da:
Il Sole 24 Ore
«Il più grande attacco su
internet della storia», ecco che cosa è successo
di
Luca Dello Iacovo
Un vasto attacco informatico colpisce
Spamhaus: è un'organizzazione internazionale che compila gli elenchi dei filtri
per bloccare i mittenti di email spazzatura. L'offensiva sta causando effetti a
catena. E potrebbe aver rallentato la navigazione su internet in alcune regioni
Le
dimensioni
Secondo le prime ricostruzioni l'ondata di
dati ha raggiunto picchi di 300 Gigabit per secondo, equivalenti a 300 miliardi
di bit al secondo. Per la Bbc è il più grande attacco informatico mai avvenuto
di cui si sia a conoscenza. Potrebbe aver reso difficili le connessioni degli
utenti a piattaforme online. Al momento in cui viene scritto questo articolo il
sito web di Spamhaus risulta di nuovo raggiungibile. I sospetti sull'origine
dell'offensiva digitale sono indirizzati verso il gruppo di web hosting
CyberBunker.
Cosa
è successo
A gettare luce su quanto sta accadendo è la
spiegazione nel blog della società di sicurezza informatica CloudFlare che in
queste ore cerca di fermare l'offensiva. Scrive che Spamhaus ha iniziato a
sperimentare verso la metà di marzo
attacchi di tipo Ddos diventati
insostenibili per le sue risorse: sono valanghe di dati che arrivano da più
sorgenti, viaggiano verso un singolo sito web e impediscono l'accesso
congestionandolo.L'assalto contro Spamhaus era all'inizio di circa 10 Gigabit al secondo. Semplificando, è come se da più città fossero partite automobili dirette in massa verso un solo casello autostradale: il traffico intenso rallenta l'ingresso per tutti.
La strategia adottata per difendere
Spamhaus ha portato alla dispersione dell'ondata dei pacchetti di dati. Nella
precedente analogia è come se avessero indirizzato le automobili verso altri
caselli nelle vicinanze, ingannate da un cambio di segnaletica lungo il
percorso. Hanno adoperato tecniche di routing anycast. A questo punto i dati
inviati durante il Ddos sono aumentati fino a picchi di 100 Gigabit per
secondo. Ma le difese allestite erano sufficienti.
Il
salto a 300 Gigabit per secondo
Gli attaccanti, però, hanno cambiato piano.
Un network Tier 1 dice che sono stati in grado di generare una quantità di dati
enorme fino a 300 Gigabit al secondo. Nella precedente analogia è come se il
traffico sia stato così inteso da rendere difficile lo scorrimento anche in
altri caselli più grandi in una vasta regione nelle vicinanze. Inoltre il
risultato finale dell'ondata di dati può aver causato rallentamenti per utenti
di internet del tutto ignari, soprattutto in Europa dove erano concentrati gli
sforzi dei pirati informatici. CloudFlare punta il dito contro una falla nel
Dns per spiegare come siano arrivati a 300 Gigabit al secondo.
Le
conseguenze
Nel momento in cui viene scritto questo
articolo l'impatto per gli utenti sembra limitato. Il pannello di controllo
gestito da Akamai riporta congestioni nel flusso di dati su internet in aree
del Benelux (Belgio, Lussemburgo, Olanda), in Gran Bretagna e in parte di
Germania e Francia. In particolare, gli attaccanti hanno provato a mettere
sotto pressione anche alcuni Internet exchange point: in Europa hanno mirato
verso il London Internet Exchange, l'Amsterdam Internet Exchange e il Frankfurt
Internet Exchange, come riporta CloudFlare.
Il servizio web Downrightnow non ha raccolto finora avvisi significativi di utenti che dichiarano difficoltà o interruzioni di servizio presso grandi piattaforme online, come i social network o gli spazi per lo streaming. Nessun problema segnalato per il momento in italia. Il Mix di Milano (il più importante punto di interscambio tra internet service provider, dove transita circa il 40% del traffico internet italiano) oggi non ha riscontrato alcun rallentamento. Stessa cosa per i provider italiani.
Il servizio web Downrightnow non ha raccolto finora avvisi significativi di utenti che dichiarano difficoltà o interruzioni di servizio presso grandi piattaforme online, come i social network o gli spazi per lo streaming. Nessun problema segnalato per il momento in italia. Il Mix di Milano (il più importante punto di interscambio tra internet service provider, dove transita circa il 40% del traffico internet italiano) oggi non ha riscontrato alcun rallentamento. Stessa cosa per i provider italiani.
Le
ipotesi sulle cause
Secondo le prime ricostruzioni il dito è
puntato verso un contrasto iniziato due anni fa. Spamhaus aveva segnalato che
un gruppo olandese di web hosting, CyberBunker, inviava anche email con
messaggi indesiderati (spam), ad esempio per la vendita di prodotti
contraffatti. E aveva ottenuto che l'internet service provider (Isp) locale
tagliasse la connettività. Ma la società di web hosting dei Paesi Bassi aveva
sempre negato le accuse. Di recente era sorto un altro motivo di discussione:
Spamhaus aveva inserito di nuovo CyberBunker nella sua lista per i filtri antispam
che bloccano la ricezione dei messaggi email.
Nessun commento:
Posta un commento