I saggi su InterLex

Siamo davvero sotto attacco?

InterLex n° 355, 20 dicembre 2006

Questo pezzo, come il lettore più attento avrà notato, è arrivato in ritardo sull'uscita del corrispondente numero di InterLex. Ma per una volta tanto ho un'ottima scusa: posso infatti credibilmente sostenere di averlo mandato per tempo usando la posta elettronica, la quale in questi giorni mostra tempi di consegna addirittura superiori a quelli della posta cartacea!

Scherzi a parte, è chiaro a tutti che da qualche parte c'è un problema: ciò su cui nessuno è d'accordo è dove sia localizzato, né quale esso sia. Dopo i primi giorni di lentezze a macchia di leopardo, durante i quali ciascun utente della Rete dava la colpa dei disservizi all'inefficienza del proprio provider, si è scoperto che i problemi li avevano più o meno tutti. A questo punto i provider si sono detti "mal comune mezzo gaudio" ed hanno denunciato all'unisono misteriosi attacchi DDoS (Distributed Denial of Service) contro i DNS, mentre sui forum ed i newsgroup i soliti bene informati puntavano il dito sulla famosa "mail dell'avvocato" responsabile di diffondere nefandi malware. Alcuni analisti tuttavia preferivano dare la colpa ad un'insufficiente crescita di capacità della connessione ATM fornita agli ISP dall'ex-monopolista Telecom a fronte di un indiscriminato aumento dell'offerta commerciale per servizi a banda larga, mentre i media generalisti, ansiosi come al solito di poter screditare Internet agli occhi dell'uomo comune, profetizzavano apocalitticamente la fine stessa della Rete, la quale starebbe ormai per implodere sotto il suo stesso peso non essendo più in grado di assicurare l'efficienza della propria infrastruttura.

La verità molto probabilmente non la conosceremo mai, ma quasi certamente sta come al solito nel mezzo: la colpa dei disservizi di dicembre è dunque data verosimilmente da una combinazione di questi fattori e forse di altri ancora, quali ad esempio le sciocche politiche protezionistiche di alcuni ISP che impediscono ai propri utenti di utilizzare DNS posti all'esterno della propria rete, o la scarsissima attenzione rivolta dai fornitori di connettività verso la sicurezza dei client dei propri abbonati che consente la proliferazione incontrastata di eserciti di zombie dediti all'invio di spam e malware.

Proviamo allora a mettere insieme i vari pezzi e cerchiamo di ricostruire cosa sta succedendo sulla Rete italiana in questo periodo. Per farlo occorre tornare indietro nel tempo di ben sei mesi, quando sulla grande Internet iniziò a diffondersi il primo (e fortunatamente unico, almeno per ora) esemplare di una nuova generazione di malware straordinariamente sofisticato. Si trattava del cosiddetto "SpamThru", un trojan insidiosissimo veicolato tramite i canali P2P e meticolosamente ingegnerizzato al preciso scopo di trasformare la propria vittima in uno zombie, ossia un computer "impossessato" da utilizzare per spedire tonnellate di spam contro la sua volontà ed all'insaputa del suo proprietario. Nulla di nuovo sotto al sole, in un certo senso: già da parecchio tempo, infatti, gli spammer utilizzano virus o trojan per costringere computer altrui ad inviare posta indesiderata. Tuttavia SpamThru, grazie ad alcune caratteristiche estremamente innovative, ha portato quest'attività verso traguardi di perfezione mai raggiunti prima.

Tanto per cominciare, i computer infettati da SpamThru sono organizzati in una botnet (letteralmente, "rete di robot") assai più sofisticata di quanto avvenga in casi analoghi. I partecipanti (o bot) sono infatti organizzati in tante sottoreti costituite da 512 elementi al massimo, all'interno delle quali essi comunicano tra di loro mediante un apposito protocollo peer-to-peer. Ciascuna sottorete comunica inoltre, come un tutto unico, con un server centrale di controllo che non si limita ad inviare i propri ordini, ma riceve da essa informazioni di stato e statistiche di attività. Questo duplice livello di networking non solo assicura un'elevatissima efficienza globale della comunicazione tra server e zombie, ma soprattutto garantisce alla rete la capacità di rimanere integra e funzionante anche in seguito ad attacchi e tentativi di disabilitazione dei singoli client o dei canali di comunicazione verso il server.

Al contrario dei soliti spambot, che si limitano a rilanciare a molteplici indirizzi tante copie conformi dei messaggi di spam ricevuti dal server centrale, SpamThru contiene al suo interno un vero e proprio spam engine in grado di confezionare localmente i messaggi di spam. Esso infatti riceve dal server solo un template (oltretutto tramite un canale cifrato con crittografia forte) e poi provvede localmente a generare i messaggi veri e propri e ad inviarli ai destinatari. In questo modo ciascun bot può elaborare liste di indirizzi diverse, ma soprattutto produrre copie differenti dei medesimi messaggi al fine di eludere i controlli dei motori antispam dei destinatari. In effetti SpamThru applica ai propri messaggi ben tre meccanismi anti-antispam: innanzitutto il messaggio di spam viene generato sotto forma di immagine GIF col testo scritto in modo irregolare, così da poter essere letto da un destinatario umano ma non da un computer e quindi sfuggire ai filtri testuali automatici; in secondo luogo ciascuna GIF prodotta viene resa differente da tutte le altre mediante l'inserimento di pixel casuali, in modo da eludere i controlli basati sui checksum degli allegati; infine il messaggio "portante" è un elenco sempre diverso (casuale) di parole plausibili, in modo da confondere i filtri antispam di tipo bayesiano e da inquinare nel contempo le loro reti di inferenza per ridurne l'efficienza globale. Il vantaggio di far svolgere tutte queste operazioni ai bot è ovvio: si sfrutta la capacità di calcolo di ciascun singolo client per poter produrre milioni di messaggi tutti differenti l'uno dall'altro in una frazione del tempo che sarebbe necessario se la generazione dovesse avvenire sull'unico server centrale di controllo.

Ma non è finita qui. Come fanno molti suoi colleghi, anche SpamThru cerca di assicurarsi la propria sopravvivenza inibendo eventuali antivirus presenti sul computer vittima o impedendo loro di ricevere gli aggiornamenti dal produttore. Tuttavia per assicurarsi di essere il solo incontrastato "padrone" della macchina, il malvagio ospite ricorre persino ad un noto antivirus commerciale (Kaspersky AntiVirus for WinGate), che provvede a scaricare dal proprio server di controllo in versione appositamente craccata, per "ripulire" il computer da eventuali altri concorrenti indesiderati quali virus o trojan che potrebbero interferire con le sue attività!

Per tali sue caratteristiche molti esperti ritengono che SpamThru sia il principale responsabile dell'enorme incremento di spam rilevato su tutto il pianeta a partire dall'autunno 2006, con livelli medi costantemente superiori rispetto a quelli dei tre mesi precedenti per fattori variabili tra il 35 ed il 450 per cento. È certo inoltre che la botnet di zombie controllata mediante SpamThru superi i 70.000 computer, e sia diffusa in oltre 160 nazioni del mondo. Il server di controllo (ce n'è in effetti più d'uno...) si trova in Russia, ed è gestito da un'organizzazione criminale che oltretutto non si limita semplicemente ad usare la botnet per mandare il proprio spam (il quale è solitamente di tipo "pump&dump", ossia finalizzato a far acquistare azioni di un titolo di borsa sconosciuto ma di cui si annuncia l'immediato successo) ma rivende l'utilizzo della rete ad organizzazioni terze che la utilizzano per veicolare i loro malware!

Ebbene, tra gli ultimi giorni di novembre ed i primi di dicembre, su questa situazione già sufficientemente problematica si è venuta ad inserire una doppia minaccia altrettanto micidiale, ancorché limitata al solo territorio italiano. Si tratta della famosa e famigerata "lettera dell'avvocato", che poi in realtà erano due messaggi distinti, veicolati a diversi giorni di distanza, e caratterizzati da contenuti diversi e payload leggermente differenti. Il primo aveva la forma di una lettera di protesta da parte di uno studio legale che asseriva di aver ricevuto uno spam pornografico da parte della vittima; il secondo appariva invece come la richiesta del pagamento di una fattura insoluta a fronte di prestazioni legali. Entrambi erano astutamente congegnati in modo da sembrare del tutto plausibili, e soprattutto non portavano con sé l'agente di attacco ma inducevano la vittima a scaricarlo manualmente da un sito ritenuto sicuro. Questo fatto, unito alla circostanza che il malware da scaricare era stato scritto per l'occasione e dunque non era preventivamente noto agli antivirus, ha fatto sì che una gran quantità di destinatari sia caduta nell'inganno e si sia infettata con il trojan Adware.BHO.BK, anch'esso finalizzato all'invio di spam e di messaggi non desiderati.

Questa pandemia ha sicuramente provocato nel nostro Paese un'ulteriore ondata anomala di spam che, andando a sommarsi a quella già straordinariamente pesante causata da SpamThru, ha finito col provocare rapidamente la congestione dei server di posta di moltissimi provider. Questa ha provocato, come effetto collaterale, la congestione dei principali DNS, i quali sono stati sollecitati all'inverosimile per risolvere non solo le centinaia di milioni di indirizzi dei destinatari dello spam, ma anche per innescare i meccanismi antispam basati sulle verifiche degli indirizzi dei mittenti. A sua volta, per effetto domino, la congestione dei DNS ha provocato la paralisi di tutti gli altri servizi della Rete, dal Web in poi, in quanto tutti fortemente dipendenti dalla pronta risoluzione degli indirizzi IP dei corrispondenti. E come se non bastasse ciò ha provocato un'enorme quantità di traffico non desiderato (tutti i retry dei client le cui richieste scadevano per indisponibilità dei server...) il quale ha ulteriormente contribuito a saturare i backbone di comunicazione nazionali, già non particolarmente sovradimensionati e soprattutto già afflitti in primo luogo dallo spam. Il risultato, in un apocalittico scenario da medioevo prossimo venturo, è stato sotto gli occhi di tutti per diversi giorni: rete "piantata", sessioni "appese", messaggi di posta recapitati dopo ore o giorni dall'invio.

Probabilmente il cedimento della Rete nel nostro Paese è stato solo questo: una concausa di diversi fattori, non necessariamente tutti tecnici, aggravata dalla tipica inefficienza di molti dei nostri provider e dalla mancanza di comunicazione e cooperazione tra tutti gli operatori del settore. Non un attacco premeditato all'infrastruttura, insomma, anche se l'effetto è stato comunque micidiale. All'origine di tutto c'è probabilmente la perversa interazione tra spam e malware, che porta l'uno a moltiplicare la diffusione dell'altro e viceversa; ma il vero fattore critico è in realtà la scarsissima attenzione riposta dai provider verso le esigenze di sicurezza dei propri utenti, che sono viste come un problema dei singoli mentre invece riguardano l'intera società.

La situazione sembra normalizzarsi solo in questi ultimi giorni, dopo che tutti sono corsi più o meno rapidamente ai ripari adottando contromisure per la riduzione dei problemi. Ma ancora non sembra tutto perfettamente a posto, e soprattutto non sappiamo quanto durerà: tra una settimana Internet vivrà infatti il suo massimo picco fisiologico di traffico dovuto agli auguri per le festività di fine anno, e miliardi e miliardi di enormi immagini e pesantissimi file multimediali invaderanno inesorabili le infrastrutture di comunicazione ed i server di posta di tutto il mondo. Su una Rete già piuttosto provata ciò potrebbe scatenare un potenziale Denial of Service proveniente dall'interno dell'infrastruttura stessa.

Naturalmente tutto ciò non significa la fine di Internet. Finché ci sarà qualcuno disposto a pagare per utilizzarne i servizi, ci sarà sempre qualcun altro disposto ad ampliarne la capacità di trasmissione. Ciò andrà avanti sino alla prossima congestione planetaria, dopodiché il ciclo si ripeterà, simile a sé stesso anche se su scala diversa. È successo quando ancora Internet non c'era, e la posta viaggiava tramite il venerabile protocollo uucp tra sistemi Unix che si connettevano l'un l'altro durante la notte mediante modem analogici a 300 baud: l'introduzione dei modem a 2400 baud fece temere che le linee "non avrebbero retto" e che tutto il sistema sarebbe collassato, cosa che puntualmente non si è verificata. È successo quando ci si connetteva ad Internet in dial-up con modem a 19,2 Kbaud, ed arrivarono i modem a 56 Kbaud. È successo quando i modem a 56 Kbaud vennero sostituiti da ADSL. Sta succedendo ora che ADSL2 vuole soppiantare ADSL. Succederà ancora al prossimo cambio di protocollo o di paradigma: ma la Rete non crollerà, a meno che non ci impegniamo tutti a farla crollare sotto il peso della nostra stoltezza tecnologica. Ma questo è un discorso troppo lungo, che rimandiamo ad un'altra volta...

Saggio pubblicato su InterLex n° 355 del 20 dicembre 2006 (Anno X)
Copyright © 2006, Corrado Giustozzi. Tutti i diritti riservati.

Ultima modifica: 31 maggio 2009
Visitatori dal 6 maggio 2003: 115,588

Torna alla Pagina dei saggi pubblicati su InterLex
Vai alla Pagina dei Commenti

Copyright © 1995-2012 Corrado Giustozzi