L’attacco più violento della storia di internet non ti riguarda

Illustrazione di Tuono Pettinato.

Due giorni fa alcuni siti di news hanno riportato con toni poco sereni la notizia di un attacco in atto su internet che starebbe rallentando la rete talmente tanto che a un certo punto torneremo indietro nel tempo a comunicare con i dipinti rupestri (più o meno). Ieri, invece, sembrava che tutto fosse tornato alla normalità e che quello che era capitato non era un grosso problema—potevamo stare tutti tranquilli. Ed è vero, però è altrettanto vero come in questi giorni su internet sia effettivamente successo un gran casino, un casino molto affascinante perché per spiegarlo bisogna usare termini come Bayesian filters e forse ci sono anche i server zombie di mezzo, ma per il resto è incomprensibile. Quello che segue è un resoconto di ciò che sta succedendo nella rete delle reti raccontato da un amico che frequenta l’ambiente degli hacker da un po’ di anni con il nome di Accio, un amico che tutti dovrebbero avere. Mi sono permessa di editare quello che ci ha raccontato per renderlo comprensibile a chi frequenta solo Tumblr. È venuto fuori che si tratta di una specie di versione telematica di un agosto sull'A1 (o un remake di C’è posta per te ma con più Enlarge your penis).

Una ricostruzione credibile della persona con cui abbiamo parlato e di tutte le persone che stanno dietro quest'operazione. I protagonisti di questa vicenda sono due, The Spamhaus Project e Cyberbunker.
The Spamhaus Project è un’organizzazione no profit che si occupa di creare liste di indirizzi IP ritenuti responsabili di inviare SPAM o mail sgradevoli di vario tipo (come quelle per il phishing, che essenzialmente servono a svuotare il conto in banca). Negli anni ha creato quella che in gergo si chiama un’infrastruttura della Madonna. Il loro lavoro consiste nell’integrare i filtri anti-spam dei servizi di posta, che solitamente controllano mittente, oggetto, contenuto delle mail, migliorando il servizio mano a mano che vengono utilizzati (Bayesian spam filters). Per essere più efficaci e veloci, si appoggiano a queste liste redatte da Spamhaus, dove ci sono tutti gli IP “cattivi”: se la mail arriva da uno di questi IP, non ci si prende neanche la briga di controllare il contenuto perché tanto sicuro è SPAM.
Qualche settimana fa, nella lista degli indirizzi IP di Spamhaus, è finito anche quello di Cyberbunker. Cyberbunker è un Internet Service Provider olandese con sede in un ex bunker della NATO. È una società privata con un datacenter (tipo Aruba), che vende spazi sui suoi server a chi può pagare l’affitto, ma tipo a CHIUNQUE, e senza fare domande: spammer, siti di phishing, roba che offende la morale e l’etica. Gli unici contenuti rifiutati sono quelli di natura pedopornografica e terroristica. Un loro cliente famoso era The Pirate Bay. Hanno anche clienti normali, e tanti, perché è un datacenter situato in un bunker—anche dovesse capitare un cataclisma, quei server restano su.
Quando Spamhaus li ha messi nella lista degli spammatori, quelli di Cyberbunker se la sono presa un pochino.

Il bunker di Cyberbunker. Per tutta risposta, gli smanettoni di Cyberbunker (che non sono gli ultimi stronzi) hanno ingaggiato un attacco in due fasi di tipo “distributed denial-of-service” (DDoS). Si tratta di un attacco che ha lo scopo di “rendere indisponibile una risorsa”, che nel caso di attacchi via internet significa inviare molte più connessioni di quante l’obiettivo (sito, server, datacenter, quel che è) possa gestire. L’obiettivo si satura e rimane bloccato. Come far entrare 200 persone in un ascensore con capienza massima per sei. Questo attacco è stato fatto prima in maniera diretta da Cyberbunker, probabilmente non con i loro server ma con altri server zombie sparsi per il mondo (sono server che vengono usati per scopi di questo tipo senza che il proprietario del server lo sappia). Questa ipotesi non è verificata, ma resta una possibilità. Dopo questo attacco, il 18 marzo Spamhaus si è affidata a Cloudflare, società che protegge reti e siti da questo tipo di attacchi per arginare il disastro. Cloudflare ha una rete gigantesca e tantissimi datacenter sparsi per il mondo, interconnessi con tutti i principali internet exchange (dopo spieghiamo meglio cosa sono) del mondo. Questa grossa rete viene usata per distribuire questi attacchi lungo tutta la rete in modo da disperderne l'effetto. A questo punto l'attacco, che ancora era modesto in termini di banda, ha smesso di creare problemi. Quindi il 21 marzo è partita la seconda parte del piano di Cyberbunker: un attacco diretto delle reti di Cloudfare (dopo un giorno che tacevano). Nonostante l'attacco fosse molto più massiccio in termini di banda, Cloudflare ha tenuto botta e gli attaccanti si sono fermati. Il 22 marzo, i tipi di Cyberbunker, totalmente accecati dalla tigna, cambiano nuovamente tattica, tentando il tutto per tutto: iniziano ad attaccare direttamente i provider che forniscono banda a Cloudflare. Sarebbe più o meno come se attaccassero la nostra Telecom, con la differenza che per quella basta un po' di pioggia, e non hacker disadattati obesi e pieni di brufoli. Lo scopo è arrivare a Spamhaus. Dal momento che un provider di questo tipo (TIER2) a sua volta acquista banda da provider di TIER1 (queste TIER1 sono il core di internet, non comprano rete da nessuno, e a esse si collegano le reti TIER2, che si collegano fra loro con i internet exchange, e via così) l'attacco si è concentrato su questi ultimi, che saranno una dozzina in tutto il mondo, i quali hanno dovuto sopportare una mole di dati in termini di banda mai vista prima.

L'orrendo schemino di Wikipedia che spiega cosa sono i Tier1 e cos'è internet in generale.

Inoltre, l'attacco si è propagato per forza di cose anche agli Internet Exchange, ovvero i nodi (in genere di istituzioni no profit finanziate dai provider) da cui passa tutto il traffico internet e che, interconnessi fra loro, garantiscono la propagazione dei dati. In Italia il più importante è il MIX (Milano Internet Exchange), dal quale passa tutto il traffico d'Italia verso il nord. Un po' come dei raccordi autostradali che ti convogliano su una gigantesca autostrada. Questa mole di dati abnorme ha progressivamente rallentato sia gli IX che i TIER1 causando di fatto una grande congestione globale che è stata sentita soprattutto in Inghilterra, in Germania, in Olanda e a Hong Kong. Perché Hong Kong? Non lo so. Questo attacco è stato talmente ciccione in termini di banda, che nessuno, neanche Cyberbunker, avrebbe potuto generare un traffico del genere. Cyberbunker si è servita molto bene degli open DNS presenti in internet (svariati milioni) che effettuano richieste in modo ricorsivo. Il protocollo DNS serve per trasformare un NOME HOST in un INDIRIZZO IP. Il problema è che gli open DNS ricorsivi, quando dalla loro rete viene chiesta un’informazione e non ce l’hanno nella loro cache, la chiedono a qualcun altro generando tantissimo traffico, perché prima devono chiedere e poi devono risponderti. Se a un certo punto arrivano troppe domande, e nessuno trova le risposte, si crea solo un enorme bordello. Quindi le connessioni ad alta velocità sono un po’ congestionate, tutto qui. Non c’è da cambiare password o annullare il proprio account su Amazon, l’unico problema che potrebbe venire fuori è che non puoi andare sul sito, perché (potenzialmente) potrebbe bloccarsi internet. Ma, indovina? Nessuno ha i mezzi per poterlo fare. L’unico problema tangibile è che se Spamhaus va giù, arriverebbe un sacco di SPAM (se vi è successo ultimamente, sapete il motivo). I titoli come “INTERNET SI È ROTTO” o simili non hanno senso; è effettivamente stato l’attacco più violento della storia di internet in termini di occupazione di banda, ma non il più dannoso. C’è stato ben di peggio, come attacchi verso IX locali per bloccare il traffico di intere nazioni. Però, insomma, è tutto a posto, i video di Maru continueranno ad andare online senza alcun intoppo.

Segui Chiara su Twitter: @chialerazzi