Gli hacker stanno già usando i nostri device per compiere attacchi informatici

Degli hacker stanno approfittando di alcune serie vulnerabilità nella sicurezza di migliaia di device connessi alla rete - che costituiscono il cosiddetto Internet of Things (o "Internet delle cose") - e stanno costruendo degli eserciti zombie in grado di mandare offline qualsiasi obiettivo, minacciando la libertà di espressione e l'economia di internet.

Nelle ultime settimane il sito di Brian Krebs, un giornalista indipendente che indaga sul mondo del cybercrimine e del dark web, è stato colpito da uno dei più estesi attacchi nella storia della rete, compiuto da una botnet di telecamere a circuito chiuso — cosa che alcuni esperti vedono come un presagio di come sarà il futuro.

Krebs si dice scettico. "Non so cosa ci vorrà per far svegliare la comunità di internet dal suo torpore nell'affrontare questa minaccia crescente, per la libertà di espressione e per l'e-commerce. Forse ci sarà bisogno di un attacco che metta addirittura a repentaglio vite umane, che chiuda sistemi infrastrutturali fondamentali, o che impatti - per esempio - sulle elezioni nazionali."

In qualche modo, Krebs è una vittima del suo stesso successo. L'ex giornalista del Washington Post è diventato la piaga di alcuni dei più celebri cybercriminali del mondo grazie al giornalismo investigativo del suo blog Krebs on Security.

Non è la prima volta che il blogger finisce nel mirino dei cyberattacchi: già in passato è stato vittima di swatting (mandare i servizi di emergenza a casa di qualcuno fingendo che sia avvenuto un fatto grave), per esempio. Nei mesi scorsi, ancora, qualcuno gli ha addirittura mandato dell'eroina a casa. Questa settimana, invece, è stato colpito da un attacco DDoS che ha mandato il suo blog offline per giorni, e che ha portato la società che difende il suo sito a interrompere il servizio perché gli sarebbe costato milioni di dollari.

Malgrado il sito di Krebs non sia nuovo ad attacchi DDoS, questo in particolare è stato diverso da qualsiasi cosa mai vista prima. Ed è un segnale non solo per i giornalisti investigativi, ma per l'intero mondo online.

Gli attacchi DDoS funzionano sommergendo i server che ospitano il sito preso di mira facendogli arrivare con così tanto traffico da renderlo inaccessibile: basti pensare al fatto che attacchi da meno di 10 gigabit al secondo (Gbps) possono tranquillamente mandare offline piccoli siti senza particolari protezioni.

Quello contro il sito di Krebs, invece, è stato di 620 Gbps.

Un attacco di questa entità non è una cosa nuova, ma è tra i più grandi mai registrati, tanto che dietro aggressioni di questo genere c'è solitamente la regia di entità statali — ma non in questo caso.

I device usati per sommergere un sito con del traffico durante un attacco DDoS sono generalmente dei PC compromessi grazie a dei malware, e che diventano parte della cosiddetta botnet —una sorta di esercito formato da 'computer zombie' in grado di esser controllati da remoto.

In questo caso la botnet era costituita da device connessi a internet che costituiscono quella nota come l'Internet delle Cose — come delle semplici telecamere a circuito chiuso, che possono essere "arruolate" per un attacco.

A seconda delle diverse stime, il numero di device connessi usati in tutto il mondo entro il 2020 sarà tra i 20 e i 75 miliardi. Tutto, nelle nostre case e nelle nostre aziende, saprà presto online — a partire dai sistemi di controllo industriali, ai robot delle fabbriche, alle smart TV, ai frigoriferi, ai forni e ai termostati, nelle nostre case. Tutti strumenti, quindi, potenzialmente vulnerabili agli attacchi. E nonostante le telecamere connesse possano non avere la stessa capacità di processione dei PC, sono comunque in grado di diventare dei perfetti soldati zombie per un esercito di botnet.

"Molte di queste telecamere hanno un sistema operativo completo e hanno una connessione a internet relativamente robusta," spiega a VICE News Matthew Prince, CEO di Cloudflare, una compagnia che protegge i siti internet dagli attacchi DDoS. "Il risultato è che se sono poco sicuri, possono diventare una fonte efficace di traffico DDoS per un aggressore."

Quello della sicurezza è un problema enorme, in questo senso. La maggior parte dei device ha degli username e delle password impostate nelle fabbriche che non vengono mai cambiate quando le telecamere vengono connesse a internet — rendendole così vulnerabili.

Tutto ciò abbassa "virtualmente a zero" il costo potenziale della creazione di un esercito di botnet, afferma Krebs. "Sono risorse compromesse, l'hacker non deve far altro che perderci un tempo," spiega Krebs a VICE News.

D'altro canto, è estremamente costoso bloccare questo tipo di attacchi. Akamai, la società che negli ultimi quattro anni ha protetto a titolo gratuito il sito di Krebs, dice che continuare a respingere l'attacco della scorsa settimana gli sarebbe costato milioni di dollari — e così ha smesso di occuparsene. Lui l'ha presa con filosofia: "Non do la colpa ad Akamai per la loro decisione," ha scritto sul suo blog. "Quando è parso evidente che l'attacco iniziava a creare problemi ai clienti, mi hanno spiegato che la scelta di mollare il mio sito è stata una decisione di business, puro e semplice bussiness."

Il Project Shield di Google, un servizio di protezione gratuita contro i DDoS ideato dalla divisione Jigsaw, si è fatto avanti per fornire protezione e aiutare a riportare online il blog di Krebs, che intanto continua a subire attacchi. Per ora il suo sito rimane online, e Project Shield sta monitorando il suo traffico per identificare le macchine compromesse e informare i loro proprietari.

Krebs, tuttavia, non è il solo obiettivo della botnet: Prince ha confermato che una botnet formata quasi interamente da telecamere a circuito chiuso avrebbe attaccato alcuni clienti di Cloudflare nelle ultime settimane.

Mandare qualcuno offline, tra l'altro, non è affatto complicato: ad oggi, ci sono decine - se non centinaia - di gruppi in tutto il mondo che offrono l'accesso alla loro botnet per soli cinque dollari, e con servizi che includono anche la possibilità di mandare offline il sito di un concorrente nelle ore con più traffico, o prevenire l'accesso a informazioni vitali, o addirittura - come nel caso di Krebs - sopprimere la libertà di espressione.

"L'uso di attacchi DDoS contro i normali utenti di internet, i giornalisti e altri nella sfera pubblica, è qualcosa di seriamente preocupante," spiega a VICE News Roland Dobbins, ingegnere capo di Arbor Networks.

Krebs dice che "ci sono da anni" indizi che indicano la minaccia posta da questo tipo di attacchi, ma non è ancora stato fatto nulla di tangibile per affrontare il problema.

A dicembre 2014 un gruppo hacker noto come Lizard Squad ha mandato offline il network Xbox Live il giorno di Natale. Mentre ella notizia è rimbalzata sulle prime pagine dei giornali, il fatto che l'attacco fosse stato portato a termine usando una botnet composta da router casalinghi non è stato sottolineato abbastanza. "Abbiamo avuto sufficiente avviso," dice Krebs.

In effetti, la minaccia rappresentata dai device connessi e non protetti è stata esposta in uno studio pubblicato a febbraio 2014 dalla National Science Foundation: "Bisogna trovare un modo per distribuire programmi per la sicurezza, in prospettiva di un mondo in cui quasi tutto è connesso a internet, e molte 'cose' sono in gran parte autonome."

Non a caso, in questi mesi, hanno preso il via alcune iniziative volte a costruire un sistema collaborativo per un uso generalizzato —e alcune grandi compagnie come Microsoft, Apple e Google stanno sviluppando dei progetti individuali, il che rende difficile una 'standardizzazione'.

"Non credo che [i produttori di hardware] siano in debito verso qualcuno," dice Krebs. "Non vedono come un loro compito il doversi preoccupare della sicurezza; il loro lavoro è rendere i prodotti facili da usare e consumare."

Mentre viaggiamo verso un mondo in cui tutto - dalle case, agli uffici, agli spazzolini da denti - sarà online, gli attacchi della settimana scorsa preoccupano gli esperti.

"Probabilmente nel prossimo anno - o anno e mezzo - vedremo botnet su vasta scala in grado di colpire al cuore l'Internet delle Cose, e tutti i device tra loro connessi."

Segui VICE News Italia su Twitter, su Telegram e su Facebook