• Versioni di prova e download
  • Prodotti per utenza domestica/ufficio domestico
  • Prodotti per aziende di piccole/medie dimensioni e per imprese
  • Malware Cleaner
  • Programmi di installazione
• • Corporate
  • Norge
  • France
  • Deutschland
  • Sverige
  • Danmark
  • Suomi
  • Nederland
  • Schweiz
  • España
  • United States
  • United Kingdom
  • Italia
• Informazioni su Norman
  • Vision e valori
  • Gruppo dirigente
  • La tecnologia Norman
  • Riconoscimenti e certificazioni
  • Casi del cliente
  • Sala stampa
  • Eventi
  • Lavora con noi
  • Registrazione alla mailing list
  • Contatti

Centro di sicurezza

Attacco ai principali siti di social networking per fermare UNA sola persona

2009-08-14 [Discussione sui malware, Tendenze e previsioni]

   Week 16, 2009

Introduzione

La scorsa settimana i media sono stati sommersi di notizie riguardanti un attacco ai siti di social networking come Twitter, LiveJournal e Facebook, apparentemente allo scopo di fermare un blogger della Georgia. Il blogger si fa chiamare Cyxymu che, secondo il blogger stesso, è il nome della sua città natale in Russia scritto con il set di caratteri Latin.

Twitter è rimasto inattivo per circa due ore, mentre altri siti di social networking hanno riscontrato problemi meno seri.

Si tratta di un evento interessante secondo diversi punti di vista, alcuni dei quali verranno discussi in questo articolo sulla sicurezza. Questa discussione verrà caratterizzata da un livello elevato di congetture, che rappresenta un aspetto secondario ironico, come potremo vedere.

I fatti sono caratterizzati dalla loro non-esistenza

La storia è molto strana! Benché l'attenzione dei media sia stata significativa, sorprendentemente sono stati rivelati pochi "fatti reali". E la maggior parte delle informazioni sulle circostanze dell'accaduto provengono dal blogger stesso.

Informazioni da parte dei siti Internet attaccati

Twitter è stato il sito di social networking più duramente colpito e non stupisce il fatto che questo sito possieda la maggior parte delle informazioni sull'evento. Anche Twitter, tuttavia, è abbastanza vago nelle informazioni fornite:

In the past 24 hours, we've been contending with a variety of attacks that continue to change in nature and intensity.  (...) The ongoing, massively coordinated attacks on Twitter this week appear to have been geopolitical in motivation. However, we don't feel it's appropriate to engage in speculative discussion about these motivations. The open exchange of information can have a positive impact globally and our job is to keep Twitter services running reliably to the best of our ability. Twitter's blog 7 August 2009

LiveJournal ha pubblicato quanto segue sul proprio bollettino di manutenzione:

As some of you may know, LiveJournal has been under attack this morning from 6:00am PST until ??? We have taken steps to mitigate the DDoS but some users may still experience site connectivity problems. We are aware of these issues, (...) LiveJournal Maintenance Acrhive 6 August 2009

L'autore di questo articolo sulla sicurezza non è stato in grado di reperire alcuna informazione ufficiale sull'accaduto sulle pagine Web pubbliche di Facebook, nonostante l'evento stesso sia stato ampiamente discusso in numerosi gruppi di Facebook.

Informazioni disponibili sui media

Come già accennato, l'evento ha ricevuto molta attenzione da parte dei media. Una ricerca di Google per tutte le parole chiave twitter facebook livejournal down august nelle pagine Web pubblicate la scorsa settimana ha restituito oltre 37 milioni di risultati.

Ecco alcune notizie dai media:

cnet A Georgian blogger with accounts on Twitter, Facebook, LiveJournal, and Google's Blogger and YouTube was targeted in a denial-of-service attack that led to the sitewide outage at Twitter and problems at the other sites on Thursday, according to a Facebook executive. The blogger, who uses the account name "Cyxymu," (the name of a town in the Republic of Georgia) had accounts on all of the different sites that were attacked at the same time, Max Kelly, chief security officer at Facebook, told CNET News. (...) Kelly declined to speculate on who was behind the attack, but he said: "You have to ask who would benefit the most from doing this and think about what those people are doing and the disregard for the rest of the users and the Internet." >>The complete cnet article

 

New York Times The cyberattacks Thursday and Friday on Twitter and other popular Web services disrupted the lives of hundreds of millions of Internet users, but the principal target appeared to be one man: a 34-year-old economics professor from the republic of Georgia. (...) This week, he began posting day-by-day accounts of the run-up to the conflict that drew partly on posts from his readers inside of Abkhazia, who he said had been describing how the Russian army staged its forces in the region in early August 2008. >>The complete article from New York Times

 

ComputerWeekly.com According to Facebook, what all these sites have in common is a user who is an anti-Russian blogger called Cyxymu from Tbilisi, the capital of Georgia. This theory is given "credibility" by that fact that the DoS attacks coincide with the first anniversary of the start of last year's conflict between Russia and Georgia. Facebook claims cross-service DoS attacks were all aimed at preventing Cyxymu communicating with his followers on this date. (...) >>The complete article from ComputerWeekly.com

I pochi esperti di sicurezza che hanno rilasciato commenti sull'evento sembrano essere d'accordo sulle dinamiche dell'attacco articolato in due fasi:

1. Un messaggio email di tipo spamming con informazioni ingannevoli relative al mittente e contenente link agli account del blogger della Georgia sui siti di social networking.
2. Un attacco DDoS (Distributed Denial of Service) ai siti di social networking. Questo attacco DDoS è stato molto probabilmente realizzato utilizzando uno o più botnet.

Perché?

Questa, naturalmente, è la domanda interessante.

Alcuni hanno speculato che l'attacco sia stato orchestrato dal Governo russo. Tra i sostenitori di questa tesi vi è lo stesso Cyxymu che, secondo BBC News, ha pubblicato (in un blog) una lettera al Presidente russo, Medvedev, scrivendo:

(...) the entire world is speaking of the Russian hackers working for the Russian Federation government. (...) >>The complete article from BBC News

La maggior parte degli esperti di sicurezza, inclusi quelli di Norman, concorda sul fatto che è altamente improbabile che il Governo russo sia coinvolto in questo episodio, soprattutto se lo scopo consisteva nel mettere a tacere un singolo blogger. Semmai l'effetto è stato il contrario, risultato abbastanza ovvio da prevedere.

Uno dei punti di partenza per l'indagine di qualsiasi reato consiste nel valutare chi ne trae vantaggio ("cui bono") e in questo caso è perlomeno ovvio che le persone che non traggono un vantaggio sono:

• Il Governo russo, che è stato oggetto di alcune voci non lusinghiere (come quelle citate in precedenza)
• I membri dei siti di social networking, le cui attività sono state compromesse
• I siti stessi di social networking.

Una teoria molto più probabile è quella secondo la quale l'attacco sia stato lanciato da un individuo o un gruppo al quale non piacciono i punti di vista di Cyxymu e che pertanto ha cercato di impedire (temporaneamente) che venissero letti da altri. Bisogna, tuttavia, considerare che un attacco di questo tipo richiede accesso a risorse che non sono insignificanti: riuscire a interrompere il servizio di alcuni dei più importanti siti Internet al mondo non è un'azione che può essere compiuta da qualcuno sull'impulso del momento.

La teoria cospiratoria sull'evento sostiene, ovviamente, che il tutto sia stato orchestrato dallo stesso blogger e/o da qualcuno che condivide i suoi punti di vista.

E poi... il silenzio

All'iniziale esplosione dell'attenzione dei media, che ha offerto ben poche informazioni effettive, ha fatto seguito il silenzio.

Ci si poteva aspettare che approfondire l'indagine del caso sarebbe stato interessante. Dopotutto non accade tutti i giorni che diversi dei principali siti di social networking vengano attaccati per un presunto motivo così particolare.

Questo fatto è davvero molto strano e forse la storia completa non verrà mai rivelata

• Privacy di Norman
• Contratto di licenza [EN]
• Marchi
• Mappa del sito
• Contatti

© Norman ASA