Cos’è successo e come funziona il DDoS
di Michele Pinassi*
SIENA. Nuova ondata di attacchi ad alcuni siti web italiani, anche istituzionali, da parte del cyber–gruppo filorusso NoName57.
Gli attacchi, di tipo DDoS (Distribuited Denial of Service), sono stati prontamente rivendicati sui vari canali del gruppo, attraverso grafiche che lasciano poco all’immaginazione.
Ad essere colpiti dall’ondata di connessioni che ha causato la temporanea interruzione dell’operatività sono stati i siti web:
- www.difesa.it
- www.esercito.difesa.it
- carabinieri.it
- concorsiciv.interno.gov.it
- esteri.it
- areariservata.
divisioneconsumer.it , un portale di Bibanca, del gruppo BPER - gruppoa2a.it, sito web del gruppo A2A, una importante spa multiservizi italiana
- interno.gov.it
- bper.it, portale della Banca Popolare dell’Emilia Romagna
Precisiamo subito alcuni aspetti importanti: causare un DDoS a un sito web, seppur fastidioso e potenzialmente lesivo poiché la vittima vede privarsi dell’operatività della sua “vetrina” sulla Rete, significa semplicemente rendere (temporaneamente) indisponibile il sito web colpito. Generalmente, poi, i siti web sono ospitati su piattaforme esterne o comunque fuori dalla rete interna di queste istituzioni, pertanto il disservizio dovrebbe essere limitato esclusivamente alla “vetrina”.
Tecnicamente è piuttosto semplice da realizzare, anche se necessita di risorse non proprio alla portata di tutti: si tratta di aprire decine o centinaia di migliaia (talvolta anche milioni) di connessioni verso un certo sito web, saturandone le risorse e impendendo ai “legittimi” visitato di accedervi. Ogni volta che scriviamo un sito web sulla barra del browser, infatti, il nostro PC apre una connessione con il server remoto che contiene le pagine richieste. Questa azione impegna risorse (CPU, RAM) sul server remoto e se arrivano troppe richieste in contemporanea, prima si assisterà ad un rallentamento e poi, se le richieste sono superiori molto alla disponibilità di risorse, un blocco del servizio.
Per spiegare meglio, è come se 100 auto si incontrassero tutte insieme davanti all’ingresso del vostro condominio, impedendo a voi e agli altri condomini di accedere al piazzale condominiale. Sicuramente fastidioso, soprattutto se avete fretta, ma la vostra casa e ciò che contiene è ancora lì. Quando le auto se ne saranno andate, il piazzale condomiale sarà nuovamente acessibile e fruibile senza (speriamo!) problemi.
Si tratta essenzialmente di azioni dimostrative, mediaticamente di grande effetto perché molto evidenti (il sito web non si apre più, con tutte le conseguenze del caso). Chiunque se ne accorge non appena tenta di accedere a una risorsa ospitata sul sito web vittima, che tecnicamente potrebbe anche ospitare altri servizi e, quindi, il danno essere più pervasivo e pesante.
Il DDoS è stato uno degli strumenti di offesa maggiormente usato da questi collettivi filo-russi, tra cui il più “noto” Killnet, subito pronto a diffondere la URL di check-host.net come prova.
Chiunque abbia un servizio o un sito web in Rete è potenzialmente esposto a questi attacchi. Esistono servizi che offrono una protezione contro i DDoS, tra cui uno dei più noti è CloudFlare, attraverso strategie di mitigazione che riducono l’impatto di questi attacchi.
In queste occasioni è sempre simpatico ricordare come alcune realtà si siano praticamente “auto-DDoSsate”, attraverso azioni che hanno causato il blocco dell’operatività del sito web. Una delle più famose fu il “click-day” di INPS relativo al bonus dei 600 euro del 1 aprile 2020, quando Tridico, presidente INPS, commentò: ““Dall’una di notte alle 8:30 circa, abbiamo ricevuto 300mila domande regolari. Adesso stiamo ricevendo cento domande al secondo. Una cosa mai vista sui sistemi dell’Inps che stanno reggendo, sebbene gli intasamenti siano inevitabili con questi numeri”.
*www.zerozone.it