DoS (Denial of Service): come buttare giù un sito on line

Sabato 17 Novembre 2007 alle 6:29 pm
Pubblicato da Giuseppe Iannozzi

DoS (Denial of Service)
Come buttare giù un sito on line
Ne sa qualcosa Il Secolo XIX

Che sia il primo vero caso di hackeraggio ai danni di un sito giornalistico italiano?
Parrebbe di sì.

Il sito del quotidiano genovese Il Secolo XIX è stato sotto attacco per circa 16 ore, a partire dalle 21 di ieri sera (15 novembre) fino al primo pomeriggio del 16 novembre. A seguito dell’attacco subito, il sito è rimasto inagibile e solo nelle ultime ore è nuovamente navigabile.

La tipologia di attacco utilizzata è decisamente classica e per certi versi banale, difatti gli hacker si sono limitati a un DoS (Denial of Service). La tecnica del Denial of Service consiste nel bombardare il sito on line con richieste di accesso al server internet. Solitamente gli attacchi di negazione di servizio vengono attuati inviando molti pacchetti di richieste, di solito a un server Web, FTP o di posta elettronica saturandone le risorse e rendendo tale sistema instabile. Qualsiasi sistema collegato a Internet e che fornisca servizi di rete basati sul TCP è potenzialmente a rischio di attacchi DoS. Lo scopo di questo attacco è di saturare la backlog queue con richieste di attivazione di un servizio (TCP SYN settato) oltre la scadenza dei relativi timeout e non consentendo alla vittima di completare il 3-way handshake, in questo modo non sarà in grado di gestire i SYN leciti a cui verrà negato il servizio. Gli attacchi DoS vengono fatti da più host: il bersaglio viene attaccato contemporaneamente da più fonti, rendendo così molto difficile o impossibile rintracciare l’attaccante originario. Una variante molto in voga è il DDoS (Distributed Denial of Service): funzionamento identico al DoS, ma realizzato utilizzando numerose macchine attaccanti che insieme costituiscono una botnet. Molto subdolo il Distributed Reflection Denial of Service (DRDoS); in pratica il computer attaccante produce delle richieste di connessione verso server con connessioni di rete molto veloci, ma utilizzando come indirizzo di provenienza non il proprio bensì quello del bersagliato. Ne consegue che i server saranno messi in condizione di rispondere affermativamente alla richiesta di connessione non all’attaccante ma al bersagliato. Ed ecco così l’effetto moltiplicatore dato dalle ritrasmissioni dei server contattati, i quali, a fronte della mancanza di risposta da parte del bersagliato, provvederanno a ritrasmettere (fino a 3 volte solitamente) il pacchetto, credendo sia andato perso ed entrando di fatto in un circolo vizioso. Il bersagliato viene messo in ginocchio in brevissimo tempo, ed è quasi del tutto impossibile risalire all’attaccante originario.

Una tecnica piuttosto semplice, come si può vedere ma che indiscutibilmente produce effetti disastrosi e immediati verso chi viene preso di mira.

Il Secolo XIX ha subìto un DoS. La testata ha denunciato l’attacco alla Polizia Postale, che ha avviato un’indagine; ma è decisamente improbabile che riuscirà a risalire all’attaccante (hacker) originario. Il giornale genovese sta cercando di raggranellare elementi utili a definire i rischi corsi e i danni riportati. In ogni caso, sono gli stessi tecnici a non sbilanciarsi più di tanto: le tracce lasciate indirizzerebbero le indagini verso un hacker che si è appoggiato a un dominio coreano. Tuttavia la localizzazione è ben poco attendibile, anzi è più probabile che sia soltanto un punto d’appoggio utilizzato per depistare eventuali poliziotti informatici.

Si tratterebbe di un attacco concentrico di hacker che sarebbe stato dapprima auspicato e poi raccontato e rivendicato nel forum di un sito internet romeno - quello della emittente Antena 3, una delle più importanti della Romania, - sul quale successivamente sono comparsi messaggi di congratulazione ed esultanza, dopo che il sito era stato oscurato dal sistema si sicurezza che opera sul server del secoloxix.it. La polizia indaga, ma si pensa anche si possa trattare semplicemente di mitomani smaniosi di 15 minuti di immeritata celebrità. La pista rumena è improbabile, ciò nonostante la polizia la batte lo stesso. Nel forum di un sito internet romeno, sono comparsi messaggi di congratulazione per l’attacco che però sono stati subito cancellati.

“E’ una cosa molto grave, oltre che un danno enorme costringere alla chiusura un sito aperto alle voci di migliaia di lettori che in ogni momento possono intervenire con le loro idee. Il web è una conversazione, non trasformiamolo in un campo di battaglia”, commenta l’amministratore delegato del secoloxix.it, Marco Formento. Uno dei “postatori” del sito dell’emittente televisiva romena Antena3, un certo Casper, scrive in un messaggio: “E’ vero il flood, viene da un server della Corea, ma in realtà è fatto proprio da noi romeni. Preghiamo Antena3 di mantenere anonimi i nostri IP.”

di Giuseppe Iannozzi

Se sei nuovo di qui, dovresti iscriverti al nostro RSS feed. Qui ti spieghiamo cosa sono i feed Grazie per la visita!