L’attacco dei tostapane che ha paralizzato internet

Mirai si diffonde da solo sfruttando la pessima sicurezza dei dispositivi connessi

In tilt siti come Twitter, Netflix, Reddit, CNN e molti altri

lanimadeltostapaneVenerdì 21 ottobre, gran parte di Internet è diventata inaccessibile: sono andati in tilt siti popolarissimi come Twitter, Netflix, Reddit, CNN e molti altri. Non per un guasto, ma per un attacco, effettuato con una tecnica molto particolare: gli aggressori hanno preso il controllo di un elevatissimo numero di telecamere, videoregistratori digitali, tostapane, forni a microonde e lavatrici connessi a Internet e li hanno indotti a inondare di traffico dati un fornitore di servizi, Dyndns. Dyndns è un servizio che “trasforma” in tempo reale l’indirizzo digitato nella barra di ricerca di un comune browser (Internet explorer o firefox per esempio) in una sequenza di numeri (indirizzo ip) per far sì che ci si connetta alla pagina internet richiesta. E’ molto più semplice scrivere e ricordare ad esempio www.google.it che una sequenza di numeri…
Ma torniamo al nostro attacco: saturando Dyn, questa rete di dispositivi (botnet) ha mandato in crisi i sistemi di risoluzione dei nomi dei siti. Le stime aggiornate, a una settimana dall’attacco, parlano di circa centomila dispositivi comandati a distanza tramite un malware denominato Mirai, che si diffonde da solo sfruttando la pessima sicurezza dei dispositivi connessi a Internet, in particolare contenenti componenti di rete fabbricati dalla marca cinese XiongMai Technologies, che hanno password di amministrazione banali, fisse e non modificabili ma soprattutto note a chiunque, come admin, 123456 o password. Il malware, in sintesi, entrava in questi dispositivi dalla porta principale tentando un breve elenco di password standard fino a trovare quella giusta e poi iniziava a trasmettere dati in quantità verso Dyn e altri bersagli, saturandoli.

Come funziona Mirai

Avete presente la tanto strombazzata Internet delle Cose, che consente a frigoriferi, forni, caloriferi, macchine del caffè, tostapane e chi più ne ha più ne metta, di collegarsi a Internet?
Potenzialmente si tratta di tanti dispositivi che, una volta infettati da Mirai, entrano a far parte di una botnet, cioè una rete sotto il controllo di criminali informatici e pronta a lanciare attacchi DDOS (trasmissione di pacchetti di dati in quantità molto elevata verso lo stesso server).
Mirai passa al setaccio Internet andando a caccia di apparecchi IoT (Internet of Things, internet delle cose…). Quando ne trova, verifica se nome utente e password di accesso al software di gestione siano quelli predefiniti di fabbrica. E, se è così, entra nella memoria e la infetta. Mirai si elimina facilmente, basta resettare l’oggetto in questione e in automatico verrà “sganciato” dalla botnet.
Il problema però è che Mirai sonda di continuo la rete alla ricerca di nuovi dispositivi da infettare e quindi il nostro tostapane verrebbe nuovamente hackerato. Basterebbe semplicemente entrare nel nostro dispositivo e modificare i parametri di accesso, operazione però per lo più impossibile da fare per le limitazioni dell’apparecchio stesso o comunque troppo difficile da eseguire dall’utente medio.
Insomma tutto alla fine si riconduce alla solita, stupida, ridicola presenza di password deboli.

Luca Pietropaolo

Condividi l'articolo
Redazione
Tropeaedintorni.it nasce come sito web indipendente nel 1994 e, dal 6 dicembre 2007, diventa Testata giornalistica (reg. n° 5 presso il Tribunale di Vibo Valentia). Redazione e amministrazione via Degli Orti n° 23/25 – 89861 Tropea (VV)