Quasi nessuno se ne è accorto, ma a metà febbraio 2020 è successo qualcosa di strano in rete: il più grande attacco DDoS della storia di Internet. O almeno il più grande fino ad ora. Lo ha comunicato Amazon, specificando che il suo servizio AWS Shield è riuscito a parare i colpi di un attacco gigantesco, con una potenza di fuoco di 2,3 Tbps (Terabit per second). Tanto per farsi un’idea, si tratta di un flusso dati di circa 300 gigabyte al secondo, in pratica come se inviassimo in rete l’intero contenuto (immagini, video, documenti, giochi, ecc.) di un disco rigido di medie dimensioni in un solo secondo.
Si tratta di un bel balzo in avanti rispetto al precedente attacco DDoS record, pari a 1,7 Tbps, risalente a marzo 2018. Sembrerebbe proprio che la metodologia DDoS sia tutt’altro che passata di moda tra gli hacker che, al contrario, continuano ad usarla nel tentativo di mandare KO migliaia e migliaia di siti Web. Eppure, a ben guardare, stiamo parlando di un tipo di attacco hacker che ha oltre quarant’anni di storia alle spalle.
Il primo attacco DDoS (1974)
Quello che viene considerato il primo attacco DoS in assoluto si è verificato nel 1974, quando Internet neanche esisteva ancora. All’epoca David Dennis, un giovanissimo studente di appena 13 anni riuscì ad attaccare il Computer-Based Education Research Laboratory (CERL) della University of Illinois Urbana-Champaign.
David scoprì l’esistenza di un nuovo comando che poteva essere eseguito sui terminali PLATO del CERL. PLATO è stato uno dei primi sistemi di istruzione assistita computerizzata (il bisnonno della Didattica a Distanza). Il comando si chiamava “ext” e consentiva l’interazione con dispositivi esterni collegati ai terminali. Tuttavia, se eseguito su un terminale senza dispositivi esterni collegati, il comando causava il blocco del terminale.
David, allora, volle togliersi la curiosità di sapere cosa sarebbe successo mandando in tilt una intera stanza piena di terminali PLATO, proprio mentre gli studenti li stavano usando. Scrisse allora un semplice programma che inviava il comando “ext” a tutti i terminali contemporaneamente e riuscì nell’intento: tutti e 31 i terminali PLATO si spensero insieme.
Il primo attacco DDoS contro Arpanet (1988)
L’attacco di David Dennis fu voluto e pensato, e fu indirizzato con successo, nei confronti di una rete chiusa. Il primo attacco contro una rete aperta, invece, fu involontario: è stato quello messo a segno da Robert Tappan Morris che, quasi senza volerlo, creò il primo worm della storia. Cioè il primo virus che si replica automaticamente all’infinito.
Morris aveva creato un codice che si replicava su ogni computer che riusciva a raggiungere attraverso la rete di allora, cioè Arpanet. Lo scopo per cui il programma era stato creato era “didattico”: Morris voleva misurare le dimensioni di Arpanet. Contando il numero delle repliche del suo worm avrebbe potuto contare i computer raggiunti. Il problema, però, è che il codice conteneva un errore e il worm non riusciva a capire se il computer era stato già “infettato”. Di conseguenza continuava a replicarsi all’infinito, cercando di stabilire sempre nuove connessioni con tutti i computer che poteva raggiungere, con l’unico esito possibile: tutta la rete Arpanet, all’epoca composta da 60.000 nodi, andò in crash.
Melissa, il primo attacco DDoS via e-mail (1999)
Nel 1999 David Smith creò un semplice macrovirus di posta elettronica: un messaggio che conteneva in allegato un file di Microsoft Office. Se l’utente apriva il file, allora il virus leggeva l’elenco dei contatti dell’account di posta e inviava lo stesso messaggio ad altri cinquanta utenti. Il virus iniziò così a diffondersi in modo incontrollato e alla cieca, mettendo in crisi diversi server di posta elettronica per l’elevato carico generato di email inviate contemporaneamente.
Il primo attacco DDoS contro i big di Internet (2000)
Nel 2000 Michael Calce, anche lui quattordicenne e conosciuto in Rete con il nickname “MafiaBoy“, sferrò il primo attacco DDoS contro i grandi nomi di Internet: Amazon, eBay, Yahoo! (che all’epoca era il motore di ricerca più usato) e molti altri. I dettagli di questo attacco DDoS, che fu monitorato in diretta dagli agenti dell’FBI, non sono stati mai rivelati. Quello che si sa è che dal febbraio al maggio 2000 andarono KO i siti web di Yahoo!, della CNN, datek.com, e-trade.com e, successivamente, anche Amazon, eBay e tanti altri.
La novità di questi attacchi era destinata a restare tra le tattiche più usate dagli hacker moderni: l’uso massiccio di computer infetti, tramutati in “zombie” (ossia, una botnet), che contribuivano a portare avanti l’attacco ai siti all’insaputa dei rispettivi possessori. MafiaBoy, in particolare, trasformò in “zombie” soprattutto i PC delle università americane perché questi computer avevano accesso alla rete tramite ottime (per l’epoca) connessioni a Internet. Si stima che questi attacchi causarono danni all’economia americana per una cifra complessiva che sfiora 1,2 miliardi di dollari.
Il primo attacco DDoS contro Microsoft Internet Information Services (2001)
Si chiama invece Code Red il primo attacco DDoS che ha preso di mira i computer con installato Internet Information Services di Microsoft. In una prima fase Code Red è riuscito a infettare 359 mila server: ogni pagina visitata dall’utente veniva sostituita con un messaggio che recitava “Hackerato dai cinesi“. La seconda fase dell’attacco prevedeva invece il DDoS vero e proprio nei confronti di una lista predefinita di siti Web, tra i quali ci fu persino quello della Casa Bianca che crollò sotto i colpi dell’attacco. Nella fase di piena attività Code Red colpì un milione di server in tutto il mondo.
L’attacco DDoS da 376 byte che ha spento la Corea del Sud (2003)
Nel 2003 gli hacker dimostrano che è possibile creare il panico con appena 376 byte di codice: tanto pesava il virus SQL Slammer che è riuscito a infettare centinaia di migliaia di server in mezzo mondo in soli 15 minuti, facendo crescere il traffico Internet globale del 25%. Tra gli effetti di questa crescita del traffico ci fu un blackout del traffico Internet e mobile in Corea del Sud per diverse ore e il tilt di ben 13 mila bancomat di Bank of America. C’è anche chi ipotizza una correlazione tra SQL Slammer e un blackout elettrico che ha lasciato al buio 50 milioni di persone nell’America nordoccidentale.
Il primo attacco DDoS per finalità politiche in Estonia (2007)
In Estonia, ad aprile 2007, ci fu quello che probabilmente può essere considerato il primo attacco hacker DDoS finalizzato alla protesta politica. Di sicuro il primo che ha minacciato la sicurezza nazionale di un Paese sovrano in modo serio. Per protestare contro la rimozione di una statua commemorativa in bronzo, il “Soldato di Tallin“, un gruppo non identificato di hacker lanciò un DDoS contro siti di banche, Internet Provider, giornali, siti del Governo. Alcuni ipotizzano che dietro questo attacco, in realtà, c’era il Governo Russo.
Gli attacchi DDoS politici in Russia (2011-2012)
Durante le campagne elettorali per il rinnovo della Duma (cioè del parlamento) e per l’elezione del Presidente della Federazione Russa, tra dicembre 2011 e marzo 2012, le forze politiche in campo si sono scontrate anche a suon di attacchi DDoS. Entrambe le fazioni, infatti, si sono visti attaccare i rispettivi siti web e quelli di organizzazioni amiche. Gli attacchi furono numerosi e continui fino al completamento delle operazioni di voto.
Gli attacchi DDoS “Terabit” (2018)
Nel 2018 siamo entrati nella cosiddetta epoca degli attacchi “Terabit DDoS“, cioè gli attacchi che riescono a generare un traffico contro i siti attaccati da oltre 1 terabit per secondo (1 terabit corrisponde a 1.000 gigabit, ossia 125 gigabyte). A febbraio di quell’anno i server di GitHub furono attaccati da una potenza di fuoco che toccò 1,3 Tbps. E già fece paura. Appena un mese dopo, a marzo 2018, Netscout Systems confermò invece di aver registrato un attacco da 1,7 Tbps contro uno dei suoi clienti americani, senza però rivelarne il nome.
Entrambi gli attacchi si basavano sulla tecnica reflection/amplification tramite server dotati di sistema di gestione della memoria RAM “Memcached“. Questi server furono presi di mira dagli hacker e utilizzati per amplificare la portata dei loro attacchi. Il salto di qualità fu notevole: il traffico medio generato dai precedenti attacchi ammontava infatti a 500-600 Gbps, praticamente la metà.
L’ultimo record: 2.3 Tbps (2020)
E siamo così arrivati all’ultimo (per ora) record: l’attacco DDoS da 2,3 Tbps intercettato e “mitigato” da Amazon Web Services a metà febbraio 2020, reso noto a metà giugno. Anche in questo caso si è trattato di un “reflection attack“, cioè di un attacco che si è servito di server di terze parti vulnerabili, usandoli per amplificare il traffico inviato ai siti da attaccare. Amazon non ha rivelato quali sono stati i siti attaccati, ma ha fatto notare nel suo report relativo agli attacchi DDoS nel primo trimestre 2020 come ormai la portata media (in dimensioni del traffico mobilizzato) degli attacchi sia cresciuta in modo esponenziale. Siamo, quindi, ufficialmente nell’era degli “attacchi Terabit”.
Fonte Fastweb.it