In un anno gli attacchi DDoS sono più che raddoppiati. Per eseguirne uno non servono competenze, ma pochi dollari da spendere online

L’arresto di due giovanissimi hacker israeliani, autori di oltre 150mila attacchi informatici su commissione nel giro di due anni, ha riportato al centro dell’attenzione la diffusione dei cyber-crimini commessi attraverso attacchi DDoS (distributed denial of service), sollevando anche il velo sul numero crescente di siti Internet guidati da hacker “mercenari” che per poche decine di dollari permettono di colpire qualunque obiettivo si voglia. Una realtà fino a qualche anno fa presente solo sul dark web, ma che ormai è apertamente presente su Internet: per assoldarli basta fare una ricerca su Google e avere un account PayPal (anche se, di norma, preferiscono essere pagati via Bitcoin, per via dell’anonimità che garantisce).

Chiunque, indipendentemente dalle proprie capacità tecniche, può sfruttare uno di questi servizi e mettere al tappeto qualsiasi organizzazione attiva su Internet attraverso un attacco DDoS, un sovraccarico che ha lo scopo di rendere inaccessibile per ore, giorni e in alcuni casi anche settimane un servizio online, saturandolo di richieste di accesso provenienti da molteplici fonti.

Quando un utente va su un sito, infatti, il suo computer si connette con un server web inviando la richiesta di vedere una determinata pagina internet. In un attacco DdoS, l’hacker invia un flusso di decine di migliaia di queste richieste al server, mandandolo in sovraccarico e rendendolo inutilizzabile. Per ottenere questo risultato, soprattutto quando si prendono di mira obiettivi di una certa dimensione, è indispensabile poter contare su una grande capacità di banda.

Stando al report State of the Internet di Akamai Technologies, gli attacchi DDoS sono aumentati del 129% nell’arco di un solo anno. Non solo: la durata media degli attacchi è aumentata del 35%, salendo a oltre 16 ore. Allo stesso modo, anche la quantità di gigabyte impiegati per saturare la banda è aumentata drasticamente: 12 degli attacchi che Akamai ha dovuto fronteggiare erano superiori ai 100 gigabyte; di questi, due superavano i 300 gigabyte. È impossibile conoscere il numero complessivo di attacchi DDoS, ma per capire la frequenza basti pensare che in tre mesi la sola Akamai ne ha fronteggiati 4.919, contro i 4.523 del trimestre precedente.

Le ragioni per le quali questi cyber-criminali lancino attacchi DDoS è evidente: sono pagati per farlo. E considerando che i due hacker israeliani arrestati pochi giorni fa hanno guadagnato 600mila dollari in due anni, si capisce anche perché questo business stia avendo una rapida crescita. Quel che è meno chiaro è quali siano le motivazioni di chi acquista questo tipo di servizio: lasciando perdere chi si diletta in attacchi DDoS per divertimento (più numerosi di quanto si potrebbe pensare) e chi invece compie gesti di hacktivism (compromettendo siti di banche, istituzioni governative o simili), una parte crescente di questi attacchi ha invece lo scopo di mettere fuori gioco, almeno temporaneamente, dei servizi rivali, per esempio un sito di ecommerce specializzato negli stessi prodotti.

In molte occasioni, servono invece come cortina fumogena dietro la quale nascondere un secondo e contemporaneo attacco hacker, volto a sottrarre dati personali. È il caso, per esempio, del DDoS che un anno fa ha colpito la compagnia di telecomunicazioni inglese TalkTalk, durante il quale parte dei suoi quattro milioni di clienti si è visto sottrarre dati personali, numeri di carta di credito e altro ancora.

In poche parole, gli attacchi DDoS sono diventati un business che fa estremamente gola, causando la proliferazione di servizi semi-professionali che li effettuano su commissione. Ma com’è possibile che siti del genere possano vivere apertamente sul web? La ragione è che molti di questi nascono per un servizio assolutamente legale: testare su richiesta i siti web per valutare la loro resistenza. Un vero e proprio stress test, che fa sì che questo genere di siti sia noto anche con il nome di stresser. Ma capire quali di questi siti operino nella legalità e quali invece consentano di attaccare terze parti, come sottolineato anche dall’esperto di sicurezza Brian Krebs, è praticamente impossibile.

Tra i più not, Critical Boot offre il servizio a partire da 15 dollari al mese per avere uno stress time di 600 secondi, fino ad arrivare a 227 dollari al mese per per colpire 80 obiettivi al giorno per 5mila secondi. Nella pagina di benvenuto, Critical Boot si definisce “un servizio rivoluzionario per mettere alla prova il tuo network”. Tutto legale, quindi. Chi paga con criptomoneta anonima riceve però il 15% di sconto.

Altri servizi, come Beta Booter, non prevedono necessariamente la (strana) formula dell’abbonamento mensile: con soli 10 dollari si può “mettere alla prova” il proprio network, mentre le offerte più care arrivano fino a 600 dollari per un test di otto ore condotto alla potenza impressionante di oltre 50 gigabyte (secondo la direttrice della società di sicurezza Flashpoint, Allison Nixon, basta un attacco di 6 GB per mettere ko la maggior parte dei normali siti).

Sul forum hacker SafeSkyHacks si parla, tra gli altri, proprio dei due booter appena citati. L’utente Safe Keys, in una sorta di tutorial per l’uso, spiega il funzionamento così: “Una volta che vi siete registrati, potete scegliere diversi pacchetti di tempo e di potenza. […] Sul sito del booter avete un pannello di controllo dal quale potete lanciare il vostro attacco DDoS. Per colpire una connessione casalinga o un server basta possedere il suo indirizzo IP. […] Usando contemporaneamente 2/3 Ddosers potrete punire chiunque vogliate”.