Referendum: 'BastaUnSì', cronaca di un attacco hacker

Il racconto, minuto per minuto, dell'offensiva che ha mandato in crash il sito del fronte del Sì. "Erano professionisti, ben organizzati e con un obiettivo preciso"

Referendum: 'BastaUnSì', cronaca di un attacco hacker
  cybercrime, crimine informatico, hacker

di Riccardo Luna 

Roma - Che è successo davvero nelle 48 ore in cui un team di hacker ha attaccato il sito web del comitato “basta un sì”? Molto si è detto e ipotizzato.

Cosa ci insegna la storia di questo strano attacco

Andrea Stroppa, 22 anni, era in prima linea in difesa del sito.

Esperto di sicurezza informatica, proprio alcune settimane fa aveva pubblicato un paper in esclusiva su Forbes sul pericolo della cyber propaganda online e questa estate una ricerca sul pericolo della contraffazione in esclusiva sul Washington Post presa in esame dai principali gruppi anti-contraffazione americani. Ed è noto in Italia perché tra le altre cose lavora per la società di cyber security di Marco Carrai. Lo hanno chiamato nella notte dell’attacco. E qui racconta per AGI come è andata dal suo punto di vista.

 

“Sono stati due giorni molto intensi. Un attacco del genere non capita tutti i giorni. Partiamo dall’inizio. C’è un team che segue il sito: una azienda di Firenze che sviluppa tutti i progetti digitali del Presidente del consiglio. E gestivano tutto loro. E da quando sono andati online, mesi fa, avevano sempre avuto attacchi informatici che però riuscivano a respingere.

“Durante le elezioni americane, visto quello che capitava alla Clinton, qualcuno interno al Comitato si è saggiamente chiesto come fosse la situazione lato sicurezza: vi erano delle lievi vulnerabilità sul portale, ma nulla di eccezionalmente importante”.

“Nel frattempo il lavoro sul SEO, cioé sul miglioramento dei contenuti del sito dal punto di vista dei motori di ricerca, stava dando i suoi frutti, le keywords, le parole chiave, su Google stavano portando tanto traffico. E quando le cose sembrava che funzionassero sono arrivati gli attacchi. Devastanti. L’allarme è stato dato nella notte di martedì.

Non funziona più nulla. Sta succedendo qualcosa di strano, sveglia!” c’era scritto nella email che ho ricevuto. Pensavo che non fosse nulla di grave, ma appena  siamo entrati nel sistema era chiaro che era un attacco duplice: il classico DDOS, cioé l’interruzione del servizio di un server perché soggetto a troppe richieste simultanee, per oscurarlo; assieme al fatto che più persone hanno provato ad accedere ad aree riservate del sito.

"Sono stati eseguiti tentativi di accedere a parti riservate del sito utilizzando tecniche di hacking note come sql injection. Tanti grandi sono stati bucati così: siti di banche e governi”.

“I DDOS arrivavano da tutto il mondo. Usavano server, probabilmente bucati, cioé usavano server di altri per portare l’attacco. E poi personal computer veri e propri. Anche qui, si entra sui computer di utenti ignari, si caricano degli script e parte l’attacco. Se lo fa una persona non accade nulla, se lo fanno in migliaia diventa un problema”.

“Parliamo di picchi tra i 20 e i 30 gbps di DDOS. Una forza molto importante. Non era un attacco fatto da uno che non aveva niente da fare. Era gente organizzata che ha studiato bene l’obiettivo."

“Il sito è andato giù la prima volta mercoledì pomeriggio. Ma gli attacchi erano iniziato martedì 14 novembre, ed è stato lì che ci siamo rivolti agli americani di Incapsula, parte del gruppo Imperva, un gigante della sicurezza che collabora con le più importanti istituzioni internazionali. Nel frattempo era chiaro dai log che gli attacchi continuavano a essere molteplici e con scopi diversi: o oscurare il portale o penetrare e prendere informazioni riservate. E' stato necessario creare un team di emergenza: loro a San Francisco e noi quattro, tutti under 30, fra Roma, Palermo e il Veneto”.

“Gli attacchi più grandi sono iniziati alle 06:04 del mattino 16 novembre. L’attacco è partito dall’Olanda. Un minuto dopo di nuovo dall’Olanda alle 6:05. Poi dall’Italia alle 6:26. Di nuovo dall’Olanda alle 6:28 e alle 6:41 quando hanno provato nuovamente anche a rubare i dati degli utenti del sito. Poi sono andati avanti a raffica: in un’ora hanno fatto più di cento tentativi. Fallendo nel tentativo di trafugare dati hanno cambiato strategia.

“Così nonostante abbiamo retto bene fino all’ora di pranzo, poi ci hanno messo in difficoltà: dopo due attacchi alle 12:53 e alle 13:36 il sito non era più raggiungibile in modo stabile. Allora abbiamo capito che non potevamo resistere, abbiamo deciso di tirare noi giù per evitare guai peggiori: ci serviva tempo per operare dei cambiamenti strutturali. Cosa abbiamo fatto? Varie cose e abbiamo spostato il server in un luogo più sicuro”.

“Siamo tornati online mercoledi 16 sera verso le 22. La portata degli attacchi e la provenienza apparente di questi, ci fa pensare che qualcuno si sia rivolto ad organizzazioni criminali specializzate nel cyber crime. Una azione così costa decine di migliaia di euro, non è certo il frutto di un passatempo di qualcuno".  "Il sito è sicuro, sono in corso le dovute verifiche per vedere se ci sono stati accessi a parti riservate, ma le prime analisi non danno evidenze di nessuna intrusione, dovremmo però renderci conto del clima che si è creato e di quanto il tema cyber sicurezza sia importante."