Può succedere ancora, in qualsiasi momento. E potrebbe essere anche più grande.
Quello di venerdì scorso è con ogni probabilità il più grave attacco a Internet che si sia mai verificato. Un Distributed Denial Of Service, DDoS, che ha colpito DynDNS. Un'azienda sconosciuta ai più.
Sono andati giù siti e servizi famosi come Netflix, PlayStation Network, CNN, Twitter, The Guardian, Xbox Live, Wired (.com), BBC e tanti altri. Se si dovesse tentare di stimare il danno probabilmente ammonterebbe a decine di miliardi di euro.
Tutti sono clienti di Dyn DNS, che fornisce appunto il servizio Domain Name System. Cioè quell'insieme di computer che sta "in mezzo" tra noi e il sito che vogliamo visitare. Per esempio, www.netflix.com non esiste, ma esiste un indirizzo numerico (indirizzo IP) che i computer possono usare. Il DNS "traduce" il comodissimo nome nella scomoda serie numerica. Senza DNS niente Internet come abbiamo visto venerdì.
L'attacco è stato rivendicato dal gruppo New World Hackers, il cui portavoce ha affermato che l'arma del delitto è "un supercomputer botnet composto da oltre 100.000 dispositivi IoT. L'attacco sarebbe servito come dimostrazione e prova di forza verso la Russia in particolare. "Dicono di essere migliori degli US, violando qualsiasi sistema per cominciare una guerra. Mostreremo loro un po' di guerra", ha affermato un portavoce del gruppo. La rivendicazione ha sollevato qualche perplessità.
Poche ore dopo i New World Hackers hanno annunciato il proprio ritiro dalle scene. A quanto pare sono pentiti dai danni causati, e stanchi delle azioni fini a sé stesse, di sterili dimostrazioni di potere fatte senza una ragione più che seria. Il loro messaggio di commiato si chiude con un sibillino "Wikileaks è un buon amico".
Cosa vuole dire una botnet di dispositivi IoT
Videocamere di sorveglianza, baby monitor, forni a micronde, microfoni, automobili, sensori, porte elettriche, termostati, persino bollitori per l'acqua; e chi più ne ha più ne metta. Dietro all'abusata definizione di Internet of Things si nasconde un vero e proprio esercito di oggetti collegati a Internet.
E chi ne è capace può abusare di questo esercito. Ma com'è possibile? Trattandosi di un oggetto "connesso", il nostro tostapane può visitare un sito web. O almeno chiedere il collegamento a un certo server con un certo indirizzo IP. Se invece di uno sono centinaia di migliaia, il server semplicemente non ce la fa più e va offline, che è più o meno quando è successo.
Non è una cosa che si possa fare a mano, e per quanto ne sappiamo lo strumento usato in questo caso è il famigerato software Mirai. Di per sé è piuttosto semplice: Mirai esamina la rete alla ricerca di dispositivi visibili, e prova a entrare usando login e password di fabbrica. La maggior parte delle persone non si preoccupa di cambiarle, e in tanti casi non è nemmeno possibile.
Quando Mirai trova un dispositivo IoT vulnerabile, lo infetta automaticamente con malware specifico o lo aggiunge al suo esercito botnet. Chi ne ha il controllo a quel punto non deve far altro che scegliere il bersaglio, in questo caso Dyn DNS, e "scatenare l'inferno" quando vuole. Un inferno che è anche disponibile a noleggio per chi fosse interessato (ma non si trova su Google).
C'è almeno un precedente illustre nella breve storia di Mirai. Poco tempo fa il sito di Brian Krebs, un esperto in sicurezza, è stato colpito con un DDoS da 620 Gbps. Prendetevi un attimo per soppesare il valore: seicentoventi gigabit al secondo tutti concentrati su un solo server. È stato lo stesso Krebs a svelare il funzionamento di Mirai, e a farci sapere che il suo codice sorgente è a disposizione di chiunque voglia arrischiarsi a usarlo. Da quel momento il numero di bot collegati a Mirai è pressoché raddoppiato.
Si stima che Mirai al momento sia composta da circa 550.000 nodi, vale a dire dispositivi violati e collegati alla botnet. Dale Drew di Level 3, con i suoi colleghi, ha calcolato che questo attacco ne ha coinvolte circa il 10%. Aggiunge che il 24% dei dispositivi fa parte anche di un'altra botnet simile a Mirai, che si chiama Bashlite. Non si esclude che l'attacco di venerdì abbia usato anche altre botnet oltre a Mirai.
Quanto ai dispositivi veri e propri, la maggior parte sono videocamere e DVR (Digital Video Recorder) basati su schede della cinese XiongMai Technologies, che condividono tutte la stessa username e password. "È notevole che praticamente tutta una linea di prodotti di un'intera azienda sia stata trasformata in una botnet", ha commentato Allison Nixon di Flashpoint (Intel).
"Succede perché molti di questi dispositivi permettono di cambiare i dati di accesso predefiniti sul pannello di amministrazione Web, ma restano raggiungibili tramite servizi più oscuri e meno user friendly chiamati Telnet ed SSH", spiega ancora Krebs.
Le autorità statunitensi stanno indagando per individuare i responsabili ma non è un compito facile. La rivendicazione dei New World Hackers non è di grande aiuto, ma il loro repentino ritiro ci dice che forse non amano sentirsi addosso il fiato della NSA e dell'FBI.
L'operazione potrebbe anche entrare in un botta e risposta tra USA e Russia, vincolato almeno in parte alle imminenti elezioni presidenziali. Proprio pochi giorni prima, infatti, circolava l'ipotesi di un possibile attacco preventivo da parte degli USA contro la Russia, per prevenire ingerenze nelle elezioni. Magari non ha niente a che fare con l'attacco di venerdì, ma il tempismo è quantomeno singolare.
Alla luce di tale scenario non può dunque sorprendere che la Commissione Europea (ma non solo lei) abbia di recente chiamato a una levata di scudi per rendere i prodotti IoT più sicuri e affidabili. Si tratta di proteggere il consumatore, impedendo per esempio che chiunque usi il nostro baby monitor, ma anche di evitare che ogni aggeggio che compriamo finisca per rafforzare Mirai e altre botnet simili.