giovedì 28 marzo 2013

Il più grande attacco internet della storia


da: Il Sole 24 Ore

«Il più grande attacco su internet della storia», ecco che cosa è successo
di Luca Dello Iacovo

Un vasto attacco informatico colpisce Spamhaus: è un'organizzazione internazionale che compila gli elenchi dei filtri per bloccare i mittenti di email spazzatura. L'offensiva sta causando effetti a catena. E potrebbe aver rallentato la navigazione su internet in alcune regioni

Le dimensioni 
Secondo le prime ricostruzioni l'ondata di dati ha raggiunto picchi di 300 Gigabit per secondo, equivalenti a 300 miliardi di bit al secondo. Per la Bbc è il più grande attacco informatico mai avvenuto di cui si sia a conoscenza. Potrebbe aver reso difficili le connessioni degli utenti a piattaforme online. Al momento in cui viene scritto questo articolo il sito web di Spamhaus risulta di nuovo raggiungibile. I sospetti sull'origine dell'offensiva digitale sono indirizzati verso il gruppo di web hosting CyberBunker.

Cosa è successo 
A gettare luce su quanto sta accadendo è la spiegazione nel blog della società di sicurezza informatica CloudFlare che in queste ore cerca di fermare l'offensiva. Scrive che Spamhaus ha iniziato a sperimentare verso la metà di marzo
attacchi di tipo Ddos diventati insostenibili per le sue risorse: sono valanghe di dati che arrivano da più sorgenti, viaggiano verso un singolo sito web e impediscono l'accesso congestionandolo.
L'assalto contro Spamhaus era all'inizio di circa 10 Gigabit al secondo. Semplificando, è come se da più città fossero partite automobili dirette in massa verso un solo casello autostradale: il traffico intenso rallenta l'ingresso per tutti. 
La strategia adottata per difendere Spamhaus ha portato alla dispersione dell'ondata dei pacchetti di dati. Nella precedente analogia è come se avessero indirizzato le automobili verso altri caselli nelle vicinanze, ingannate da un cambio di segnaletica lungo il percorso. Hanno adoperato tecniche di routing anycast. A questo punto i dati inviati durante il Ddos sono aumentati fino a picchi di 100 Gigabit per secondo. Ma le difese allestite erano sufficienti.

Il salto a 300 Gigabit per secondo 
Gli attaccanti, però, hanno cambiato piano. Un network Tier 1 dice che sono stati in grado di generare una quantità di dati enorme fino a 300 Gigabit al secondo. Nella precedente analogia è come se il traffico sia stato così inteso da rendere difficile lo scorrimento anche in altri caselli più grandi in una vasta regione nelle vicinanze. Inoltre il risultato finale dell'ondata di dati può aver causato rallentamenti per utenti di internet del tutto ignari, soprattutto in Europa dove erano concentrati gli sforzi dei pirati informatici. CloudFlare punta il dito contro una falla nel Dns per spiegare come siano arrivati a 300 Gigabit al secondo.

Le conseguenze 
Nel momento in cui viene scritto questo articolo l'impatto per gli utenti sembra limitato. Il pannello di controllo gestito da Akamai riporta congestioni nel flusso di dati su internet in aree del Benelux (Belgio, Lussemburgo, Olanda), in Gran Bretagna e in parte di Germania e Francia. In particolare, gli attaccanti hanno provato a mettere sotto pressione anche alcuni Internet exchange point: in Europa hanno mirato verso il London Internet Exchange, l'Amsterdam Internet Exchange e il Frankfurt Internet Exchange, come riporta CloudFlare.
Il servizio web Downrightnow non ha raccolto finora avvisi significativi di utenti che dichiarano difficoltà o interruzioni di servizio presso grandi piattaforme online, come i social network o gli spazi per lo streaming. Nessun problema segnalato per il momento in italia. Il Mix di Milano (il più importante punto di interscambio tra internet service provider, dove transita circa il 40% del traffico internet italiano) oggi non ha riscontrato alcun rallentamento. Stessa cosa per i provider italiani.

Le ipotesi sulle cause 
Secondo le prime ricostruzioni il dito è puntato verso un contrasto iniziato due anni fa. Spamhaus aveva segnalato che un gruppo olandese di web hosting, CyberBunker, inviava anche email con messaggi indesiderati (spam), ad esempio per la vendita di prodotti contraffatti. E aveva ottenuto che l'internet service provider (Isp) locale tagliasse la connettività. Ma la società di web hosting dei Paesi Bassi aveva sempre negato le accuse. Di recente era sorto un altro motivo di discussione: Spamhaus aveva inserito di nuovo CyberBunker nella sua lista per i filtri antispam che bloccano la ricezione dei messaggi email. 

Nessun commento:

Posta un commento