2013/08/30

Anatomia dell’attacco informatico al New York Times

Questo articolo era stato pubblicato inizialmente il 30/08/2013 sul sito della Rete Tre della Radiotelevisione Svizzera, dove attualmente non è più disponibile. Viene ripubblicato qui per mantenerlo a disposizione per la consultazione.


La tensione internazionale intorno alla situazione in Siria ha anche dei risvolti informatici. L'autoproclamato Esercito Elettronico Siriano (favorevole al governo Assad) si è dichiarato responsabile, nei mesi scorsi, di varie incursioni informatiche ai danni dei siti Web di testate internazionali come il Washington Post, la BBC, la CNN, la Associated Press e Time e di siti come Twitter e Viber.

La sua violazione dell'account Twitter della Associated Press, in particolare, ha permesso all'Esercito Elettronico Siriano di pubblicare con il marchio dell'agenzia di stampa la falsa notizia del ferimento di Obama in un attentato, causando un sussulto in Borsa di circa 136 miliardi di dollari.

Il bersaglio di spicco più recente è stato il quotidiano statunitense New York Times, che martedì scorso è rimasto inaccessibile per quasi dodici ore. Contemporaneamente è stato colpito anche il Huffington Post. Anche Twitter è stato attaccato in alcuni suoi servizi di diffusione di immagini.

Questi attacchi fanno impressione nell'opinione pubblica, evocando l'immagine di un team di super-hacker agguerritissimi e temibili, ma se si conosce la loro reale dinamica ci si rende conto di quanto in realtà siano molto meno arditi e complessi di quel che può sembrare.

L'EES ha infatti usato gli strumenti pubblici di Internet per scoprire che il nome di dominio del NYT, ossia nytimes.com, era stato acquistato dal giornale presso la Verisign, che aveva delegato la gestione del traffico Internet diretto al NYT a un registrar australiano, la Melbourne IT, che aveva a sua volta delegato questa gestione a vari fornitori di accesso Internet, compreso un fornitore indiano.

Tutto questo è avvenuto secondo una prassi comunissima in Internet: una catena di fiducia sulla quale si basa il DNS, ossia il sistema che ci permette di scrivere il nome di un sito in un browser e di trovarci connessi a quel sito istantaneamente e magicamente, senza sapere dove si trova materialmente. Internet “sa” dove sono i vari siti grazie a questo DNS, che associa il nome che digitiamo all'indirizzo IP del sito corrispondente.

Come qualunque catena, basta un singolo anello vulnerabile per indebolire tutto l'insieme: l'EES è riuscito ad ottenere il nome utente e la password di almeno uno degli amministratori dei sistemi del fornitore d'accesso indiano e li ha usati per redirigere il traffico del NYT. Chi scriveva www.nytimes.com veniva dirottato a un sito fasullo controllato dall'EES. Ma il sito del giornale non era stato violato: era ancora accessibile a chi ne conosceva l'indirizzo IP diretto, ossia http://170.149.168.130.

Come ha fatto l'EES a ottenere queste credenziali che gli hanno permesso il dirottamento? Con la tecnica più elementare, il phishing: ha inviato una mail-trappola ai vari amministratori del fornitore d'accesso indiano, con un testo apparentemente autorevole (per esempio la classica richiesta di Gmail o Facebook di aggiornare la propria password cliccando su un link incluso nella mail) che ha convinto almeno uno degli amministratori a rispondere, fornendo le proprie credenziali agli aggressori, che le hanno usate per alterare il DNS e redirigere tutto il traffico dei visitatori del NYT. Tutto qui.

Può sembrare assurdo che Internet si regga su un sistema così vulnerabile, ma è così. In effetti esiste un sistema di maggiore garanzia, il registry lock, che impedisce la modifica automatica dei dati del DNS e obbliga una verifica manuale della legittimità della richiesta di modifica. La verifica viene effettuata al livello più alto della catena di fiducia. Molti grandi nomi di Internet stanno correndo ad attivare questa ulteriore protezione, che però ha degli oneri amministrativi maggiori e rende più difficili i rinnovi automatici dei nomi di dominio.

Se volete sapere quali siti Internet hanno un registry lock, potete farlo facilmente: è un dato pubblico. Usate uno dei tanti servizi "whois" di Internet (per esempio Smartwhois.com/) per visualizzare i dati di registrazione di un nome di dominio: se vedete le parole “serverDeleteProhibited”, “serverTransferProhibited” e “serverUpdateProhibited”, il nome è protetto da un registry lock.
Fonti aggiuntive (non pubblicate):

http://www.usatoday.com/story/cybertruth/2013/08/28/how-a-low-level-hack-shut-down-the-new-york-times/2722869/

http://arstechnica.com/security/2013/08/syrian-electronic-army-named-as-likely-culprit-in-the-new-york-times-hack/

http://www.pcworld.com/article/2047628/spear-phishing-led-to-dns-attack-against-the-new-york-times-others.html

http://news.idg.no/cw/art.cfm?id=DFC7CBBB-989D-AE94-5E471ECB85807E57

http://blog.cloudflare.com/details-behind-todays-internet-hacks

Nessun commento:

Posta un commento

Se vuoi commentare tramite Disqus (consigliato), vai alla versione per schermi grandi. I commenti immessi qui potrebbero non comparire su Disqus.

Pagine per dispositivi mobili