Conclusosi il moderato psicodramma provocato dall’attacco a Twitter e ad altri siti di social networking come Facebook e LiveJournal, gli sforzi sono ora concentrati nel cercare di capire cosa sia successo in realtà. Le ipotesi si moltiplicano, così come i dubbi sulla effettiva maturità in quanto a sicurezza della piattaforma di micro-messaging più usata, e sulla fragilità dei network più popolosi usati come infrastruttura di comunicazione da aziende e privati.
Come evidenziato da più parti, Twitter è stato certamente l’epicentro di un attacco DDoS dalla portata non comune, un attacco che secondo il ricercatore di Packet Clearing House Bill Woodcock si sarebbe fatto sentire anche sui server di Google (nella fattispecie quelli di YouTube) e LiveJournal tra gli altri. La situazione è tuttora confusa e i rapporti non sono concordi nel definire la durata dell’attacco, misurata alternativamente in qualche ora o in un’intera giornata.
Secondo quanto sostiene Woodcock, il DDoS non avrebbe origine da una botnet di PC zombi istruiti per ingolfare i server con un numero irrisolvibile di query, quanto piuttosto da un’operazione di spam in cui le email spazzatura contenevano link a Twitter e agli altri siti, aprendo i quali si è scatenato il sovraccarico che ha letteralmente mandato in tilt i social network.
L’ipotesi spam viene raccolta e rilanciata dalla società di sicurezza Lumension Security, che per bocca del ricercatore Paul Henry parla del DDoS come effetto della diffusione di una nuova variante di Koobface, malware già da tempo in circolazione che ha sempre dimostrato una particolare predilezione per il social networking. “Questo malware sta utilizzando messaggi sia su Twitter che su Facebook per spedire inviti pensati per attirare potenziali vittime verso pagine web di rogue antivirus – scrive Henry sul blog della società – L’ipotesi è che l’assalto di messaggi fasulli usati per attirare gli utenti verso pagine web malevole stia in pratica sovraccaricano Twitter”.
Accanto all’ipotesi cyber-crimine c’è però chi offre spiegazioni diverse: Woodcock sostiene di aver raccolto indizi sufficienti per stabilire che l’attacco è partito dalla zona dell’Abkhazia, animata da un desiderio indipendentista osteggiato dalla Georgia ma appoggiato dalla Russia. Il DDoS sarebbe insomma la continuazione del perdurante scontro cyber-politico tra le autorità georgiane e quelle russe per il controllo della regione affacciata sul Mar Nero.
Gli esperti di sicurezza evidenziano la differenza di impatto sui diversi siti interessati, additando la “giovane” startup Twitter come esempio di scarsa matuirtà in quanto a sistemi di sicurezza ideati proprio per ridurre le conseguenze di un tentativo di DDoS. Il resto dei grandi player di rete, Google, Facebook e altri, sarebbe molto più attrezzato in casi del genere riuscendo a mitigare gli effetti dell’attacco sul medio periodo, mentre Twitter continua a fare da maglia nera della sicurezza nell’ambito dei social network più popolari.
In ultima istanza, su Wired si fa un’ulteriore speculazione sulla natura dell’attacco anti-Twitter, segno di tempi in cui i tentativi di DDoS si sono evoluti passando da un “semplice” hobby per cracker desiderosi di fama a forma di estorsione e ricatto verso le dot.com più affermate (Amazon, Yahoo!, eBay e altre), arrivando infine a pratica dalla natura sfuggente con motivazioni non necessariamente razionali (come il riscatto di cui sopra): dove ai professionisti del cyber-crimine, passati a obiettivi di più basso profilo e maggior profittabilità, sarebbe subentrata una galassia comprendente un po’ di tutto, dai criminali-wannabe in vena di esperimenti, ai personaggi più sinistri e difficili da inquadrare con precisione.
di Alfonso Maruccia tratto da PuntoInformatico