Il “Chitarone”

A Roma, quando si parla di: Chitarone, non ci si riferisce quasi mai allo strumento musicale, ma alla simpatica usanza di suonare, per “ischerzo”, tutti o quanti più possibile citofoni di un palazzo e poi darsi alla fuga. Per la buona riuscita del Chitarone, la pressione dei tasti deve avvenire contemporaneamente, a mano aperta, perché quanto più grande è la mano, tanti più saranno i condòmini coinvolti e maggiore sarà il vanto e il sollazzo dell’esecutore.
Il Chitarone ha una peculiarità: non si può evitare. I citofoni devono necessariamente essere esposti all’esterno, perché se li si mettesse all’interno dell’androne, al riparo da utilizzi impropri, non servirebbero al loro scopo. Essendo esposti, sono attaccabili.

Il Chitarone 2.0: gli attacchi DoS e i DDoS

I siti Web sono come i citofoni: devono necessariamente essere esposti sulla Internet, perché il loro scopo è appunto quello di rendere pubbliche – e quindi disponibili – delle informazioni. Anche i siti che richiedono una qualche forma di iscrizione, come i social-network, hanno comunque bisogno di esporre almeno una singola pagina per l’accesso degli utenti registrati e quella pagina, così come i citofoni, è intrinsecamente vulnerabile e non può in alcun modo essere protetta dal rischio di essere attaccata. Il Chitarone informatico si chiama: DoS o DDoS; acronimi rispettivamente di Denial of Service e Distributed Denial of Service. Come dice il termine stesso, il DoS è una negazione di servizio e consiste nell’interagire con il sito per ridurne o comprometterne definitivamente la funzionalità. Il DDoS è la stessa cosa, ma invece di provenire da un unico punto di attacco, utilizza più punti di attacco, spesso in diverse nazioni. Se a suonare il campanello è sempre la stessa persona, abbiamo un DoS; se è un gruppo di persone, un DDoS. La differenza fra i due tipi di attacco credo sia evidente: se a infastidirvi è un solo ragazzino, lo puoi bloccare facilmente; se i molestatori cento o mille, la cosa si fa più complicata.

I tre tipi di attacchi DoS/DDoS

Ci sono tre tipi di attacchi DoS, distinti in base al tipo di risorsa attaccata. Se un singolo monello viene a suonare al vostro citofono, tutt’al più vi può infastidire, ma se diecimila buontemponi decidono di venire a suonare contemporaneamente al vostro campanello, oltre a infastidirvi, bloccano anche il traffico per tutto il vostro quartiere. Questo tipo di attacchi, che punta a saturare la connettività della vittima, si chiama: volumetrico.
Se qualcuno suona al vostro campanello, impedendovi di lavorare, di concentrarvi o, peggio, di assolvere ai vostri doveri coniugali, siete vittima di un attacco a esaurimento di stato, che si concentra sulle risorse di calcolo (CPU) o di memoria (RAM) degli apparati.
Se, allo stesso tempo, suonano al citofono, al campanello e al telefono di casa, la vostra unica donna di servizio andrà nel panico, perché non saprà a chi dare retta; in questo caso, parleremo di un attacco applicativo, che punta a esaurire le risorse interne del sistema, come per esempio lo spazio su disco o il numero di processi che possono essere eseguiti contemporaneamente.

Conseguenze dagli attacchi DoS/DDoS

Indipendentemente dal modo in cui viene effettuato, l’attacco DoS/DDoS consiste sempre nella ripetizione massiva di una singola azione lecita (verniciare un citofono, in modo che non si vedano i nomi dei condòmini non è un attacco DoS, è un defacement) e, di solito, non causa danni permanenti alla vittima: finché dura l’attacco, il sistema non è disponibile, ma una volta che l’attacco è terminato, tutto torna alla normalità. Magari non subito, perché la povera cameriera è inciampata cercando di rispondere contemporaneamente al telefono e al citofono o perché il vostro DNS non ha retto, in un giorno, lo stesso numero di connessioni che gli arrivano in dieci anni, ma ci torna.
Per questo motivo, gli attacchi DDoS stanno alla sicurezza informatica come i flash-mob stanno alla politica: azioni di protesta temporanee che hanno un buon impatto mediatico, ma che non hanno effetti permanenti, a parte la butta figura fatta dai responsabili del sito.

Le botnet

Gli attacchi DoS/DDoS non richiedono una grande perizia informatica, perché si effettuano utilizzando delle botnet, ovvero delle reti di computer e dispositivi mobili compromessi, su cui è presente un programma malevolo che permette di comandarle a distanza. I nodi della rete (bot) comunicano con uno o più server di Command & Control (C&C) che inviano loro le istruzioni ricevute dal botmaster o bot-herder. Le botnet sono noleggiabili sul Dark Web e spesso sono organizzate secondo lo schema piramidale tipico delle associazioni mafiose in modo che, anche se uno dei nodi C&C viene scoperto, la botnet possa comunque continuare a operare e l’indirizzo del botmaster (la “cupola”, in termini mafiosi) resti relativamente al sicuro.
Creare una botnet è un’operazione complessa, ma utilizzarla è piuttosto semplice: chi è al vertice della piramide “punta” un sito Web e invia a tutti i sistemi della sua rete il comando di attaccarla. Fine. Non servono grosse competenze informatiche, per far ciò, così come non servono competenze in fisica quantistica per premere il bottone di lancio di un missile nucleare: basta avere una buona mira.

Difendersi con firewall e CDN

Può capitare però che un attacco DDoS funga da diversivo per un’azione più mirata: mentre tu vai a rispondere al citofono, un ladro entra dalla finestra, ti ruba il Rolex e scappa via. Durante gli attacchi DDoS, quindi, è sempre bene intensificare la sorveglianza sui sistemi di sicurezza interni e sulla posta elettronica per evitare sgradevoli sorprese alla fine dell’attacco. Un attacco DDoS non si può evitare, ma si può mitigare deviandolo su un altro sistema, di solito un firewall o una CDN. Il firewall è come un portiere che si mette davanti al vostro citofono ventiquattro ore al giorno, sette giorni alla settimana e ne limita l’utilizzo ai soli autorizzati, scacciando burloni e piazzisti. Questo metodo funziona se gli attaccanti non sono molti. Se arrivano decine o, peggio, centinaia di persone, il povero portiere ne sarà inevitabilmente sopraffatto.
L’unico modo per gestire gli attacchi con alto volume di traffico (tanti rompicoglioni) è di bloccare le richieste malevole con una Content Delivery Network, o: CDN. Usare una CDN è come mettere delle persone davanti agli ingressi del vostro condominio e dare a ciascuno di loro una copia del vostro citofono. Quando arriva un visitatore, dice all’addetto (server) della CDN con chi vuole parlare e l’addetto, se la richiesta è ammissibile, suona il campanello corrispondente, altrimenti ignora la richiesta o la smista su un sink-hole, che è l’equivalente informatico di un binario morto.

Le botnet siete voi

C’è un’ultima cosa, che dovete sapere sugli attacchi DDoS; l’ho tenuta per ultima, perché non vi farà piacere saperla: sono colpa vostra.
Già una decina di anni fa, durante una riunione in Equitalia, il responsabile della sicurezza disse che la maggior parte degli attacchi ricevuti provenivano da telefoni cellulari. I vostri. Quelli su cui installate decine di programmi inutili, senza preoccuparvi di chi li abbia realizzati e concedendogli privilegi incontrollati, solo perché ve li chiedono. O i vostri PC, su cui scaricate copie pirata di Office e guardate le partite di calcio senza pagare i diritti TV.

So che vi sembrerà difficile da credere, ma è bene non fidarsi di qualcuno che realizza e pubblica del software illegale. Molto spesso questi programmi per “craccare” il software a pagamento sono il veicolo per altri tipi di software: piccoli programmi molto efficienti che si nascondono in un angolo del vostro computer, si mettono in ascolto sulla porta di rete e, come cellule dormienti di un’organizzazione terroristica, attendono istruzioni dal loro guru. Per ingannare il tempo, nell’attesa fra un comando e l’altro, questi operosi programmini leggono tute le informazioni che riescono a reperire sul vostro PC o smart-phone – il permesso di farlo, sia ben chiaro, glielo avete dato voi. Indirizzi di posta, messaggi, numeri di telefono e, se possibile, anche password: tutto ciò che trovano, lo mandano al loro signore e padrone, che ne farà buon uso.
Il vostro amministratore di condominio ha mandato un messaggio con settantadue persone in copia? bene! quelle settantadue persone, o prima o poi, riceveranno un messaggio molto simile a quello del condominio, da un indirizzo che sembra essere quello dell’amministratore.
Il messaggio, statene certi, avrà un allegato.