Perché l'attacco DDoS al sito della "Novaja gazeta" entrerà nella storia della Runet [1]
05.04.2013
L'attacco al portale della "Novaja gazeta" è iniziato domenica 31 marzo. Il turno di notte dei collaboratori, tra i cui compiti rientra mettere gli articoli del nuovo numero nel sito, ha perso l'accesso all'"amministratore", l'interfaccia di redazione o, semplicemente, il rovescio del sito alle 21.50, ora di Mosca. Come dire che la comunicazione degli specialisti tecnici sull'inizio di un attacco DDoS al portale ha costretto la redazione della "Novaja gazeta" a strapparsi i capelli dal terrore – a sfogarsi. Il sito stesso è stato difeso e ha continuato a funzionare. La capacità di lavoro della risorsa è stata protetta da una sezione del "Kaspersky Lab", specializzato proprio nella difesa da tali minacce. Inoltre alla vigilia del 20° anniversario del giornale ci eravamo messi d'accordo con i partner di porre il regime di difesa in stato di guerra – aspettavamo un "regalino".
E come non aspettarselo? Ricordiamo la cronaca delle "azioni di guerra": il sito della "Novaja gazeta" fu attaccato a dicembre dello scorso anno (raccolta di firme contro la "Legge dei vigliacchi" [2]) e a dicembre di questo (raccolta di firme per lo scioglimento della Duma di Stato), ma è successo anche in precedenza.
I dettagli tecnici di ciò che è accaduto sono più facili da spiegare al largo pubblico con un'associazione di idee. Così ecco: aspettavamo dei teppisti e un sasso contro la finestra (e ci rallegravamo di aver messo in anticipo finestre antiproiettile), ma è arrivato in volo un meteorite.Gli analisti del "Kaspersky Lab" studieranno per circa un mese o qualcosa di più un materiale ricchissimo ricevuto nella lotta con i bot, ma ci hanno già confermato: l'attacco di aprile alla "Novaja gazeta" è senza precedenti non solo nella storia del giornale stesso, ma anche di tutta la Runet. Per molti versi ciò è legato proprio al fatto che la "Novaja gazeta" ha fatto resistenza e il solito attacco della sera del 31 marzo si è trasformato in ciò-che-ancora-nessuno-ha-sperimentato. Perlomeno in Russia.
Ma il diavolo è nei dettagli, a questo ci passeremo.
Davanti a me c'è il rapporto del "Kaspersky Lab". Facciamo attenzione alle cifre che parlano – spiegano molto. E così: in "tempo di pace" il carico medio giornaliero sul canale della "Novaja gazeta" con un'affluenza di circa 90-100 mila visitatori unici al giorno ammonta a 50 megabit/sec. Ha stabilito il record del sito l'articolo di marzo "Moskva-Jurt" [3] - 600000 visite al giorno e quasi 400000 visitatori unici del sito al giorno. Tradotto in carico del canale sono circa 350 megabit/sec. Tanto "hanno pesato" tutti i riferimenti a questo articolo e l'ha visto la maggior parte degli utenti attivi della Runet.
Per fare un paragone: il carico giornaliero medio sul canale di una grande banca russa con tutto il suo giro di documenti elettronici è di 100 megabit/sec. Adesso attenzione: il volume di carico sul canale della "Novaja gazeta" nei giorni 1-2 aprile nei periodi di picco ha raggiunto 60 gigabit. Mille volte di più dei nostri indici medi o 600 volte di più di quanto sopporti una banca con tutte le sue scritture contabili elettroniche.
Per fare un paragone: la potenza del maggiore attacco della storia (quando gli hacker attaccarono il server della compagnia Spamhaus – nota dell'autore), che "frenò" l'Internet mondiale era di 300 gigabit al secondo. Solo cinque volte di più del "meteorite" nel nostro orto.– Ci scontriamo per la prima volta con un attacco di tale potenza in Russia, – raccontano gli specialisti del "Kaspersky". – La Russia per ora non è pronta a superarli, secondo le prognosi più coraggiose attendevamo qualcosa di simile qui non prima degli anni 2014-15. In questo tempo è programmata la modernizzazione dei provider principali per non dico lottare, ma almeno trattenere tali attacchi. Il vostro caso è esclusivo. Dopo lo studio globale di questo attacco siamo pronti a rendere pubblico il caso della "Novaja gazeta". Cioè la "vigliaccata" si è effettivamente rivelata un regalo. Finiremo nei manuali!
– L'attacco era su commissione – ciò si vede da alcuni segni.In primo luogo, la sua potenza è cresciuta in proporzione alle nostre misure per trattenerla. In secondo luogo, in particolare nell'ultima sua fase, gli attaccanti sono cambiati. Quando i malintenzionati hanno capito che questo tipo di attacco non era capace di "mandare in tilt" il sito, è avvenuto un cambiamento dell'attacco, cioè l'ordine di rendere la risorsa inaccessibile ha funzionato accuratamente. Questo è stato qualcosa: hanno selezionato tutti i tipi di attacco esistenti, come se cercassero un passepartout.
– Cosa dicono le cifre?
– Quanto alla potenza. La sera del 31 marzo la potenza è stata pari a 300 megabit/sec, il 1 aprile è aumentata a 700 megabit – abbiamo preso a collegare le postazioni di filtraggio di riserva. Ma verso la metà del giorno dai provider principali (dai cosiddetti "provider per provider" – i maggiori giocatori per la trasmissione di dati, che controllano le reti chiave, quelle "principali" a fibre ottiche –n.d.a.) è giunta la notizia che il volume di traffico era diventato anomale perfino per loro: inizialmente 40, ma in seguito 60 gigabit/sec. In questo caso c'è solo un'istruzione: agli oggetti dell'attacco (il sito della "Novaja gazeta" e la risorsa che lo proteggeva ), che mettono in pericolo la capacità di lavoro dei principali canali di comunicazione, chiudono il traffico esterno. Ci hanno scollegato insieme a voi.
– Knock-out?
– Temporaneo. Siamo entrati in corrispondenza con i provider, gli abbiamo trasmesso le informazioni analitiche, dopodiché si è riusciti a filtrare tutto il traffico-spazzatura in transito. Si è riusciti a sollevare il sito, includendo un severo filtraggio.
– Come spiegare che a qualcuno il 2 aprile il sito si è aperto e a qualcuno no?
– Hanno avuto accesso al sito solo quegli utenti Internet i cui provider erano collegati direttamente al nodo moscovita di scambio di traffico. Cioè perfino ai margini di Mosca alcuni potevano vedervi e altri no.
– Ora la cosa più interessante: chi ci ha attaccato?
– Di bot-net ce n'era alcuni. Ma i nostri dati mostrano: all'inizio il 75% dei bot ha attaccato dalla Russia.Ma il 3 aprile, quando i "benevoli" hanno visto che la tattica precedente di attacchi da molti gigabit non funzionava, hanno lanciato l'ordine a bot-net di vari paesi. I bot sono distribuiti all'incirca nel seguente rapporto: al secondo posto gli USA, in seguito Ucraina, Germania, Bielorussia, Kazakistan, Israele… Beh, qui anche la geografia ha preso a cambiare, in quanto sono stati provati tutti i tipi di attacco.
– C'è una chance che il mandante dell'attacco alla "Novaja gazeta" sia comunque appurato?
– Abbiamo esperienza di scoperta di centri direzionali di bot-net.
La statistica dice che se gli esecutori di un attacco sono visibili subito, i centri direzionali si possono cercare per mesi. Chi ha ricevuto l'ordine e l'ha trasmesso probabilmente è anonimo, nei centri c'è un livello ancora più complesso. Il mandante sta ancora più in alto.– Potrete difenderci in seguito?
– Non gettiamo i nostri committenti in mezzo a una strada. Abbiamo anche appreso determinate lezioni da questo attacco, che in futuro ci aiuteranno a rendere la nostra difesa ancora più efficace.
Konstantin Poleskov, "Novaja gazeta", http://www.novayagazeta.ru/society/57539.html (traduzione e note di Matteo Mazzoni)
[1] RUsskij NET, l'Internet russofona. [2] La legge che proibisce l'adozione di bambini russi da parte di cittadini USA. Questa fu promulgata in risposta all'"Atto Magnitskij" americano, che nega il visto per gli USA alle persone coinvolte nella morte dell'avvocato russo di una società americana Sergej Leonidovič Magnitskij. [3] Articolo sugli abusi impuniti delle guardie del corpo di Kadyrov a Mosca, divenuta una sorta di villaggio caucasico (jurt). Vedi qui