Sicuramente, come praticamente tutti nel mondo, nella giornata di ieri vi sarete accorti che i popolari software Facebook, Instagram e WhatsApp (tutti proprietà di Facebook) erano diventati inaccessibili. Ci sono volute diverse ore per risolvere la situazione, che è tornata quasi alla normalità a partire dall'una di notte (ora italiana). Ovviamente Mark Zuckenberg si è scusato pubblicamente per questo importante "blackout" dei social media, ma cos'è successo esattamente?
Gli esperti di Acronis, Service Provide di Cyber Protection di livello internazionale, hanno fornito una spiegazione dell'accaduto. Candid Wuest, Acronis VP of Cyber Protection Research, ha infatti affermato:
Mentre non c'è alcuna conferma su ciò che ha causato l'incidente presso Facebook Inc, è possibile che il problema risieda nel protocollo BGP o DNS - che sono obiettivi popolari tra i criminali informatici. Ci sono vari potenziali attacchi contro l'infrastruttura DNS - dagli attacchi DDoS al rebinding DNS locale o all'hijacking di un DNS con il social engineering contro il registrar. Guardando le statistiche generali degli attacchi, sono molto meno popolari dei comuni attacchi malware e ransomware, ma possono essere estremamente devastanti se hanno successo in un attacco sofisticato. È come tirare il cavo elettrico della vostra sala server - l'intera impresa diventa improvvisamente buia.
La protezione contro gli attacchi DNS non è banale in quanto si presentano in molteplici sfaccettature. Richiede una forte autenticazione e patch per proteggere i propri servizi, una formazione contro gli attacchi social engineering, così come le classiche mitigazioni DDoS dai fornitori, come Cloudflare. Naturalmente, anche i problemi di configurazione dovrebbero essere evitati. A seconda di quale servizio viene attaccato - per esempio, se si tratta di un server di autenticazione centrale condiviso tra più brand, come in questo caso, allora una tale interruzione può portare a più brand che vanno offline. In verità, dobbiamo notare che la maggior parte delle interruzioni sono causate da azioni non maligne e sospettiamo che anche questo sia il caso.
Topher Tebow, Acronis Cybersecurity analyst, ha inoltre aggiunto:
L'attacco Denial of service è il tipo più comune di attacco DNS, ed è facilmente realizzabile dagli aggressori, poiché si basa sul semplice sovraccarico di richieste di un server. Altri attacchi come l'hijacking DNS e l'avvelenamento DNS, dove i record di un dominio vengono sostituiti o spoofati da un aggressore, sono più difficili da portare a termine, ma possono essere realizzati da un aggressore familiare con le potenziali vulnerabilità del sistema DNS.
Per proteggersi da attacchi di questo tipo, Tebow consiglia di mettere a punto un piano di risposta prima del tempo. Per un attacco DNS, questo piano includerà chi comunica cosa, come e quando - così come avere una soluzione DNS di backup pianificata che può essere rapidamente implementata, se non automaticamente commutata in caso di un attacco ai server DNS principali. La comunicazione diretta con il provider DNS sarà utile nella maggior parte dei casi.
Inoltre, è necessario avere un costante monitoraggio DNS, nonché CDN e ridondanza per proteggersi al meglio da questo tipo di attacchi. Per le aziende che ospitano più brand, come Facebook appunto, l'effetto sulle filiali dipenderà davvero da come le aziende sono configurate. Se tutte usano gli stessi server DNS, e l'attacco è su quei server, allora i servizi andranno down per tutte le aziende associate.