Mirai: la botnet che ha messo in ginocchio Internet

Il 21 ottobre 2016 siti del calibro di Amazon, Twitter, Netflix, PayPal, GitHub, non hanno funzionato per diverse ore a causa di un attacco hacker, ad opera di Mirai. Cerchiamo di capire cosa sia successo.

Innanzitutto cos’è Mirai?

Un malware che comanda una botnet IoT. Se non è ancora chiaro continuiamo la lettura.
Negli ultimi anni si sta diffondendo il fenomeno della Internet of Things, ovvero oggetti d’uso comune, come telecamere, baby monitor, router domestici, navigatori, o qualsiasi device in grado di collegarsi ad Internet.
Questi dispositivi sono spesso facilmente hackerabili. La prima cosa che fanno i malintenzionati è un bruteforce sulla password. Ovvero tentano l’accesso con password diverse, basandosi su un vocabolario delle password più comuni, facilmente reperibili in rete.
Il guaio è che questi oggetti spesso sono preimpostati con una password di default, che poi non viene cambiata, o viene sostituita con una semplice, errore abbastanza comune, quindi si riesce ad entrare nel dispositivo facilmente.
L’altro guaio è che i proprietari di questi oggetti non si accorgono di nulla. I dispositivi continuano a funzionare, ma vengono infettati da un malware, che ad un certo punto si scatenerà da dietro le quinte. Sebbene per rimuovere il malware spesso possa bastare riavviare il dispositivo, Mirai ha arruolato circa 500.000 apparecchi in pochi giorni, numero raddoppiato in due settimane.
Questo esercito costituisce una Botnet.

Cosa fa una botnet come Mirai?

Una botnet può fare più cose, ma l’uso più efficiente è un attacco DDoS. Recentemente è stato pubblicato il codice sorgente del malware su GitHub.

Cos’è un DDoS?

Partiamo dal chiederci cos’è un DoS. Sta per Denial of Service, ovvero un dispositivo invia continuamente richieste ad un server, che risponderà finchè è in grado di sopportare il carico, dopo di che va in down.
Un DDoS, ossia Distributed DoS, è quando queste richieste vengono fatte da tutti i dispositivi di una botnet. Così, se un solo dispositivo può trasmettere un certo numero di bit (che costituiscono la richiesta del servizio), 500.000 dispositivi possono fare una richiesta sporporzionata, dell’ordine dei gigabit per secondo .

Cosa ha già fatto Mirai?

Si pensa che Mirai sia la botnet autrice di diversi attacchi ormai storici.
1,1 Tbps (tera bit per secondo) al provider OVH, 620 Gbps al sito dell’esperto in sicurezza Brian Krebs e l’ultimo attacco del 21 ottobre ha reso indisponibili diversi siti.

Cosa è successo il 21 ottobre?

Mirai ha reso indisponibili i siti di molti colossi in numerosi punti in USA ed Europa, ma non è stato un attacco diretto. Non c’è stato un attacco DDoS ai server Amazon (per dirne una).
La vittima diretta è stata Dyn, gestore del DNS.
Il DNS è quel dizionario che associa un nome (come amazon.it) ad un indirizzo IP (come 178.236.6.27). Grazie all’IP, un codice univoco su Internet, siamo in grado di arrivare ad un server e visualizzare un sito.
E’ successo quindi che il servizio di traduzione di nomi in IP non è stato più disponibile, perciò i visitatori non venivano reindirizzati .

Di ZombieProcess.it

L’attacco ha infangato la reputazione di Dyn, che a febbraio del 2017 ha già perso la gestione di quasi 14.500 domini (circa l’8% del totale), secondo le stime di Dan Dahlberg, ricercatore presso la BitSight Technologies di Cambridge.

Conclusioni

Le conclusioni sono un po’ amare. Mirai non è l’unica botnet in circolazione e non è nemmeno la più potente. La sua diretta concorrente, Bashlite, sempre basata su IoT, conta all’incirca un milione di dispositivi.
Il problema diventerà sempre più serio, soprattutto perchè questi apparecchi sono fin troppo facili da forzare.
Internet è un mondo dinamico, che si muove sempre e si adatta da solo. Certi protocolli che utilizziamo oggi non sono stati scelti. Non sono pensati per la sicurezza. Semplicemente vengono utilizzati perché hanno trovato fortuna ed ora sono troppo diffusi per essere sostituiti così all’istante.
Le cose stanno sicuramente cambiando, nel senso che la cyber security comincia ad essere un requisito necessario, non un lusso per pochi, ma l’accesso ad Internet per tutti rende la rete vulnerabile.
L’impressione è che si corra una corsa contro il tempo, in cui l’intera rete è a rischio e adottare misure di sicurezza più drastiche diventa sempre più importante.