The hackers hit DynDNS, one of the most widely used web service providers in the world. The connection problems went on for hours
Twitter, Spotify, SoundCloud, Github, Airbnb, Reddit, Heroku and Shopify. These are some of the portals that, in the morning of October 21 (11 am UTC, about 1 pm in Italy), have recorded serious disruptions, so as not to be reachable by users.
At the base of everything, according to the first information that have begun to circulate on the network in recent minutes, there would be a massive DDoS attack, capable of knocking out the servers of the provider Dyn DNS, web and Internet service provider for the companies mentioned above. According to the rumors, the problems would have affected mainly the US citizens of the East Coast, but it is not to be excluded that the effects of the attack could have caused some slowdown in the rest of the world. L’attacco è stato mitigato (neutralizzato in gergo tecnico), ma le informazioni a riguardo sono ancora poche. Probabile che solo nei prossimi giorni si saprà qualcosa in più sull’origine e sulla sua reale portata.
Hacker di nuovo all’attacco
I pirati informatici sono tornati a colpire alle 15:50 UTC (circa le 18 in Italia), con un nuovo attacco DDoS in grande stile. In questo caso, però, l’attacco non ha riguardato solo gli Stati Uniti, ma ha avuto effetti – anche se temporanei e diffusi a macchia di leopardo – anche in Europa, Italia inclusa. Oltre ai “soliti” Twitter, Skype e Spotify, il secondo attacco ha reso irraggiungibili portali di informazione come il New York Times, il Financial Times, la CNN e poi eBay, Visa e Amazon.
Fonte foto: Facebook - Francesco Ficarola
Twitter irraggiungibile anche dall’Italia
La componente IoT
Nel frattempo, iniziano a emergere i primi particolari riguardanti i due attacchi DDoS nei confronti di Dyn DNS. Secondo un portavoce dell’azienda statunitense, i server sarebbero stati raggiunti contemporaneamente da milioni di richieste generate da milioni di indirizzi IP differenti. Si fa largo, dunque, l’ipotesi che la botnet (la rete composta da computer zombie o bot) sia composta in larga parte da dispositivi smart e IoT. A rafforzare questo scenario ci pensa Brian Krebs, tra i maggiori esperti di sicurezza informatica al mondo. In his blog (Krebsonsecurity.com), the U.S. analyst points out how an attack of such a large scale can be set up only thanks to the devices that populate the Internet of Things and also identifies a possible culprit: IP security cameras made with components of Chinese XiongMai Technologies.
According to Krebs, the hackers used the Mirai botnet, scanning the Net for poorly protected devices (at most by a simple access passowrd and not shielded by firewalls and other security components), infecting them and thus adding them to their botnet. In a second moment all these devices - millions of devices - have sent access requests to DynDNS network, knocking it out and making unreachable all those web services that exploit its functionalities.
What are DNS
The Domain Name System (whose acronym is, precisely, DNS) is one of the fundamental infrastructures of Internet. Gli indirizzi delle varie risorse presenti in Rete (dai server alle immagini, dai portali web ai video, passando per testi e tracce audio) sono formati da quattro triplette di numeri, ognuna delle quali va da 000 a 255: si tratta del cosiddetto indirizzo IP, scritto solitamente nella forma “xxx.xxx.xxx.xxx”. Un codice che difficilmente può essere ricordato a memoria e, per questo motivo, si è preferito sostituirlo con le URL (acronimo di Uniform Resource Locator), gli indirizzi alfanumerici che utilizziamo solitamente per collegarci a un qualunque sito (ad esempio, www.libero.it). Il compito dei provider DNS è quello di tradurre gli indirizzi IP (numerici) in URL (alfanumerici) e viceversa: quando si digita la URL di un sito nella barra degli indirizzi del browser, il DNS “sfoglia” una sorta di rubrica del web alla ricerca della corrispondenza esatta e fa sì che l’utente visualizzi nel suo browser il contenuto corretto.
Fonte foto: Wikimedia
Rack di server
Cosa sono gli attacchi DDoS
Gli attacchi DDoS sono la tipologia di attacco informatico più pericoloso oggi in circolazione. Acronimo di Distributed Denial-of-Service, impiega migliaia e migliaia di dispositivi informatici (in passato solo computer, oggi anche dispositivi connessi come telecamere IP ed elettrodomestici smart) per rendere irraggiungibile un portale, un server web, una rete di distribuzione o, come in questo caso, un provider DNS. La tattica impiegata è estremamente semplice: tutti i dispositivi informatici, infettati da malware che li trasformano in “zombie” e permettono agli hacker di controllarli a distanza, si collegano contemporaneamente all’indirizzo IP del server o del portale. In questo modo il traffico in ingresso è così elevato che la rete non riesce a gestirlo e si crea, di fatto, un ingorgo digitale. Obviously, the greater the attack scope, the greater the incoming traffic and the more difficult it will be to reach the attacked site or web resource.