skip to main | skip to sidebar
41 commenti

“Attacco a Internet”: servono dati, non titoloni da panico

Questo articolo vi arriva grazie alla gentile donazione di “cavalieremita” e “f.momoni” ed è stato aggiornato dopo la pubblicazione iniziale.

Ho letto ieri sulla BBC che Internet sta subendo “il più grande attacco della storia”. Ars Technica parla di un attacco “grande abbastanza da minacciare Internet”. Ma qui al Maniero Digitale non si sente nessun effetto, nessun rallentamento, niente. Nessuno dei servizi che uso online ha mostrato problemi.

Poi noto un fatto curioso: nessuno degli articoli catastrofisti fornisce dati precisi sui rallentamenti causati dall'attacco, che durerebbe da "ben oltre una settimana" (BBC). Solo frasi generiche e un riferimento a un picco di 300 Gb/s di traffico. Ma dati concreti, zero. Altre fonti, come Wired e La Stampa, attingono semplicemente alla BBC o al New York Times, senza verifiche.

La vicenda è legata, a quanto pare, a un attacco DDOS rivolto a Spamhaus, società che si occupa di elencare gli spammer e offre liste nere di siti da bloccare per arginare lo spam, da parte di Cyberbunker, società olandese di hosting un po' controversa.

Poi trovo un articolo su Gizmodo che fa le mie stesse domande, nota che tutte le dichiarazioni d'Apocalisse partono da Spamhaus e da Cloudflare (società specializzata, guarda caso, nella difesa contro i DDOS) e va a cercare un po' di dati concreti. L'Internet Traffic Report segnala traffico stabile negli ultimi trenta giorni. L'articolo di Gizmodo include anche una smentita da parte di Renesys, altra società che si occupa di monitoraggio della Rete. L'enorme infrastruttura di Amazon non mostra problemi. Al MIX-it tutto tranquillo da giorni.

Qui in Svizzera, Melani non ha segnalazioni in merito. L'Internet Storm Center ha poche righe ben poco preoccupate. L'unica segnalazione vagamente interessante è un breve calo presso LINX il 23 marzo. Akamai segnala, in questo momento, un calo del traffico del 2% a livello mondiale. Un po' misero, come effetto di un “attacco nucleare”.

Internet Traffic report del 28/3


Amazon stamattina (28/3)


Akamai stamattina (28/3)


Viene il forte dubbio, a questo punto, che siamo di fronte a una notizia montata perché offriva lo spunto per titoli sensazionali e chi l'ha alimentata non s'è reso conto di essere incappato nel Principio di Belzebù del giornalismo: mai fidarsi di notizie che provengono da una fonte interessata (fra l'altro, noto che online questo principio comincia a essere attribuito a me, ma non è mio, anche se non ricordo la fonte originale). Cloudflare ha molto interesse a dimostrare di saper resistere ad attacchi DDOS massicci e spettacolari (con strilli come “il DDOS che ha quasi spezzato Internet”) e Spamhaus ha molto interesse a far notare la propria indubbia utilità nella lotta allo spam.

Certo, 300Gb/s di DDOS sono un attacco da record e dimostrano l'aggressività dei criminali informatici, ma prima di gridare all'attacco nucleare che ammazza tutta Internet magari è meglio guardarsi intorno e vedere se davvero stanno piovendo bombe.

Maggiori info: Cloudflare, NY Times, Mashable, ZDNet.


Aggiornamenti


13:30. Avevo scritto che Spamhaus è olandese, ma in realtà ha base a Ginevra e sede legale a Londra (fonte: Spamhaus). Ho corretto l'errore. Al Jazeera riporta una dichiarazione del portavoce di LINX, secondo il quale la sua organizzazione aveva visto “un grado modesto d'intasamento in una piccola parte della rete”.
Invia un commento
I commenti non appaiono subito, devono essere tutti approvati da un moderatore. Lo so, è scomodo, ma è necessario per tenere lontani scocciatori, spammer, troll e stupidi: siate civili e verrete pubblicati qualunque sia la vostra opinione; gli incivili di qualsiasi orientamento non verranno pubblicati, se non per mostrare il loro squallore.
Inviando un commento date il vostro consenso alla sua pubblicazione, qui o altrove.
Maggiori informazioni riguardanti regole e utilizzo dei commenti sono reperibili nella sezione apposita.
NOTA BENE. L'area sottostante per l'invio dei commenti non è contenuta in questa pagina ma è un iframe, cioè una finestra su una pagina di Blogger esterna a questo blog. Ciò significa che dovete assicurarvi che non venga bloccata da estensioni del vostro browser (tipo quelle che eliminano le pubblicità) e/o da altri programmi di protezione antimalware (tipo Kaspersky). Inoltre è necessario che sia permesso accettare i cookie da terze parti (informativa sulla privacy a riguardo).
Commenti
Commenti (41)
Google per 5 minuti non ha risposto... Tanta lana eh ;)
Qui in Italia la home page di google è stata irraggiungibile per un po' ma gli altri servizi (gmail, plus, reader) erano accessibili.
Salve,
non so come mai, se la causa è questo fantomatico attacco su vasta scala, questa guerra mondiale digitale o, almeno, l'organizzazione degli schieramenti che la precederanno o semplicemente qualcuno, inciampando su un filo, ha sbarbato una spina dalla presa...

Comunque, stamattina, Google non funzionava. Dalle 8.30 fino a circa le 9.30. Il disinformatico neanche. Alcune pagine di Google Sites sì...

Boh!
Qui in ufficio tutti a farsi prendere dal panico, cambio i dns con quelli pubblici di Google e tutto torna a funzionare. Miracolo? :)
Si, Google stamattina non è stato raggiungibile per circa un'ora da rete Telecom.
Solo da rete Telecom. Dubito abbia avuto a che fare con l'attacco a Spamhaus.
Questo può essere interessante: http://www.scientificamerican.com/article.cfm?id=the-truth-behind-the-biggest-cyberattack-in-history

I problemi per "google che non funziona" di stamattina erano dovuti esclusivamente a un problema ai dns di telecom.
A me non funziona PayPal per la prima volta da 5 anni, credo.
Non so se è una coincidenza.
Non per fare la voce fuori coro, ma l'ultima mappa che hai mostrato, ieri sera alle 18 segnalava francia, germania, inghilterra, svizzera e olanda completamente rosse con un aumento del traffico di internet di 70-80%
Dall'Olanda posso dire che TUTTO funziona senza nessun rallentamento, oggi come da una settimana.
Se non avessi letto i titoli sui giornali ITALIANI, non ne avrei avuto conoscenza.

Da notare che i giornali locali olandesi praticamente ignorano la "notizia".
I problemi di google di stamani erano certamente legati ai DNS Telecom.
Qualcuno lamenta problemi di invio mail da qualche giorno, anche a domini "certi", e lentezza di navigazione su alcuni domini.

Niente di che, ma sintomatico.
E' chiaro che, se i servizi application layer vengono fatti dipendere dalla disponibilità (o meno) di UN solo fornitore di certificazione qualitativa (o di qualsiasi altra cosa), tutta la bella infrastruttura dei livelli di rete e trasporto va a farsi friggere.
Ritiro quello che ho appena scritto: era un problema di cookie.
Ho normale accesso a PayPal e non ho riscontrato alcun tipo di problema in generale usando Internet oggi.
Qui non funzionava da rete Fastweb (con DNS fastweb) ma, magicamente, da una vecchia Alice 7M (con DNS telecom) si...
Quindi non solo un problema di risoluzione DNS (anche se non è durato molto)...
Grazie per l'esistenza di articoli come questi ! Siamo stufi di titoloni ...
“Attacco a Internet”: servono dati, non titoloni da panico

Sì ma poi non vendono...e poi hai idea della fatica che si fa a raccogliere dati e informazioni ? Tanto la maggior parte di chi legge si beve tutto come acqua fresca...Per chi ci hai preso, per giornalisti seri ? :)
Symantec in una eMail inviata al gruppo assicurativo per il quale lavoro, ha fatto notare che il traffico spam attuale è addirittura più basso di quello registrato nell'agosto 2012. Anche loro confermano che si tratta di sensazionalismo giornalistico. Ciao
ciao paolo sei sempre il numero uno e ti seguo da anni ormai.volevo dirti che,facendo parte del m5s di Capua,il mio paese,ho notato ,ahime,che il caso del signor Bernini nn è isolato.Molti attivisti,simpatizzanti,del m5s si sono attinti a questi anni alla fonte ,incontrollata,di internet,precisamente alle sue fonti deliranti-complottiste- quali:barnard,giulietto chiesa,informare x resistere etc.E ti parlo di un paesino di 20.000 abitanti.Io riesco sempre a farli tacere,grazie agli articoli del tuo blog,ma come ben sai il complottista nn si arrende mai (m hanno chiamato spia degli illuminati,ho detto tutto)Siamo riusciti ,con la parte,come la definisco io,intelligente del gruppo a cacciare via questi soggetti,perchè c è bisogno di gente che aiuti in concreto e non blaterando di massoneria o bieldberg.Questo per per dirti e ribadire che anche a livello locale siamo messi male.Con infinita stima.Roberto
Per essere precisi: Spamhaus è svizzera, non olandese (almeno come sede legale).

In secondo luogo conviene leggere questi:

http://blog.cloudflare.com/the-ddos-that-almost-broke-the-internet
http://blog.cloudflare.com/the-ddos-that-knocked-spamhaus-offline-and-ho

Che spiegano bene e tecnicamente cosa è successo.

In particolare, il primo articolo spiega come linx (uno dei provider Tier1 che sono i nodi principali del traffico di Internet) abbia avuto seri problemi.

Quando un Tier 1 ha seri problemi, come in questo caso, ci possono essere moltissimi disservizi e rallentamenti (e da alcune parti del mondo, magari non da casa vostra, ci sono stati).

Il problema da porsi è: se dei criminali riescono a mettere in difficoltà delle strutture fondanti così grosse, cosa si può fare per prevenire questi problemi ?



Ctrix,

grazie della correzione, l'ho inserita subito.

Delle possibili soluzioni si parla negli articoli che ho linkato a fine articolo.
OT

Mi appoggio al commento di misterx, su internet trovi veramente di tutto, se una persona senza spirito critico entra nella blogsfera per la prima volta, senza la volontà di ricercare, approfondire, verificare, rischia davvero di credere nelle teorie più assurde (esposte tra l' altro con logica credibile) e di diffonderle a sua volta (magari nella vita reale aspetterebbe 2 secondi solo per timore di fare la figura del paranoico, mentre grazie all' anonimato di internet è più facile postare link senza nemmeno pensarci).
Per questo è così importante il lavoro di Attivissimo, almeno fino a quando la maggioranza delle persone non sarà capace di usare lo spirito critico sugli articoli che leggono. Fine OT
A proposito sarebbe molto utile un articolo in cui il sig Attivissimo spiega il suo modo di verificare le informazioni, magari con suggerimenti per il navigatore comune (che magari non ha moltissimo tempo per approfondire/verificare).
@Mirko - @Brain_Use:
Non credo fosse un problema dei DNS di Telecom, o perlomeno non solo quello. Io uso OpenDNS e Google era off-limits anche per me.
E google non va di nuovo...
Domanda tecnica: il DDNS in questo caso ha, se ho ben capito, coinvolto i server Dns. Stando all`articolo di scientific american è possibile perché i dns sono "aperti", ma a me pare di ricordare che devono esserlo, se no niente rete. Ora mi domando, esistono modi di evitare questi attacchi? Vincolare l`accesso ai dns al provider di appartenenza dell` host già si fa mi pare ma non risolve niente, b asta un ip falso.
Non sono molto pratico di DDOS, ma il solo fatto che abbiano "intaccato" i server Tier1 non è indice di un attacco massiccio? Voglio dire, le ripercussioni non ci sono state, ma la potenzialità c'era....no?
salve,
ho visto che pure megalab ha pubblicato un articolo sensazionalista (ma anche puntoinformatico e altri)... cosa ne pensi? (però nè tom's hardware nè hwupgrade si sono ancora pronunciati)
L'unica cosa che ho notato ieri mattina (27 marzo) è la scomparsa del mappamondo sulla icona della rete (ho Windows Vista), per qualche ora, dicendomi che avevo accesso solo locale. Ma in realtà sia Google che internet in generale funzionavano. Suppongo che fosse down per qualche motivo il server Microsoft a cui tenta di collegarsi il servizio che determina se la rete funziona...
Ah, ero su rete CNR (sono un ricercatore).
Uhm.. secondo Wired l'attacco è stato talmente "devastante" che è terminato una settimana fa nell'indifferenza più totale... O___O
http://daily.wired.it/news/internet/2013/03/28/spamhaus-attacco-ddos-6745478.html
http://www.corriere.it/tecnologia/13_marzo_27/sicurezza-informatica-in-atto-il-piu-grande-attacco-hacker-della-storia_8d0c0142-96f8-11e2-b7d6-c608a71e3eb8.shtml Qualcuno ha il coraggio di leggerlo? Io non ce la faccio.. una lunghissima papagna piena di emerite vaccate (ma ho solo letto qualche frase qua e là per non morire dal ridere)
Riporto anche questa interessante cronostoria dal blog della CISCO: http://blogs.cisco.com/security/chronology-of-a-ddos-spamhaus/
I problemi di google di stamani erano certamente legati ai DNS Telecom.
in ditta (ma anche a casa) usiamo OpenDNS e gurgle non rispondeva lo stesso
Il fatto che Amazon e il MIX non abbiano segnalato problemi non c'entra molto, anzi direi niente. L'articolo di Cloudfare (http://blog.cloudflare.com/the-ddos-that-almost-broke-the-internet) è la principale (se non unica) fonte di dati a riguardo. Gli unici che potrebbero fornire altri dati significativi possono essere solo gli IX citati, cioè LINX, AMS-IX e DECIX.
E' utile anche guardarsi la timeline degli eventi, che si riferiscono ormai a diversi giorni fa.
Paolo quello è il tuo gattone vero?
Beh se "l'attacco ha messo in ginocchio Internet" al MIX dovrebbe essersene accorti.
E invece no. Non solo ma nessuno di quelli che conosco ha riscontrato problemi.
Paolo quello è il tuo gattone vero?

Nego tutto.
http://www.lastampa.it/2013/03/29/tecnologia/internet-in-pericolo-tutto-un-equivoco-lQT8NzyVyCbQjpEG1lLfsL/pagina.html

La Stampa ha pubblicato una smentita alla notizia, segnalando anche questo articolo.
Quando il mio gatto va a godersi il tepore della tastiera del portatile, mentre io sono a nanna, il mattino dopo trovo che mi ha aperto migliaia di finestre d'errore. Hai installato un programma antigatto?
@molynir
ma tu lasci il portatile acceso durante la notte senza nemmen bloccarl lo schermo?
Hai installato un programma antigatto?

No, ho un gatto antiprogrammi :-)

Scherzi a parte, i miei gatti non hanno il permesso di dormire sulle tastiere. Il gatto della foto non è mio.
@takeo
su megalab quell'articolo l'ha pubblicato bit66...
Buonasera, ho appena letto.personalmente tre giorni fa ho telefonato al mio gestore internet e telefonia fissa fastweb, segnalando che da tre giorni prima la mia connessione era molto rallentata, mi è stato detto che avrebbero controllato e mi avrebbero fatto sapere, ma non ne ho saputo piu' nulla.Quindi, pur non sapendo di cosa si tratta confermo il problema in torino, bassa valle di susa
la favola blu
Sulla circostanza invito in prima battuta a riflettere su alcuni meccanismi tipici dell'attuale sistema di risoluzione dei nomi utilizzato su Internet.

1) il DNS è un sistema, seppur ancora valido, che risponde ormai a vecchie esigenze e realtà

2) al momento, pressoché tutte le implementazioni DNS utilizzano il protocollo UDP, privo di stato di connessione, pertanto non è prevista alcuna verifica della corrispondenza dell'IP di origine;

3) i servizi offerti dagli svariati e ormai famosi "Open DNS" utilizzano metodi decisamente permissivi delle proprie funzionalità, rispondendo allegramente a tutte le richieste di risoluzione: soprattutto a quelle richieste che fanno largo uso dei meccanismi delle estensioni del DNS (EDNS0). Tali richieste ampliano a dismisura la qualità e la quantità dei vettori di un
attacco ad amplifiaczione DNS. Gli Open DNS saranno anche utili alla comunità, ma lo sono maggiormente per i criminali informatici;

4) vi erano notizie che il LINX fosse oggetto di attacchi DDoS già nelle settimane precedenti al rush finale di fine marzo;

5) non necessariamente "ciò che non si vede" corrisponde a "ciò che non esiste", significando che non sono stati notati rallentamenti a livello continentale ma è possibile non avere avuto alcuna possibilità di conoscenza del fatto che i meccanismi di difesa adottati dal LINX, dai Tier-1 interessati in seno al LINX o da altri ancora esterni, abbiano funzionato a dovere e risparmiato così una vera e propria paralisi. Anzi è stato vero il contrario: le informazioni date sia da fonti interne a Spamhaus sia quelle date da fonti interne a Cloudfare non solo non sono state prese in seria considerazione, ma sembrano esser state addirittura (per assurdo) sovvertite nelle motivazioni.

In secondo luogo, a proposito di quest'ultimo punto, risulterà utile sapere che in caso di attacco ad amplificazione DNS, chi lo subisce ha a disposizione solo una serie minima di opzioni per in qualche modo contrastarlo e mantenere, possibilmente, delle seppur minime funzionalità dei propri servizi:

1) chiedere al Punto di Scambio (LINX) o al Tier-1 interessato di attivare i meccanismi previsti in casi di questo tipo, ovvero quelli definiti di "null-port";

2) qualora il DDoS fosse di così grande impatto, chiedere ad un Tier-1 esterno (avente una capacità di carico importante) di fungere da "mitigation provider", ovvero di spalmare sulle proprie infrastrutture l'impatto del DDoS. Il "mitigation provider" viene ovviamente pagato per questa funzionalità (in genere non lo fa gratis) e porta a termine il compito fondamentalmente attraverso due meccanismi opportunamente predisposti in ambiente MPLS e conosciuti come "DNS Proxying" e "BGP Forwarding".

Detto questo, il LINX (o qualsiasi altro Punto di Scambio) per ovvie motivazioni non è solito prestarsi a fornire notizie chiare e dettagliate in una situazione analoga, ma nella fattispecie sembra proprio che dopo i primi interventi effettuati direttamente sul LINX, le attività di "mitigation provider" siano state finalizzate proprio dalle infrastrutture di CloudFare.

Pertanto ritengo che esistano tutti gli elementi, così per come le notizie siano state rese note dai protagonisti della vicenda (nei tempi e nelle modalità), per indicare l'accaduto quantomeno coerente con le attività e le controdifese di norma necessarie in casi di DDoS massivi ed eccezionali come quello che sembra, ormai con pochissimi dubbi rimasti, realmente avvenuto.