Benvenuti alla puntata numero 69 di Cronache Digitali. Come sempre vi ricordo che potete ascoltarla anche in Podcast, cliccando qui!

🙏
Questo blog ed il podcast, sono gratuiti ed "indipendenti", ovvero senza alcuna sponsorizzazione e vengono realizzati nel mio tempo libero. Se vuoi sostenermi in questo progetto divulgativo, con un piccolo contributo (quasi simbolico!) puoi farlo iscrivendoti ad un piano a pagamento, che tra l'altro puoi annullare quando vuoi (e comunque riceverai sempre gli aggiornamenti!)

L'attacco verso siti istituzionali italiani.

La notizia è rimbalzata su tutti i media online molto velocemente: in estrema sintesi, l'11 Maggio scorso è stato portato a termine un attacco informatico verso alcuni siti italiani, tra cui il sito del Senato della Repubblica, quello della Difesa ed altri.

Non voglio entrare oggi nell'analisi su chi è stato: vi lascio a tal proposito due articoli molto ben realizzati che descrivono la situazione. Il primo è di Dario Fadda, tecnico, molto preciso e aggiornato, che riporta i legami dei due principali attori criminali russi, Legion e Killnet. L'altro che vi consiglio di leggere, di Michele Pinassi.

Tra l'altro segnalo che proprio a valle di questi attacchi il CSIRT Italiano ha emanato un bollettino di sicurezza, dove elenca le maggiori vulnerabilità oggi diffuse invitando organizzazioni ed aziende a verificare che siano state mitigate. E la situazione non è affatto rosea...

lo schema grafico delle vulnerabilità elencate dal CSIRT

Il CSIRT riporta un "pacchetto" di ben 71 vulnerabilità che possono fornire ad un attaccante un vasto campo operativo e che di conseguenza aziende ed enti pubblici devono analizzare con molta cura.

L'argomento della puntata di oggi prende spunto da questi attacchi perché voglio parlarvi del DDoS, anche in considerazione del fatto che alcune testate giornalistiche, forse per la foga di pubblicare la notizia, non hanno approfondito questo tema, anzi, in alcuni casi hanno proprio fornito informazioni errate.

Poi vedremo cosa è successo sabato sera durante la finale dell'Eurovision, il famoso festival musicale internazionale.

DDoS: Distributed Denial of Service.

Anche se l'acronimo non aiuta i meno addetti ai lavori, proviamo a capire assieme cosa è un attacco DDoS e come difendersi. Il DDoS è innanzitutto una tipologia di attacco informatico. Non un "virus" come qualche giornale l'ha definito.

L'obiettivo di questo attacco non è, come nel caso di ransomware di compromettere una rete e criptare i dati, ma di fare in modo che un determinato servizio web non sia più raggiungibile.

Cosa significa? Semplicemente che nessuno riuscirà più a collegarsi ad un determinato sito.

Metaforicamente possiamo immaginare un attacco DDoS paragonando il sito web bersaglio ad un fiume: l'attaccante inizia in qualche modo ad aumentare l'acqua negli affluenti del fiume. Tutto questo può durare fino ad un certo punto, dopodiché il fiume non riuscirà più a contenere l'acqua in eccesso e strariperà.

Un attacco del genere può causare danni enormi se ci pensiamo. Prendiamo ad esempio un sito di ecommerce: se fosse oggetto di un DDoS, nessuno potrebbe più accedere al negozio online, con conseguenti perdite di incassi.

Stessa cosa se pensiamo ad applicazioni web che erogano servizi bancari o per i cittadini: tutto si blocca.

Per realizzare un attacco del genere si utilizzano diverse tecniche: in generale possiamo dire che il criminal hacker manda, verso l'indirizzo web della vittima, un numero di richieste di accesso molto elevato e che quindi il server non riesce ad elaborare, in sostanza mandando "in palla" il sistema.

schema di un attacco DDoS (Wikipedia)

Per mandare migliaia o milioni di richieste verso un bersaglio è necessario avere a disposizione dei computer che volgano questa operazione: proprio per questo motivo i criminal hacker creano delle reti ad hoc, a volte composte anche da macchine compromesse i cui proprietari sono ignari di far parte di un network che svolgerà un attacco di questo tipo.

Come difendersi da un attacco DDoS? Ci sono diverse tecniche. La più "semplice" è quella di affidarsi ad un provider che faccia questo lavoro, ovvero sia specializzato nel mitigare attacchi DDoS. Come? In genere "ripulendo" il traffico in arrivo prima di inviarlo al sito vero e proprio.

Una sorta di filtro che così blocca i pacchetti malevoli e lascia passare quelli buoni.

Questa attività spesso viene svolta dai così detti CDN - Content Delivery Network - ovvero aziende con una rete di server distribuita in tutto il mondo che ha l'obiettivo di consegnare velocemente un contenuto web.

In pratica, tu puoi avere il tuo sito e distribuire i contenuti in modo veloce e protetto in tutto il mondo, invece che pubblicarlo direttamente su internet. Tra i CDN più famosi segnalo Akamai e CloudFlare, che forse avrete sentito nominare.

L'attacco a Eurovision.tv: perché è fallito? (e quello a siti italiani no?)

Sabato sera 14 Maggio alle 21.00 iniziava la finale dell'Eurovision. Sui gruppi Telegram l'azione di attacco DDos viene annunciata dal canale filo russo Legion:

Una vera e propria "chiamata alle armi", con tanto di istruzioni: l'obiettivo era quello di bloccare le operazioni di voto ma anche tutti i servizi correlati.

Dalle ore 21 in poi si sono susseguiti vari messaggi che riportavano alcune delle risorse da colpire:

Una azione fotocopia, come quella verso i siti istituzionali italiani. Ma con una differenza: mentre le nostre organizzazione si sono bloccate, siti down, servizi da ripristinare, Eurovision non ha subito alcun colpo.

Questo post è solo per gli iscritti

Iscriviti ora per leggere il post e far parte della community. E' gratis, veloce e sicuro.

Iscriviti ora Hai già un account? Accedi