La mattina di ferragosto è una delle preferite da chi vuol commettere qualche nefandezza, informatica e non: poca gente al lavoro, meno controlli, tempi di reazione più lunghi.
Stavolta, a sperimentare questa pessima tattica sono stati il sito del Corriere della Sera online ed quello della Gazzetta dello Sport, ma i tempi di reazione sono stati tutto sommato ragionevoli, considerata la tecnica usata.
Tutto è iniziato attorno alle 8.00 ed è andato avanti fino a mezzogiorno, momento in cui è iniziato il recovery vero e proprio. In quel lasso di tempo, chi si collegava alla home page dei famosi quotidiani si trovava davanti a una schermata diversa da quella familiare piena di titoli, sommari, foto e link. Una home page che riportava, in inglese, un messaggio di speranza e pace.
Onestamente, non siamo molto d’accordo con chi predica amore e pace creando problemi a gente che non ha colpe dirette nel male deprecato, ma di sicuro il messaggio ha trovato un buon veicolo di diffusione.
Secondo l’analisi compiuta in tempo reale da Luigi Rosa di Siamogeek.com, l’attacco non è stato però portato direttamente ai server del gruppo editoriale RCS, editore delle due testate colpite, ma dirottando i DNS che dagli indirizzi web puntavano alle home page dei siti.
Come fa notare Rosa, infatti, l’attacco si è palesato attorno alle 8.00 del mattino, orario in cui si effettua il refresh mattutino dei DNS, e da quel momento tutto il traffico diretto ai domini corriere.it e gazzetta,it veniva dirottato a Sofia, in Bulgaria, (all’indirizzo 91.148.168.111) incluse email e altri collegamenti basati su DNS.
Il server destinato a ricevere il traffico, però, non doveva essere particolarmente potente e molti lettori hanno denunciato messaggi di errore nella visualizzazione, probabilmente proprio perché il destinatario non riusciva a gestire l’elevato numero di richieste in ingresso.
Alle 12.00, con il refresh di mezza giornata, gli indirizzi IP risolti dal DNS sono tornati alla normalità e pian piano i due siti sono tornati all’operatività completa.
Secondo Marta Serafini, del Corriere della Sera, è stato necessario che i tecnici di RCS contattassero direttamente i maggiori provider italiani per forzare l’aggiornamento dei DNS.
Non si hanno, purtroppo, molte informazioni su di un evento connesso al “defacing” e che suona preoccupante. Molti degli utenti che si connettevano tramite dispositivi mobili ai due siti durante l’attacco, hanno visto il proprio smartphone o tablet impegnato nello scaricamento di un file.
Purtroppo, gli unici che ce lo hanno riportato hanno prontamente interrotto il download e cancellato il file (ottima pratica, ma che non aiuta a capire cosa stesse accadendo).
Un report “ufficioso” di Marta Serafini parla di un probabile file video, ma i contenuti restano al momento sconosciuti. Se qualcuno avesse idea di cosa stesse arrivando dalla Bulgaria, ci farebbe piacere una segnalazione al mio indirizzo email.
Chiudiamo questo pezzo esprimendo solidarietà a chi si è dovuto sobbarcare un’emergenza nel giorno di ferragosto e ricordando che RCS non è certo la prima a cadere vittima di questo tipo di attacchi.
Qualche mese fa era toccato addirittura ad AVG e Avira, quando alcuni hacker, tramite una attenta opera di social engineering perpetrata inviando un fax, avevano convinto il gestore del DNS a modificare gli indirizzi di riferimento.