In questi giorni, Internet è sulle prime pagine di tutti i giornali. A far notizia è l'attacco ad alcuni fra i più importanti siti di rete, a cominciare da Yahoo! (il più largo e più utilizzato indice sistematico di risorse Web). A seguito di questo attacco, i cui autori restano sconosciuti, numerosi siti sono rimasti per diverse ore irraggiungibili, o hanno funzionato con lentezza e difficoltà.

Se volete saperne di più su quello che è successo, sull'effettiva portata dell'attacco, sui rischi collegati alla minaccia dei 'cyberterroristi', sulla situazione italiana in materia, potete consultare il 'decalogo' di domande e risposte che abbiamo preparato e inserito nel sito di Internet 2000.

FAQ

1. Cos'è successo, in due parole?

Fra lunedì 7 e mercoledì 9 febbraio, alcuni fra i più importanti siti americani, a cominciare da Yahoo! (il più largo e più utilizzato indice sistematico di risorse Web), hanno denunciato rallentamenti o sospensioni del servizio causate da un attacco informatico proveniente da sconosciuti.

2. Di che tipo di attacco si è trattato?

A quanto pare, si è trattato di un attacco basato sul meccanismo del 'Denial of Service' (DoS - sigla da non confondere con quella del vecchio sistema operativo a caratteri della Microsoft!). Per capire di cosa si tratti, occorre qualche informazione di base.

Normalmente, quando un computer vuole verificare che un altro computer in rete sia attivo, può inviare verso quest'ultimo un piccolo 'pacchetto' di dati. Quest'operazione in gergo si chiama 'ping'. Il computer interrogato risponde 'rimbalzando' ('pong') verso il computer di origine il pacchetto di dati ricevuti, segnalandogli in tal modo di essere attivo e raggiungibile.

Negli attacchi di tipo DoS, il computer attaccato può essere bersagliato in rapidissima successione da migliaia e migliaia di 'ping', provenienti magari - come vedremo tra breve - da più computer diversi. A ognuno di questi 'ping', deve rispondere con un 'pong'. Questa attività, che nel caso di un singolo 'ping' richiede al computer risorse trascurabili, finisce per impegnarlo a tempo pieno quando i 'ping' inviati sono così numerosi e continui. In tal modo, il computer 'non ha più tempo' per rispondere ad altre richieste, e in particolare a quelle dei navigatori che cercano di visualizzare le pagine Web da esso ospitate. Inoltre, il flusso di dati generati da questo 'ping-pong' può intasare le linee dati, con l'effetto di poter rallentare anche altri siti che magari non sono direttamente sotto attacco, ma che condividono con il computer attaccato alcune linee di collegamento.

Oltre che con un 'ping', il computer attaccato può essere bersagliato anche da richieste di accesso di altro genere: ad esempio una normale richiesta di accesso alle pagine web del sito, inviata però da un indirizzo di rete 'finto'. In questo caso il computer attaccato cerca di rispondere alla richiesta che ha ricevuto, ma non trova nessuno a cui inviare i dati. Prima di rinunciare all'invio, deve tuttavia aspettare un certo periodo di tempo, giacché - dal suo punto di vista - il computer richiedente potrebbe essere semplicemente difficile da raggiungere per un normale intasamento delle linee di trasmissione dati. Durante quest'attesa, il computer attaccato lascia 'aperto' un canale di comunicazione verso l'indirizzo dal quale crede di aver ricevuto la richiesta, impegnando una parte delle sue risorse nel tentativo di stabilire il collegamento. Anche in questo caso, se le richieste sono poche questo non crea alcun problema, ma se sono moltissime il computer sotto attacco finisce per non avere più a disposizione le risorse necessarie a rispondere alle richieste legittime di un normale navigatore.

3. Ma quanti e quali esattamente sono stati i siti sotto attacco?

L'elenco comprende, oltre al sito di Yahoo!, i siti di alcuni altri 'colossi' della rete, come CNN, Amazon.com, E*trade, ZDNet, eBay (che proprio in questi giorni debuttava sul mercato borsistico), ed altri. Occorre tuttavia evitare di allargare indiscriminatamente questa lista a tutti i siti che per un motivo o per l'altro hanno avuto qualche problema di raggiungibilità nei tre giorni in questione. Infatti, in particolare l'8 e il 9 febbraio, vi sono stati anche alcuni blocchi di dorsali di rete che sembrano imputabili a 'normali' malfunzionamenti.

4. Chi è il responsabile dell'attacco?

Sicuramente, il responsabile materiale è uno dei molti programmi 'maligni' creati specificamente per inviare in maniera automatica e selvaggia 'ping' o richieste di altro tipo verso un determinato server. In molti casi, questi programmi sono divisi in due moduli: un modulo 'master' (sul quale opera chi conduce l'attacco), utilizzato per attivare uno o più moduli 'schiavi', infiltrati su computer di utenti inconsapevoli. L'attacco vero e proprio viene sferrato - su incarico del modulo master - dai moduli schiavi, lasciando così nell'ombra il vero assalitore (e moltiplicando l'efficacia dell'attacco, dato che i moduli schiavi possono essere anche centinaia). Di programmi di questo genere ne esistono diversi, con caratteristiche differenti e nomi criptici o evocativi: Trinoo, Tribe Flood Network, Tribe Flood Network 2K, Stacheldraht, Tfn-rush...

Naturalmente, il vero responsabile è chi ha disseminato i moduli 'schiavi di questi programmi e li ha poi attivati, indirizzandoli verso i loro bersagli. Al momento, non si hanno indizi effettivi su chi sia stato: nonostante il numero dei siti colpiti, può trattarsi comunque anche di un piccolo gruppo di persone, dato che come abbiamo visto l'attacco, una volta avviato, viene materialmente condotto da dei programmi, non da delle persone.

5. Non basta scoprire l'indirizzo dal quale è partito l'attacco, per identificare il responsabile?

In genere no, per due motivi: in primo luogo, perché come abbiamo visto l'attacco può essere condotto anche utilizzando come 'trampolini di lancio' i computer di utenti inconsapevoli e innocenti, computer ai quale chi ha progettato l'attacco abbia in qualche modo accesso (perché poco sorvegliati fisicamente, o - più spesso - perché non adeguatamente difesi a livello software da intrusioni esterne condotte attraverso la rete) e sui quale abbia installato i moduli schiavi del programma 'assalitore', magari programmati per un'attivazione a tempo. È probabile che l'offensiva dei giorni scorsi sia stata realizzata proprio in questo modo, attraverso un discreto numero di programmi schiavi 'infiltrati' su computer di utenti (o di società e aziende) inconsapevoli, e attivati poi tutti insieme al momento dell'attacco. In secondo luogo, perché il responsabile dell'attacco può cercare, con varie tecniche, di 'nascondere' l'indirizzo di rete del computer che sta utilizzando; in quest'ultimo caso, come si è accennato, l'attacco può essere ancora più efficace, perché il computer attaccato impegna risorse anche per aspettare inutilmente di contattare il computer dal quale crede di aver ricevuto la richiesta, oppure rimbalza la sua risposta verso un computer che in realtà non gli ha mai chiesto nulla, e che può a sua volta rispondere a questo messaggio inatteso, aumentando ulteriormente il traffico (e la confusione).

Sia in un caso sia nell'altro (e probabilmente nell'attacco di questi giorni sono state utilizzate entrambe le tecniche), l'individuazione dell'attaccante non è dunque immediata, ma può richiedere un lungo lavoro di intelligence. Tuttavia, è difficile lavorare in rete riuscendo a cancellare tutte le tracce di quello che si è fatto, e - soprattutto negli Stati Uniti - l'intelligence incaricata di queste indagini ha esperienza e capacità notevoli. Non è detto, insomma, che sia necessariamente impossibile risalire ai responsabili dell'attacco.

6. Qual è la motivazione dell'attacco?

Difficile dirlo, senza sapere chi ne sia il responsabile. Spesso azioni di questo genere hanno uno scopo dimostrativo: far vedere le capacità informatiche di chi ha condotto l'attacco, oppure 'manifestare' (in maniera certo non condivisibile) il proprio disaccordo con le posizioni o la politica di rete delle società responsabili dei siti attaccati. Nel caso in questione sono state avanzate in rete numerosissime ipotesi, delle quali è difficile valutare l'attendibilità: da un attacco generale al volto 'commerciale' della rete, a speculazioni di borsa legate all'andamento di alcuni titoli tecnologici; da una reazione alla liberazione di Kevin Mitnick, un hacker quasi leggendario uscito dal carcere a fine gennaio dopo cinque anni di detenzione, a una manovra ordita in realtà della stessa intelligence statunitense per facilitare l'approvazione di una legislazione che ne rafforzi il potere di controllo sull'attività di rete; da un'esercitazione di 'cyberterrorismo' da parte di una potenza straniera, al puro divertimento individuale. In assenza di prove, si tratta comunque solo di speculazioni.

7. Quanto sono pericolosi gli attacchi di questo tipo?

A differenza di altre forme di 'hackeraggio' di siti in rete, nelle quali vengono effettivamente modificati o cancellati dei dati (ad esempio delle pagine Web) presenti sul computer attaccato, un attacco di tipo DoS non determina alcuna perdita di dati sul server. Tuttavia, la non funzionalità del server, anche se per brevi periodi, può comportare in molti casi un danno anche considerevole. Basti pensare ai danni economici (e di immagine) derivanti dalla non operatività di siti di commercio elettronico o di trading borsistico on-line, o al pericolo rappresentato dal blocco dell'operatività in rete di computer militari o governativi.

8. Cosa devo fare io per difendermi?

Questo tipo di attacchi difficilmente riguarda (se non indirettamente) l'utente finale, o i siti piccoli o medi. Più che preoccuparsi di attacchi di questo tipo, gli utenti privati dovrebbero preoccuparsi di utilizzare regolarmente un antivirus aggiornato che li difenda dai virus. In ogni caso (e con riferimento alla minaccia portata da programmi in realtà un po' diversi da quelli responsabili degli attacchi DoS) chi utilizzi molto la rete e in particolare strumenti come le chat, e si senta particolarmente vulnerabile agli attacchi, può - volendo - installare un programma in grado di analizzare il traffico indirizzato dall'esterno verso le 'porte' del proprio computer, e di bloccare automaticamente il traffico 'sospetto'. Fra questi programmi ricordiamo ad esempio, per Windows 95/98, l'ormai vecchiotto ma ancora utile Nuke Nabber (http://www.dynamsol.com/puppet/nukenabber.html). Attenzione, però, al fatto che questi programmi possono talvolta compromettere la stabilità del sistema.

Una precauzione che dovrebbe invece essere seguita da tutti gli utenti, qualunque sia il loro sistema operativo, è quella di controllare periodicamente la disponibilità di moduli aggiuntivi (patch) del sistema operativo stesso, in grado di risolvere eventuali problemi di sicurezza che fossero nel frattempo venuti alla luce. Questi moduli sono di norma disponibili sul sito della casa produttrice del sistema operativo utilizzato.

Chi gestisce invece un vero e proprio server collegato alla rete, anche se questo server ospita un sito web relativamente 'piccolo', dovrebbe sempre preoccuparsi della configurazione del relativo firewall, il programma che controlla gli accessi esterni non autorizzati, e verificare di aver sempre disabilitato gli eventuali account 'standard' che possono consentire la gestione esterna del server, o di avere almeno modificato le relative password.

È bene ricordare che la maggior parte dei firewall (e anche numerosi programmi di protezione individuale) consentono di impostare una lista di indirizzi di computer di rete le cui richieste vengono 'ignorate' dal nostro server: se ci trovassimo a sospettare attacchi o intenzioni ostili da parte di un computer del quale conosciamo l'indirizzo di rete, possiamo utilizzare questo strumento per neutralizzare la minaccia.

Nel caso di siti di una certa dimensione, o contenenti dati particolarmente sensibili, gli amministratori di sistema farebbero bene a individuare e installare alcuni programmi specifici di protezione contro attacchi esterni di tipo DoS. Informazioni al riguardo (e i programmi da scaricare) sono disponibili ad esempio sul sito del National Infrastructure Protection Center statunitense, all'indirizzo http://www.fbi.gov/nipc/trinoo.htm, o sul sito dell'azienda statunitense Packet Storm, specializzata in sicurezza informatica, all'indirizzo http://packetstorm.securify.com/. Un altro sito che può essere tenuto d'occhio per essere informati su programmi per migliorare la sicurezza di rete è http://www.securiteam.com/. Si tratta, lo ripetiamo, di strumenti che interessano l'amministratore di sistema di un server 'a rischio', e non l'utente individuale.

Un'ultima, fondamentale raccomandazione: quando dovete scegliere una password, per qualsiasi scopo, sceglietene una che non sia troppo facile da indovinare, non datela in giro (e non lasciatela appiccicata al monitor del vostro computer!), e magari cambiatela di tanto in tanto.

9. Cosa deve fare la società per difendersi?

Mentre attacchi DoS come quelli di questi giorni riguardano solo indirettamente l'utente finale della rete, essi possono risultare pericolosi per le grandi aziende e dunque per l'economia del paese, nella quale il commercio elettronico e il trading borsistico on-line giocano ormai un ruolo di tutto rilievo, destinato peraltro a crescere sensibilmente in futuro. Inoltre, attacchi analoghi (o di altro genere) potrebbero essere portati a siti governativi o militari, la cui piena funzionalità può essere strategicamente necessaria.

Più che enfatizzare i rischi connessi alla figura 'maledetta' e in fondo un po' romantica dell'hacker, si devono dunque prendere sul serio le minacce rappresentate dal sabotaggio industriale di rete, dall'uso della rete da parte della criminalità organizzata, e da quello che è stato minacciosamente (ma forse non senza motivo) battezzato come 'cyberterrorismo'. Si tratta di minacce ormai tutt'altro che fantascientifiche e che richiedono, per essere sventate, un'esperta attività di intelligence, di difesa e di prevenzione. Anche se può sembrare difficile conciliare questa attività con le esigenze di privacy e di libera circolazione dell'informazione attraverso la rete, occorre che vengano fatti i massimi sforzi per riuscirci: la garanzia alla privacy da un lato, e la sicurezza delle infrastrutture informatiche nazionali e internazionali dall'altro, costituiscono due priorità che vanno salvaguardate entrambe, per quanto difficile questo possa essere.

Nonostante la presenza di esperti di grandi capacità e di centri operativi (ad esempio presso Carabinieri e Guardia di Finanza) capaci di lavorare con efficacia anche nel difficile mondo della rete, l'Italia è più indietro di altri paesi occidentali in questo lavoro di preparazione, di intelligence e di prevenzione. Occorrerà dunque - indipendentemente dalla natura e dalla portata degli attacchi di questi giorni, che non pongono al momento alcuna seria minaccia né alla nostra sicurezza, né alla nostra economia, - preoccuparsi di migliorare la capacità di intelligence e di intervento in questo campo, attraverso sforzi svolti in maniera coordinata e non dispersiva.

10. Chi sono gli hacker, e perché sono così cattivi?

Il termine 'hacker' è utilizzato - spesso a sproposito - per designare una quantità di figure diverse di 'irregolari di rete', dal Roobin Hood un po' romantico votato a scardinare sistemi di protezione dell'informazione sulla base della convinzione che ogni informazione debba essere liberamente accessibile a tutti, al giovane programmatore geniale e misconosciuto, desideroso di mostrare al mondo le proprie capacità; dal ragazzino curioso e 'smanettone' incapace di riconoscere le conseguenze e i pericoli delle sue 'azioni' di rete, al vero e proprio sabotatore, mosso da scopi ideologici o criminali.

Proprio per questa molteplicità di significati attribuiti al termine, parlare genericamente di 'hacker' è spesso fuorviante e poco informativo. Meglio sarebbe cercare di individuare di volta in volta caratteristiche, presupposti, attività, obiettivi delle tante e diverse figure di 'irregolari di rete' (spesso mossi da ragioni, se non del tutto condivisibili, almeno comprensibili e analizzabili).

10 bis. Per finire, una domanda che non c'entra niente, ma che continua a esserci posta, in continuazione, da moltissime persone: "se faccio acquisti on-line, gli hacker possono rubare il numero della mia carta di credito e andare in vacanza alle Hawaii con i miei soldi?"

Gli attacchi di questi giorni non hanno nulla a che fare con i tentativi di 'catturare' i numeri di carte di credito degli utenti di siti commerciali. In altri casi (abbastanza rari), attraverso attacchi di tutt'altro genere, sono stati effettivamente 'intercettati' in rete anche dei dati relativi a carte di credito. In generale, tuttavia, l'uso della carta di credito in rete resta abbastanza sicuro (forse più sicuro di quanto non sia l'uso della carta di credito nel negozio sotto casa!), a condizione di utilizzare siti che facciano ricorso alle tecnologie di scambio sicuro (criptato) dei dati. Tenete anche presente che, in ogni caso, 'rubare' un numero di carta di credito non basta a permettere di usarla impunemente e senza che quest'uso lasci delle tracce.

Per approfondire questo tema potete comunque consultare anche le sezioni di Internet 2000 dedicate alla sicurezza dei dati e al commercio in rete.