Quel che è successo è ormai cronaca: nel pomeriggio di venerdì, molti tra i più popolari siti e servizi Internet, da Twitter a Spotify, da Financial Times a New York Times, da eBay a Reddit, sono risultati inaccessibili per ore a causa di un massiccio attacco di tipo DDoS (Distributed Denial of Service) a carico di Dyn, società statunitense che gestisce i DNS, offrendo servizi di analisi in tempo reale del traffico.
Un attacco attuato inviando milioni di richieste in contemporanea, così da creare un sovraccarico impossibile da gestire, che ha dunque esaurito le risorse del sistema. Il tutto utilizzando una botnet costituita non solo da computer, ma anche da stampanti e da quella miriade di dispositivi connessi – alla base di tutto quanto chiamiamo IoT – ma non adeguatamente protetti.
Sotto attacco non un sito ma i server DNS
Rispetto ad altri attacchi DDoS di cui negli anni abbiamo avuto modo di parlare, la differenza è che in questo caso non si va a colpire il singolo sito, bensì la società che gestisce i DNS: questo ha dato a chi ha perpetrato l’attacco la certezza di una pervasività decisamente superiore della sua azione.
Due lezioni da trarre, tra IoT e ridondanza
Da quanto accaduto ci sono tuttavia almeno un paio di lezioni da trarre.
La prima è che il tema della sicurezza nell’ambito IoT non è adeguatamente affrontato.
La seconda, più pragmatica, è che è più che mai necessario pensare a dotarsi di una infrastruttura ridondante: non è certo un caso che i siti che accanto ai server DNS di Dyn ne hanno aggiunto altri gestiti da altri provider non hanno subito interruzioni del servizio.
È evidente che questo aggiunge complessità e anche costi, tuttavia proprio la specificità dell’attacco è quella che porta oggi a considerare la diversità geografica e architetturale come un’opzione irrinunciabile.
Secondo Akamai, che in queste ore ha operato con Dyn per risolvere il problema, è più semplice pensare alla ridondanza che a rendere effettivamente sicuro tutto quanto ruota intorno al mondo dell’Internet delle Cose. Webcam, termostati, persino i dispositivi di sorveglianza da remoto dei neonati, sono tutti dispositivi connessi ai quali non sono state applicate le benché minime protezioni, fosse solo una password di accesso.
Ma se questo tipo di attacchi è il “new normal”, è bene che le aziende comincino ad attrezzarsi per rispondervi in modo adeguato.