Professionisti del cyber-crimine o pirati improvvisati? Chi si nasconde dietro ad Anonymous , il gruppo di hacker-attivisti che da qualche giorno minaccia i siti istituzionali di mezzo mondo, compreso quello del Governo italiano ? Per capirne di più abbiamo chiesto a Marco Gioanola, engineering consultant di Arbor Networks, società specializzata in soluzioni di sicurezza delle reti, di spiegarci più a fondo l’entità del fenomeno.
Quando si parla di attacchi informatici si tende a fare di tutta un’erba un fascio. Per prima cosa, ci può spiegare che tipo di attacco è stato sferrato in questi giorni ai siti istituzionali, compreso Governo.it?
In gergo si parla di attacchi di tipo Dos (Denial of Service), ovvero di attacchi che puntano a negare un servizio, come ad esempio l’accesso a un sito Web. Nella fattispecie, gli attacchi di Anonymous sono di tipo Ddos, una variante del fenomeno nella quale le sorgenti sono distribuite globalmente per rendere più efficace l’attacco. Per intenderci è come riempire con duecento persone una sala conferenze di cinque metri per cinque, cosicché nessuno possa più entrare.
Roba da professionisti o qualcosa di più casereccio?
CITAZIONE
Per quello che abbiamo visto finora globalmente non siamo di fronte a un gruppo di professionisti. Sembra piuttosto una chiamata alle armi in cui più persone sono invitate a dotarsi di determinati strumenti per saturare il traffico di siti bersaglio.
Quante persone, giusto per capire?
CITAZIONE
Centinaia o poche migliaia di persone. Anche questo ci dà un’idea della portata del fenomeno. I professionisti utilizzano generalmente le botnet, reti di milioni di Pc di utenti che non sanno di essere stati attaccati da worm; i loro computer infetti restano in un stato di quiescienza in attesa di un ordine che parte da un controllo centrale. Si tratta di attacchi che vengono generalmente utilizzati per mettere fuori uso servizi critici, come ad esempio siti di eCommerce concorrenti.
D’accordo, ma è così facile anche per un non professionista dotarsi di strumenti potenzialmente capaci di mandare in tilt i sistemi informativi di siti così importanti?
CITAZIONE
Diciamo che non è così difficile: esistono forum in cui vengono annunciati e organizzati gli attacchi, va detto poi che il codice di certi strumenti software è disponibile in download su siti legali; esistono persino realtà Web che offrono l’outsourcing del servizio senza bisogno di scaricare alcun tool. Insomma chi ha interesse a effettuare attacchi di questo tipo non fa fatica a trovare gli strumenti, bastano un paio di click nei posti giusti.
Fin qui si è parlato di “intasamento”. Ma quali rischi ci sono dal punto di vista della sicurezza dei dati sensibili?
I rischi ci sono nel momento in cui un attacco riesce a mandare in sofferenza un sito Web fino a provocare blocchi di sistema; così facendo è possibile sfruttare vie di accesso per raggiungere i dati sensibili. Non credo però che questo sia l’obiettivo degli attacchi di Anonymous a Governo.it o simili, né un pericolo reale. Nella stragrande maggioranza dei casi, questi sono siti vetrina che non espongono dati riservati. È l’equivalente di un lancio di pomodori davanti ai palazzi di Governo; si punta più che altro al danno d'immagine. Peraltro gli attacchi che sono diretti al furto di dati – come nel caso dello spionaggio industriale – seguono altri canali, sono subdoli e sfruttano falle per introdursi nel sistemi.
Questo per ora. Ma dove può arrivare un gruppo come Anonymous?
CITAZIONE
Non credo possa arrivare a fare danni a livello infrastrutturale, mettendo per esempio in crisi un Internet Service Provider (Isp) di livello nazionale. Tutti o quasi gli Isp hanno preso coscienza delle tecnologie di mitigazione del problema. Gli attacchi di questi giorni dimostrano però che c’è una grossa facilità di esecuzione e che in casi in cui la vittima o l’Isp non sia preparato i tempi di risposta diventano insufficienti, causando il disservizio. Occorre reagire rapidamente.
Cosa si è fatto e cosa bisogna fare per limitare i danni in casi come questi?
CITAZIONE
Spesso c’è un approccio sbagliato agli attacchi di tipo Dos; si pensa che sia sufficiente intervenire sulla capacità di banda per sostenere il traffico extra. Per tornare all’esempio della sala conferenze è come pensare di risolvere il problema allargando la porta di ingresso e sperare che ci stiano tutti. Per quella che è la nostra esperienza la dimensione potenziale degli attacchi è decine di volte superiore alla capacità stessa degli Internet Service Provider. Non si può pensare di allargare i "tubi", bisogna utilizzare apparati per la mitigazione del problema, capaci cioé di reggere quest’ordine di grandezza di traffico e impedire i colli di bottiglia durante gli attacchi.
Le forze dell’ordine, come la Polizia Postale, che ruolo hanno in tutto questo?
CITAZIONE
Spesso c’è una scarsa fiducia nei confronti delle autorità di controllo, specie in Europa. Occorre invece fare di più per coinvolgerle, ne va di tutta l’attività di investigazione. Non dimentichiamoci che per alcune realtà, come per i siti di eCommerce, attacchi di questo tipo sono l’equivalente di un mattone sulla vetrina. Negli Stati Uniti, società come Mastercard e Visa hanno avuto un forte danno di immagine, tanto da richiedere l’intervento dell’Fbi.
