Quando l’Internet of Things (IoT) viene hackerato

Venerdì scorso, 21 ottobre 2016, un enorme attacco hacker di tipo Distributed-Denial-Of-Service (DDOS) ha paralizzato ampia parte del traffico web statunitense, in tre diverse riprese a partire dalla mattinata e fino al tardo pomeriggio (orario americano).

L’impatto dell’attacco è stato talmente rilevante da aver dato l’impressione, a buona parte dei navigatori statunitensi della costa Est in particolare, che l’intero Internet fosse ‘rotto’.

Tra i principali siti irragiungibili c’erano Twitter, Spotify, SoundCloud, Amazon, Ebay, Reddit, Airbnb, Netflix, come anche siti di editori come CNN, NBC, New York Times, The Guardian e diversi altri.

Eppure per paralizzare un numero così elevato di grandi siti pubblici è stato sufficiente colpire con un vigoroso attacco DDOS la compagnia che assicura il servizio DNS a questi siti, ovvero Dyn.com.

Sovraccaricando le risorse – imponenti – del servizio di managed DNS di Dyn è stato possibile mettere in ginocchio ampia parte del web americano, coinvolgendo in primo luogo il traffico internet in arrivo dalla costa Est e – nelle ondate successive alla prima – estendendo il disagio anche ai navigatori degli stati centrali e infine a quelli della costa pacifica.

Dyn ha una struttura in cloud accuratamente geolocalizzata in tutto il mondo, che ovviamente ha impedito l’estendersi del disservizio verso altre aree del pianeta, come ad esempio in Europa; ma non di meno l’esito dell’attacco ha innescato una catena di disagi che hanno genericamente rallentato il traffico web americano per ampia parte della giornata, e non solo per chi consultava i siti direttamente coinvolti con la gestione DNS di Dyn.

Eppure, al di là delle capacità di ripristino di queste aziende che curano l’infrastruttura web di alto livello, è innegabile che l’origine dell’attacco di venerdì non può che destare preoccupazioni.

Per scatenare un attacco DDOS di quelle proporzioni hai bisogno di una botnet di device al tuo servizio che siano in grado di generare un numero tanto elevato di richieste sincroniche così da paralizzare le capacità di risposta delle strutture attaccate, in questo caso i server DNS di Dyn nell’area statunitense.

Internet of Things e le botnet di device infestati da malware

Uno dei dati emersi nelle ore e nei giorni successivi a venerdì è il coinvolgimento di un’ampia frazione di devices infestati dal malware Mirai, che a sua volta infetta più di mezzo milione di devices nel mondo.

Mirai mira ad introdursi su devices minori con accesso a internet, l’Internet of Things appunto, sfruttando sostanzialmente gli scarsi protocolli di sicurezza di questo tipo di devices.

La rete di devices infestati viene poi utilizzata come botnet per portare attacchi simili a quello di venerdì.

Il malware Mirai con la sua botnet non è nuovo a questo genere di performance (un simile attacco DDOS aveva colpito la società di hosting europea OVH solo poche settimane fa), ma va anche precisato che nel frattempo il codice sorgente del malware è stato condiviso in rete dagli hacker originali, mettendolo virtualmente a diposizione di chiunque (anche se si può immaginare che l’accesso alla botnet di Mirai sia tutt’altro che libero e gratuito, ma anzi probabilmente soggetto ad accordi pecuniari da parte dei gruppi cybercriminali coinvolti, in ogni caso ancora totalmente anonimi).

Tra i diversi device coinvolti, quindi, ci sono dispositivi hardware con accesso a internet, precedentemente infettati dal malware e quindi ora a disposizione della botnet degli hacker.

Tra questi spiccano i videoregistratori digitali (Digital Video Recorder o DVR) e le telecamere di sicurezza digitali installate per vari usi (sistemi CCTV, ad esempio).

E’ facile immaginare come episodi del genere siano in grado di mettere in dubbio l’approccio di quell’Internet of Things che vedeva nell’interconnessione dei vari dispositivi alla Rete come un mezzo per accelerare l’automazione e l’intelligence, sia in ambito domestico e che in contesti aziendali ed industriali.

Colpendo alcuni specifici snodi strutturali della Rete attraverso questi ‘punti deboli’ facilmente vulnerabili gli hacker di venerdì sono stati in grado di sprigionare una forza d’attacco imponente, capace di mettere in seria difficoltà l’intero traffico web statunitense per buona parte della giornata.