ripristino della visibilità è necessario aspettare che il personale addetto lo riavvii.
Viene da chiedersi che cosa venga in tasca al cracker. Apparentemente la risposta è che queste creature asociali si sentono un po' come l'equivalente ad alta tecnologia dei teppisti che scrivono sconcezze sui muri. Non a caso, un altra forma d'attacco molto praticata è il defacing, o "sfiguramento", che consiste nel prendere il controllo di un sito web per cambiarne i contenuti, inserendo sconcezze o peana a se stessi. Ci sono anche vere e proprie disfide tra questi curiosi personaggi, in cui la vittoria viene assegnata a chi combina i guai maggiori. Il peggiore, insomma, vede aumentare il proprio prestigio sociale nella comunità virtuale dei cracker. Complessivamente, il numero di siti sfigurati al mondo ammonta a qualche decina al giorno ma, come dicevamo, nell'ultimo periodo è il DDoS a farla da padrone, probabilmente perché permette di assaltare anche i bersagli maggiori.
Gli attacchi del mese di giugno, che sono cominciati il giorno 16, hanno rilevanza perché sono stati sferrati direttamente contro i fornitori di connettività delle grandi aziende e quindi danneggiano contemporaneamente molte imprese. Avete un calcolatore a portata di mano? Fate questo semplice esperimento. Se usate Windows, aprite il Prompt del Comandi. Se invece lavorate con un Macintosh, avviate il Terminale. Comunque sia, scrivete "ping www.apple.com" oppure "ping www.microsoft.com". Questo semplice comando ordina alla vostra macchina di mettersi in contatto con il sito web citato, chiedergli il suo vero nome primario, e dirci quanto tempo passa prima della risposta. Mentre questo articolo viene scritto, i tempi di risposta sono nell'ordine del decimo di secondo; il nome primario nel primo caso risulta essere www.apple.com.akadns.net; nel secondo caso è www.microsoft.com.nsatc.net. Scopriamo così che Apple e Microsoft non gestiscono direttamente la connettività dei loro siti, ma si rivolgono a specialisti del ramo. Per esempio il nome www.apple.com.akadns.net indica che Apple è collocata all'interno della sottorete Akamai, un gigante delle telecomunicazioni che da solo gestisce il 17,5% di tutto il traffico Internet mondiale. Se cade Akamai, quindi, trascina con sé anche Apple. Più grandi sono, come dice il proverbio, più forte cadono...
Luca Accomazzi