6 Agosto 2009, Denial of Social Network
di: Giacomo Dotta
DoS, ovvero Denial of Service. Si racchiude in questa definizione il black-out che ha fermato i maggiori social network del mondo (ed altri siti) mettendo in allarme il popolo della rete e raccogliendo l'attenzione di tutti sul clamoroso attacco congiunto.
6 Agosto 2009, un giorno di ordinaria follia. Improvvisamente i maggiori social network hanno iniziato a zoppicare, palesando evidenti segni di sofferenza. Errori, rallentamenti, disfunzioni. Quando è parso chiaro che il problema interessava più siti privi di correlazione, si è capito che qualcosa di strano e di ampio stava muovendosi nell'ombra. Ma ormai era tardi: Facebook, Twitter, FriendFeed, LiveJournal ed altri ancora sono improvvisamente caduti. Chi più, chi meno: Twitter è andato offline per varie ore, Facebook è invece diventato una vetrina con la quale non era possibile interagire.
Improvvisamente la Rete ha inciampato in un paradossale corto circuito comunicativo: presi dall'affanno del momento, in molti si sono riversati proprio su quei social network già sotto attacco per discutere dell'attacco stesso, il che non ha fatto altro che aggravare la situazione. Nessuna comunicazione ufficiale era stata trasmessa, ma già le prime ipotesi prendevano il largo: non può che essere un attacco su larga scala. Poche ore dopo la conferma arriva dal blog di Twitter: il sito è sotto attacco ed il team sta tentando di respingere un pesante attacco di tipo Denial of Service. Segue a ruota la conferma di Facebook.
Non tutti, sulla Rete, sono avvezzi a certa terminologia. Parlare di DoS, dunque, non è cosa direttamente concepibile da chiunque. Per questo su Webnews abbiamo fatto leva sulle guide di HTML.it per tentare di spiegare in parole semplici cosa stesse accadendo: «Un attacco di tipo DoS (acronimo di Denial of Service) è una qualsiasi azione intrapresa fisicamente da un utente, oppure da un software, che blocca l'hardware o il software del vostro PC. Questo tipo di attacco rende il sistema, o parte di esso, irraggiungibile, negando quindi, il servizio agli utenti autorizzati. Un attacco di questo tipo non avviene mai casualmente, l'obiettivo del suo autore è quello di eliminare le vostre risorse dalla rete, creando un disservizio totale o parziale. [...] Gli attacchi DoS si sono evoluti nel corso del tempo, da semplici attacchi, condotti da singoli PC, ad attacchi organizzati in modo distribuito (da qui l'acronimo DDoS), portati da migliaia di computer disseminati per tutta la rete. Con un solo script di shell è possibile mettere letteralmente in ginocchio le risorse di un'intera organizzazione».
Nel tardo pomeriggio (riferimento temporale italiano) Twitter è tornato online e Facebook è tornato a funzionare regolarmente. In tarda serata Twitter ancora soffre di rallentamenti evidenti e promette massimo impegno per tornare a regime nel più breve tempo possibile. Oltre ai nomi già segnalati, anche Google conferma di aver subito l'attacco, ma di essere riuscito a dribblare ogni problema grazie alle pesanti protezioni previste per i propri server. E mentre tutto torna progressivamente nella norma, gli interrogativi non si placano: cosa è successo? E perché?
Risposte certe al momento non ce ne sono ancora. Il motivo di tanta prudenza nel formulare ipotesi concrete è nella natura, nella tempistica e negli obiettivi colpiti: un DoS di questo tipo, infatti, viene normalmente usato per affossare un servizio rendendo difficile la vita ai suoi utenti, ma in questo caso l'attacco è massivo e non prende di mira nulla di specifico. Un attacco DoS, inoltre, è una prova di forza: non serve per recuperare informazioni preziose, non serve per perpetrare truffe, ma soltanto per dimostrare che si può affossare un sito. Minacce e concorrenza potrebbero essere motivazioni valide, ma in questo caso è tutto troppo vasto per poter interleggere una giustificazione di questo tipo.
Un attacco tanto vasto nasce inoltre presumibilmente da un DoS distribuito, anche denominato DDoS. Per portare avanti attacchi di questo tipo occorre avere a disposizione importanti botnet. La filiera funziona in questo modo: si attaccano computer vulnerabili accumulando nel tempo un alto numero di "zombie" (in catene denominate Botnet), ovvero pc che fungono da cellule silenti attivabili a comando da remoto; al momento stabilito si lancia il segnale e gli "zombie" agiscono secondo un piano stabilito; portando i vari "zombie" a collegarsi a specifiche pagine, si riesce a rallentare il server ed in certi casi a fermare del tutto l'attività del sito preso di mira.
Una delle prime ipotesi ricollegate all'attacco ha messo all'indice il worm Koobface. Una serie di messaggi sarebbe infatti comparsa su Twitter già nei giorni precedenti all'attacco, evidenziando un veloce propagarsi del problema: il messaggio reindirizzava su di una pagina che, fingendo la grafica di Facebook, riusciva a portare gli utenti ad agire secondo le indicazioni riportate (fino al download di malware di vario tipo). Il nuovo Koobface ha iniziato a propagarsi proprio tramite Twitter nelle stesse ore dell'attacco, ma con il passare delle ore il tutto è sembrato limitarsi ad una semplice coincidenza: Koobface sarebbe solo contestuale, ma non ricollegabile, al black-out che ha colpito Twitter, Facebook e compagnia varia.
Una seconda ipotesi estende di molto i confini dell'accaduto. Secondo l'esperto di sicurezza Bill Woodcock il problema sarebbe stato causato da un massiccio carico di spam inviato nel contesto degli scontri in atto tra Russia e Georgia. La propaganda avrebbe esteso i propri riflussi fino ai social network, portando ad un affossamento internazionale delle infrastrutture informatiche dei siti colpiti. Un quadro similare porta però un attacco informatico ad una dimensione geopolitica, trasformando la Rete da vettore a vittima dell'attacco. Nessuna conferma, ovviamente, giunge da alcuna delle parti in causa.
Una terza ipotesi tende a non ignorare il fatto che, in concomitanza dell'attacco, abbia preso il via la convention per hacker "Defcon". Un atto dimostrativo, dunque, oppure semplicemente una sfida: un eventuale cordone ombelicale tra la convention e l'attacco non aiuterebbe però certo l'utente medio a capire la differenza tra "hacker" e "cracker".
La situazione sta rientrando nella norma, ma questo 6 Agosto è destinato a lasciare un segno. Un segno virtuale, un segno relativo, un segno avvertito solo da quanti tessono sui social network parte della propria vita e delle proprie relazioni. Se nessuno si è azzardato ad ipotizzare una correlazione vendicativa tra questo 6 Agosto ed un altro 6 Agosto, probabilmente è proprio per la mancanza di proporzione nelle conseguenze: quel che è virtuale, fortunatamente, rimane tale. Quel che è digitale, fortunatamente, rimane vincolato ad una realtà parallela. O almeno fintanto che il tutto viene limitato prima che vada ad incidere sulla vita di milioni di persone. Mettere in relazione questo 6 Agosto con quell'altro del 1945 è un buon espediente: serve quantomeno ad annichilire qualunque allarmismo, per guardare alla situazione con meno punti esclamativi e con maggior raziocinio.
(a cura di David Palada)