È stato uno degli attacchi più rilevanti della storia di internet. E ognuno di noi ha contribuito, in misura più o meno minore, a portarlo a termine. Ciò che è accaduto venerdì 21 ottobre a siti come Spotify, Twitter, Reddit, Netflix e AirBnB, New York Times (ma ne sono molti di più che sonorimasti inaccessibili per diverse ore) è il risultato di una mole di dispositivi connessi alla rete sempre più grande. Quando una cospicua parte di questi non è adeguatamente sicura, vale a dire i nuovi oggetti dell’Internet delle Cose, il rischio è che un attacco di questo tipo possa essere riproposto altre volte. Per ora sono stati colpiti televisori, termostati e altri oggetti casalinghi; in un altro attacco futuro a rischio potrebbe essere le auto sempre più connesse e le conseguenze potrebbero essere peggiori.

L’attacco ha coinvolto soprattutto gli Stati Uniti, ma anche parte dell’Europa, e il governo USA sta indagando sulla questione. Sono arrivate rivendicazioni da due gruppi hacker come New World Hackers e Anonymous, ma saranno le indagini a stabilire chi sono davvero i colpevoli.

Gli hacker non hanno attaccato direttamente i siti che sono andati “down”, ma i sistemi di un’azienda, Dyn, che smista e indirizza il traffico col sistema dei DNS (Domain Name System). Dyn, per dirla con parole semplici, è una sorta di “rubrica del web”, un enorme elenco telefonico che mette in corrispondenza i nomi di dominio (per esempio http://it.ibtimes.com) con gli indirizzi IP dei dispositivi collegati. Chiaramente non esiste solo Dyn come gestore DNS al mondo, ce ne sono centinaia, ma le grandi società di affidano a grandi aziende per essere sicuri che il traffico sui loro siti sia smistato a dovere.

In questo caso è stata creata quella che si chiama “botnet”, un esercito di decine e decine di milioni di dispositivi connessi a internet, infettati dal malware Mirai, che si comportano come “zombie”, facendo esattamente quello che gli dice di fare il padrone. In questo caso di contattare a milioni i DNS di Dyn, e con tutti questi accessi i popolari siti che fanno riferimento a questa “rubrica del web” non hanno retto. Una botnet può addirittura essere affitattata dai 5 ai 200 dollari all’ora, dipende dalla grandezza dell’attacco.

Il malware Mirai esiste da tempo e il suo codice è stato già pubblicato diverse volte su vari forum. Cerca su internet tutti i dispositivi IoT infettandoli, riuscendo ad accedervi creando lunghi elenchi di password diffuse (sì, alcuni usano la parola “password” come password). Violati i dispositivi, questi possono essere controllati a distanza.

Al centro della questione ci sono, secondo le prime ipotesi, videocamere di produzione cinese scarsamente sicure e installate in vari oggetti dell’Internet delle Cose: le smart TV, ad esempio. Poiché sono integrate in un prodotto più grande, queste videocamere non possono essere aggiornate in un secondo momento. L’unica barriera difensiva sono le credenziali di accesso di default: scoperte quelle, non c’è nient’altro fra un hacker e la compromissione dell’oggetto.

Dopo l’attacco, la società cinese XiongMai Technologies ha confermato a CNN che alcuni dei suoi prodotti, come videocamere di sorveglianza, sono state compromesse dal software Mirai, usato dagli hacker per scovare, in tutto il mondo, dispositivi con bassa protezione contro gli attacchi informatici.

LEGGI ANCHE:LeEco presenta l’elettrica autonoma: dobbiamo credere all’azienda cinese?

Un termostato “smart” di Nest: un esempio di dispositivo casalingo connesso alla rete REUTERS/George Frey

Non si è trattato di un attacco di phishing: nessuna informazione personale è stata rubata. Il Distributed Denial of Service, noto anche come DDoS, è un tipo di attacco volto a buttare giù un server o un servizio. E questa volta ci sono riusciti appieno.

Dicevamo che ognuno di noi ha contribuito a questo attacco perché ogni anno che passa, ogni prodotto connesso a internet che compriamo potenzialmente amplia la rete di dispositivi non sicuri e che possono essere sfruttati dagli hacker per attaccare reti internet o server. In particolare, il dito punta verso i dispositivi dell’Internet delle Cose che, secondo alcuni analisti, arriveranno a 6,4 miliardi entro la fine di quest’anno, il 30% in più del 2015.

Sono comodi e ci permettono di avere una vita più facile: correggere la temperatura della casa mentre siamo fuori, aggiustare la luce della lampadina, ordinare automaticamente un prodotto quando si è esaurito in frigorifero. Bisogna però fermarsi un attimo a valutare la sicurezza di questi dispositivi.

LE POSSIBILI SOLUZIONI

L’utente può e deve essere più accorto, ma ci vogliono accertamenti alla fonte; da parte dei produttori e, se necessario, dei governi. Alcune soluzioni le suggerisce l’esperto informatico Brian Krebs: “Abbiamo bisogno di un’associazione di sicurezza per l’intera industria, con standard chiari a cui aderiscano tutti i membri e controlli periodici. I grossisti e i rivenditori al dettaglio di questi dispositivi potrebbero così essere incoraggiati a spostare la propria attenzione verso l’acquisto e la promozione di dispositivi connessi che abbiano il sigillo d’approvazione di questa associazione. Anche i consumatori verrebbero istruiti a cercare questo sigillo”.

Più controlli. E non fra un anno o due. Ora. Il rischio è che il mercato commerciale vada molto più veloce di quello burocratico. Che si arrivi ad avere 10, 15 miliardi di dispositivi dell’Internet delle Cose connessi alla rete prima che ci sia una regolamentazione chiara rispetto alla necessaria sicurezza che devono avere.

Ci saranno comunque altri attacchi, probabilmente. Ma potremmo scoraggiare gli hacker più piccoli o perlomeno limitare la portata di questo tipo di attacchi, sempre più pericolosi. Certo, usare password o passphrase diverse per servizi diversi può sempre far bene, quindi anche gli utenti possono e devono fare la loro parte. Ma sta soprattutto ai produttori e governi rilasciare prodotti supportati per quanto riguarda la sicurezza e per i secondi regolamentare una giungla di dispositivi che sta diventando sempre di più un esercito silenzioso e pericoloso nelle case degli utenti.