Lunedì 10 marzo il social network X ha avuto una serie malfunzionamenti a intermittenza, risultando inaccessibile per diverse ore a livello globale. Il proprietario della piattaforma Elon Musk ha attribuito i disservizi a un “massiccio attacco informatico” perpetrato da “un grande gruppo coordinato e/o da un paese“. Nel giro di poche ore un gruppo filo-palestinese noto come Dark storm team ha rivendicato la responsabilità della violazione. Ma in in un’intervista rilasciata sempre lunedì, Musk ha poi dichiarato che l’aggressione era partita da indirizzi ip in Ucraina.
L’attacco informatico contro X
Gli esperti di analisi del traffico web che hanno seguito l’incidente hanno rapidamente sottolineato che gli attacchi che hanno colpito X – di tipo Ddos (distributed denial of service) – sono lanciati da una rete di computer coordinati, una cosiddetta botnet, che generalmente “bombarda” un obiettivo di traffico indesiderato nel tentativo di sovraccaricare e mettere fuori uso i suoi sistemi. Le botnet sono tipicamente distribuite in tutto il mondo, generano traffico a partire da indirizzi ip in posizioni geografiche diverse e possono sfruttare meccanismi che rendono più difficile determinare da dove sono controllate.
“È importante riconoscere che la sola attribuzione dell’ip non è [una prova] definitiva. Gli aggressori utilizzano spesso dispositivi compromessi, vpn o reti proxy per nascondere la loro vera origine“, spiega Shawn Edwards, responsabile della sicurezza informatica presso Zayo, una società che fornisce servizi per la connettività. X non ha risposto alle richieste di commento di Wired US.
Diversi ricercatori hanno dichiarato a Wired di aver individuato cinque attacchi distinti e di durata variabile contro l’infrastruttura di X nella giornata di lunedì. Il team che si occupa di internet intelligence a ThousandEyes, una società di proprietà di Cisco che aiuta le aziende a migliorare le proprie esperienze digitali, ha detto a Wired che “durante le interruzioni, ThousandEyes ha osservato condizioni di rete caratteristiche di un attacco Ddos, tra cui una significativa perdita di opportunità di accesso che avrebbe impedito agli utenti di raggiungere l’applicazione“.
I dubbi sulla versione di Musk
Gli attacchi Ddos sono ormai un problema comune. Praticamente tutti i servizi internet moderni devono farci i conti e difendersi in modo proattivo. Come ha commentato lo stesso Musk lunedì, X viene “attaccata ogni giorno“. Ma perché allora l’ultima offensiva ha bloccato il social network? L’imprenditore ha affermato che il motivo è da attribuire alle “molte risorse” con cui è stato sferrato l’attacco. Tuttavia il ricercatore di sicurezza indipendente Kevin Beaumont e altri analisti hanno individuato prove del fatto che alcuni origin server di X – quelli che rispondono alle richieste web – non erano adeguatamente difesi dalla protezione Ddos Cloudflare in possesso dell’azienda e che risultavano visibili al pubblico. Gli aggressori hanno quindi potuto colpire direttamente i server di X (che la società ha successivamente messo in sicurezza).
Fonte : Wired
