Soluzioni tecniche

Attacco a DynDNS, l’autostrada MI-BO e il frigorifero

03 Novembre 2016

Qualcuno avrà pensato che il titolo vuole essere una copia de "Il leone, la strega e l’armadio", romanzo di C. Lewis ripreso dalla celebre saga cinematografica di Narnia. Invece no, il titolo è l'insieme delle cose di cui scrivo oggi.

Dell’attacco del 21 ottobre non dirò quasi nulla: su Internet trovate tuti i dettagli che volete, in tutte le lingue del mondo.

Un'ottima sintesi l'ha fatta il sito Tomshw.it spiegando in maniera chiara e semplice cosa è successo.

Alcune considerazioni verbali sono state fatte da Andrea Veca e Tullio Cozza nell'episodio 80 del nostro podcast.
 
Qui voglio fare alcune considerazioni scritte con la speranza che qualcuno agisca proattivamente in seguito a queste riflessioni, se le condivide.
 

Obiezione vostro onore!
Ma nel 2016 non siamo in grado di fermare questi attacchi?
Andiamo sulla luna, abbiamo fior di sistemi e software … e poi cadiamo per un attacco DDOS?

Obiezione respinta!
Questi attacchi non si possono arginare. No, non si può.

Esistono fantastici software e firewall che possono bloccare determinati attacchi.
E sicuramente i signori di DynDNS e altri servizi sono dotati delle migliori tecnologie di sicurezza.
Ma qui non si tratta di qualcuno che vuole provare a sconfiggere DynDNS; si tratta di una dimostrazione di forza mostruosa (e di quanto poco attenti siamo tutti noi ogni giorno con gli oggetti che compriamo e usiamo).

Migliaia, decine di migliaia, forse milioni di processori e schede di rete si sono coalizzate per andare tutti nella stessa direzione (ossia DynDNS) generando (stando ai dati che si leggono in giro) un traffico per 1,2 terabit di dati al secondo.

Niente e nessuno può reggere un attacco di questo tipo. Fine della storia.
 
Per capire meglio facciamo un paragone, che prendo in prestito dall’amico Federico Lagni.

Siamo al secondo fine settimana di agosto: prendete la macchina e andate verso la costiera romagnola, partendo da Milano o Torino (ed ecco che entra in gioco l’autostrada che citavo nel titolo).
A un certo punto siete tutti fermi in coda con un caldo bestiale.
Avete pagato l'ingresso in autostrada, ma fate 5 ore di coda immobili. Potete lamentarvi fin che volete, ma la fila non si muove.
Questo è un attacco DDOS all'autostrada: tanta gente va nello stesso punto (l'autostrada) e semplicemente non è possibile contenere tutto il traffico.
Fine. Non si può.

O meglio, forse se sterminiamo tutti i 60 milioni di persone che vivono in Italia l'autostrada sarà libera.
Tornando al nostro attacco DDOS, diciamo che se scolleghiamo dalla rete tutti i PC e dispositivi del mondo allora non esistono più attacchi di quel tipo.
Certo, ma non è una strada percorribile
 
Se questo tipo di attacchi non può essere evitata in assoluto, come ci si può proteggere e difendere?
Ci sono un sacco di considerazioni da fare e ne cito solo alcune per motivi di tempo e di spazio:

  • relativamente ai DNS, il consiglio è di utilizzare più name server localizzati in modo "strategico" sul territorio, magari 2 su DynDNS (che al di là dell’attacco resta un eccellente fornitore di servizi), 2 presso un provider italiano o europeo.
     
  • quando si affida un servizio a un fornitore esterno o al cloud occorre verificare
    • quanto può impattare su di te un loro fermo, qualche che sia il motivo che lo tiene fermo;
    • esiste e come si ottiene un risarcimento per i disservizi;
    • esiste una exit-strategy, nel caso in cui volessi abbandonare il fornitore.
  • infine dico che occorre pensare sempre un po' più in grande (oltre il nostro orticello), soprattutto quando compriamo o usiamo dispositivi connessi o collegabili a Internet   Voglio sviluppare un attimo questo punto che rischia di essere poco chiaro se non faccio esempi concreti.

Qualsiasi cosa acquistiamo non dobbiamo considerare dove la andremo a mettere, ma dobbiamo considerarla per quello che è e quindi la cautela o le protezioni che dobbiamo prendere devono considerare l'oggetto, non il luogo dove lo mettiamo.

Oggi giorno quasi tutti gli oggetti che possediamo o stiamo per acquistare sono computer:

  • lo smartphone
  • il router ADSL di casa
  • la televisione
  • il frigorifero
  • il forno a microonde
  • il termostato
  • l'impianto di irrigazione
  • la telecamera
  • il sistema di videoconferenza
  • la megalavagna elettronica

 
Questi oggetti sono computer a tutti gli effetti, perché hanno un processore, la memoria e un collegamento.

Ma se il nostro cervello ha capito che per usare un PC sono necessari una password (da cambiare regolarmente) e un antivirus per proteggerci…  non lo ritiene invece necessario per uno smartphone, una televisione o un frigorifero.
Sbagliando.

Perché, ripeto, si tratta di computer a tutti gli effetti.
Quindi devono essere protetti e se non lo fa il produttore direttamente ci dobbiamo pensare noi, magari prima di procedere all'acquisto, verificando:

  • se si può scollegare da internet;
  • se si può cambiare la password preimpostata;
  • se ci sono specifici meccanismi di sicurezza.

Se nelle reti dei tuoi clienti ci sono questi dispositivi, devi prenderne atto e capire come proteggere il tuo cliente.
Perché se DynDNS si è piegata è perché nessuno ha preso atto di quanto poco sicuri fossero i dispositivi che noi non consideriamo computer (e invece lo sono).
 
Io le mie riflessioni le ho fatte: se ne avete altre per aumentare l'informazione e la conoscenza, saprò apprezzare i vostri commenti.

Autore
Claudio Panerai
Gli ultimi prodotti che vi ho portato, nel 2020: Vade Secure Il primo sistema antispam/antihishing/antimalware basato sull'intelligenza artificiale e appositamente progettato per Office 365. Naturalmente a misura di MSP. ID Agent Piaffaforma che consente agli MSP di monitorare le credenziali (proprie e dei clienti) che sono in vendita nel dark web.
Nato a Ivrea nel 1969, è sposato e padre di due figlie. Laureato in Scienze dell’Informazione nel 1993, ha dapprima svolto numerose consulenze e corsi di formazione per varie società per poi diventare responsabile IT per la filiale italiana del più grande editore mondiale di informatica, IDG Communications. Dal 2004 lavora in Achab dapprima come Responsabile del Supporto Tecnico per poi assumere dal 2008 la carica di Direttore Tecnico. Giornalista iscritto all’albo dei pubblicisti, dal 1992 pubblica regolarmente articoli su riviste di informatica e siti web di primo piano. E' stimato da colleghi e clienti per la schiettezza e onestà intellettuale. Passioni: viaggi, lettura, cinema, Formula 1, sviluppo personale, investimenti immobiliari, forex trading. Claudio è anche su LinkedIn e Facebook.
Commenti (1)
Iscriviti
Notificami
guest
1 Comment
Più vecchio
Più recente Più votato
Inline Feedbacks
Guarda tutti i commenti
Davide Sartori
Davide Sartori
5 anni fa

La soluzione ci sarebbe, ma comporterebbe una maggiore consapevolezza di tutti i fruitori di internet! Ogni connessione dovrebbe avere un firewall ed ogni router dovrebbe avere un sistema operativo stabile e protetto. In futuro potra’ solo andare peggio dato che una moltitudine di apparati senza controllo si affacceranno ad internet.