Mercoledì un collettivo di hacker russi, denominato NoName57, ha lanciato un attacco contro alcune entità italiane tra banche, istituzioni e aziende. L’episodio è avvenuto in risposta alla visita a Kyiv della premier Giorgia Meloni. Quali sono state le caratteristiche dell’attacco e come è stata gestita la reazione? Lo abbiamo chiesto a Matteo Flora, hacker e docente a Contratto in Corporate Reputation e Storytelling a Pavia e Fondatore di The Fool la Società Leader nella Reputazione.

Cosa ci dice l’attacco hacker di ieri?

Attacchi di questo tipo accadono molto spesso. Il distributed denial of Service (Ddos) consiste essenzialmente nell’intasare un sito web o un’infrastrutture tramite una grande mole di richieste a quel sistema, un attacco che richiede risorse, ma non particolarmente sofisticato. Per renderla in maniera immediata: si prova a fare entrare un milione di automobili in autostrada contemporaneamente. In questo episodio in particolare si è trattato di Ddos applicativi, ovvero si richiede al sistema da fare cose che impegnano molto il sistema stesso causandone il sovraccarico.

Tuttavia la reazione è stata efficace. 

L’attacco è stato mitigato perché episodi del genere accadono quotidianamente, quindi nulla di nuovo sotto al sole. La notizia probabilmente è che pare sia stato compiuto da un collettivo legato al governo russo, che ha rivendicato l’attacco e gli obiettivi. Ma ripeto, attacchi del genere sono all’ordine del giorno. Magari non tutti concentrati e su quegli obiettivi, ma mi preoccupo molto di più quando vengono compiuti a scopo di estorsione e non in maniera così concertata, rendendone più difficile l’identificazione.

Può spiegare ai non addetti ai lavori in cosa consistono le contromisure?

Le contromisure sono principalmente legate al “compartimentare”  la provenienza delle richieste dei visitatori (anche se visitatori è un termine leggermente improprio). Alcuni dei soggetti attaccati hanno ad esempio bloccato le connessioni provenienti da fuori l’Italia. In questo modo, probabilmente qualcuno che doveva accedere al proprio conto corrente dall’estero non ha potuto farlo per qualche ora. Oppure si va direttamente sui sistemi mettendo in mezzo altri sistemi per ripulire il traffico. Questo si fa per i sistemi che devono per forza rimanere online per il funzionamento di infrastrutture complesse, ovvero dove non è possibile bloccare il traffico. In sintesi si tratta sempre o di “lavatrici” o di bloccare o filtrare a monte alcuni tipi di connessioni.

Quali sono le entità che se ne occupano materialmente?

Dipende da come il sistema è stato pensato. In caso di data-center forniti da grandi provider è il provider stesso a occuparsene. Nel caso di una grande azienda che si rifornisce da grandi fornitori di servizi, se ne occupa il fornitore. Se si tratta di un’azienda più piccola si contrasta a livello locale. Nel caso di ieri sono stati i grandi provider a provvedere. Su questa tipologia di attacchi sono molto ferrati e infatti in poche ore tutto si è risolto.

(Foto di Joan Gamell su Unsplash)