L’attacco DDoS (Distribuited Denial of Service) contro il provider Dyn, che fornisce il servizio DNS a siti web molto popolari, come Netflix, Twitter, Spotify, eBay e PayPal, ha chiaramente dimostrato la fragilità dell’infrastruttura di Internet e la pericolosità della Internet of Things (IoT). I cracker hanno infatti creato una botnet, denominata Mirai, che sfrutta le vulnerabilità dei dispositivi IoT.
L’attacco DDoS è avvenuto in tre ondate successive e ha colpito principalmente la costa orientale degli Stati Uniti, ma sono stati rilevati problemi anche in Europa. Dyn, un’azienda del New Hampshire, fornisce un servizio DNS (Domain Name System) che funziona in pratica come un elenco telefonico, traducendo il nome del dominio in un indirizzo IP. Quando il numero di richieste verso i server DNS è troppo elevato, questa traduzione non è possibile e i siti web non sono più raggiungibili. Nel caso di Dyn, l’attacco è stato effettuato con la botnet Mirai.
In tutto il mondo ci sono milioni di dispositivi connessi ad Internet, molti dei quali sviluppati senza tenere conto della sicurezza. I ricercatori di Flashpoint hanno scoperto che Mirai è formata principalmente dai prodotti di XiongMai Technologies, un’azienda cinese che realizza DVR e videocamere connesse ad Internet. Questi device hanno la password “hardcoded” nel firmware, per cui la modifica è troppo complicata per alcuni utenti. È infatti necessario utilizzare Telnet o SSH a riga di comando, in quanto l’interfaccia web è assente. I cracker hanno quindi cercato username e password di fabbrica, creato un elenco di dispositivi vulnerabili e attaccato i server DNS di Dyn con richieste provenienti da oltre 10 milioni di indirizzi IP.
Dato che il codice sorgente di Mirai è stato pubblicato online, gli esperti di sicurezza ipotizzano che l’attacco sia stato effettuato da più persone e da più luoghi. Quello che è successo venerdì potrebbe verificarsi anche in futuro. Esistono diversi modi per mitigare gli effetti di un attacco DDoS (firewall, load balancer, RTBH, VPN, server DNS multipli), ma nessuno di essi può garantire la sicurezza assoluta.