L’antica storia degli attacchi DDoS

In concomitanza con la guerra russo-ucraina ci sono alcune parole che sono ricorse molto spesso, tra esse l’acronimo DDoS, una tipologia di attacco che utilizzando diverse modalità ha l’unico obiettivo di rendere irraggiungibile un dato sistema agli utenti legittimi. Questa settimana voglio raccontare la storia di come, proprio utilizzando questa forma di attacco, due decenni orsono fu messo in ginocchio tutto il web.

Il 7 e 14 febbraio 2000 alcuni dei colossi statunitensi della new economy si ritrovarono sull'orlo del baratro e i media di tutto il mondo parlarono di "catastrofe digitale", "irreversibile collasso della Grande Rete", "fine della Internet economy", "Pearl Harbor informatica". Tutto questo a causa di un quindicenne canadese dell’inquietante nickname di “MafiaBoy” capace di scatenare un'ondata di panico senza precedenti grazie al più grande e prolungato attacco DDoS di tutti i tempi. Sotto la marea montante di dati fasulli il primo a cadere fu Yahoo!, all’epoca primo operatore della Rete. Il suo router primario (sistema che indirizza il traffico dati) iniziò a ricevere lunedì 7 febbraio pacchetti di dati al ritmo di un Gigabit al secondo e ben presto si trovò in debito di ossigeno. Quando gli amministratori riuscirono a rimettere in sesto le macchine e pensarono che il peggio fosse passato, uno dei più importanti fornitori di servizi di Yahoo! "lascia a piedi" il portale, mettendosi anch'esso a tempestare il sistema di messaggi.

L'atroce sospetto di essere vittime di un attacco si fece strada tra gli amministratori di Yahoo! che bloccarono alcune tipologie di traffico dati, ma a questo punto a mandare in crisi di nuovo il sistema furono le legittime richieste di connessione, precedentemente bloccate. Quando riuscirono a fare il punto della situazione i tecnici di Yahoo! ritennero essere stati vittime di una sofisticata aggressione di tipo Distributed Denial of Service, orchestrata da un numero imprecisato di persone e con un'ottima conoscenza della struttura e della configurazione della rete di Yahoo!. A quel punto, però, nessuno ancora sapeva che Yahoo! sarebbe stato soltanto la prima vittima. Così il giorno dopo Buy.com, che prometteva di diventare il primo operatore di commercio elettronico del web, si trova alle prese con un traffico anomalo di eccezionali dimensioni e prima di sera l'ondata di attacchi si riversa su eBay.com, Amazon.com e per concludere travolge anche CNN.com. Se possibile, l'8 febbraio finisce per essere peggiore del già disastroso giorno precedente, mentre il 9 la crisi interessa i sistemi di E-Trade.com e Datek.com, rischiando di paralizzare il sistema finanziario, e nei giorni successivi la Dell Computer Corporation. Dall'esame delle tracce lasciate nel corso dell'incursione si riuscì ad appurare l'utilizzo di svariati "zombie" (sistemi compromessi), tra cui molte macchine di alcune delle più importanti università di Canada e Stati Uniti. Nel frattempo sui canali IRC, le chat dell’epoca, un non meglio identificato Mafiaboy rivendica già da qualche giorno la paternità degli attacchi. Per quanto piuttosto scettici gli agenti del NIPC (National Infrastructure Protection Center) si misero sulle sue tracce. Le indagini si muovono a una velocità considerevole sotto la spinta del forte interesse dell'opinione pubblica e della stessa Casa Bianca e già il 13 febbraio le autorità affermano di avere individuato in un sedicente Mafiaboy il responsabile degli attacchi.

La caccia nel mondo reale inizia il 15 febbraio e nel giro di poco più di un mese l'insieme dei dati permette agli inquirenti di avere un indirizzo e un numero di telefono di Montreal che li porta all'abitazione della famiglia di John Calce, in Rue de Golf a Montreal. Gli agenti ottengono il permesso di mettere sotto controllo il numero di telefono dell’abitazione. Il problema, infatti, era capire quale tra i cinque membri della famiglia fosse il vero Mafiaboy. I sospetti si concentrarono sul figlio quindicenne di John Calce. Il 15 aprile, a notte fonda, avviene l’irruzione nella casa di Rue de Golf.

Una volta in cella Mafiaboy ammise di essere colpevole, anche se rifiutò qualsiasi dialogo con la polizia. Il 3 agosto le accuse contro il ragazzo furono formalizzate in 64 capi di imputazione, di cui 54 relativi all'accesso non autorizzato in siti Internet. Il 18 gennaio del 2001, Mafiaboy comparve di fronte al giudice del tribunale minorile di Montreal e fu dichiarato colpevole di 56 reati a cui seguì una condanna (diventata definitiva a settembre del 2001) a 8 mesi di reclusione, un anno di libertà vigilata e, inevitabilmente, a forti restrizioni nell'utilizzo di Internet. Un aspetto piuttosto singolare della vicenda di Mafiaboy è descritto in un rapporto pubblicato dal NIPC. Secondo questo documento, già nel novembre del 1999 la struttura federale aveva rilevato la presenza diffusa su molti importanti sistemi di malware che potevano essere utilizzati per sfruttare i sistemi infetti come zombie in un attacco DDoS. A questo proposito, nel mese di dicembre dello stesso anno, il NIPC, tramite il proprio sito, mise a disposizione il download di appositi tool, non presenti in commercio, che permettevano di eliminare o quanto meno di contenere il problema. Eppure, nonostante questa possibilità, i responsabili della sicurezza di alcuni dei più importanti portali del mondo si fecero trovare completamente impreparati di fronte all’attacco di un quindicenne. Una situazione che ancora oggi tende a ripetersi con frequenza.