Geni del male o sedicenni annoiati? Forse non sapremo mai esattamente chi, nei giorni scorsi, ha sferrato gli attacchi informatici ai siti di Yahoo!, Amazon, eBay, Zdnet, Cnn, Etrade, Buy.com bloccando i loro server con un’alluvione di traffico falso e mettendoli in ginocchio per qualche ora. Di certo l’Fbi ha sguinzagliato i suoi detective informatici per analizzare le tracce lasciate sul luogo del misfatto. E non sarà un lavoro facile. Ma in cosa è realmente consistito l’attacco dal nome tenero e innocente di “smurf” (“puffo” in inglese)? Come è possibile immobilizzare colossi da milioni di dollari e seminare il panico nella comunità digitale con un modem e qualche programma adeguato (liberamente scaricabile dalla rete)? Tanto per cominciare, è la natura stessa del Web a creare le condizioni per operazioni così eclatanti. La capacità di sfruttarne le intrinseche debolezze fa il resto. Vediamo come.
Il traffico dei dati che ogni giorno viaggiano su Internet è regolato da protocolli che definiscono le regole necessarie per far comunicare i vari attori del sistema, cioè computer con differenti funzioni, che parlano differenti linguaggi e costruiti con diverse architetture. Per garantire uno scambio efficace, le informazioni viaggiano in pacchetti della dimensione di alcuni byte, che contengono sia l’indirizzo del mittente che del destinatario. Ed è proprio da questa semplice regola della realtà virtuale, assieme a una buona dose di furbizia, che sono partiti gli autori di “smurf”. Per mettere in pratica il loro piano si sono serviti di due strumenti fondamentali e di svariati computer “addestrati” a complici. Gli strumenti sono: pacchetti di byte che solcano la rete obbedendo al protocollo denominato Internet Control Message Protocol (Icmp) e software capaci di falsificare l’indirizzo del mittente.
Di solito l’Icmp è utilizzato come strumento diagnostico, per esempio per sapere se un computer è connesso o meno alla rete. Si può paragonare all’eco: si invia un pacchetto, generalmente della dimensione di pochi byte, all’indirizzo della macchina da testare. Se questa è online risponderà al mittente con un pacchetto delle stesse dimensioni di quello inviato, altrimenti significa che il computer è disconnesso. Altri protagonisti fondamentali del Web, sono dei computer collegati stabilmente a Internet tra cui i cosiddetti “router”, i vigili della rete. Proprio come i vigili in carne e ossa, i router controllano il traffico dei pacchetti, individuando i percorsi che permettono ai dati di giungere a destinazione. Ogni router controlla il via vai di un determinato ramo di Internet: gestisce e smista ad altri router i pacchetti da e per i computer di quel particolare ramo.
Ed ecco un primo punto debole sfruttato per generare il traffico fantasma. Quando un router riceve dei pacchetti Icmp ha due possibilità: o risponde lui stesso, o smista la richiesta ai suoi “dipendenti”. La scelta dipende dalle istruzioni del programmatore e se la richiesta viene smistata, l’effetto è di amplificare la risposta. Per esempio, se si invia un pacchetto di 10 byte a un router che gestisce 100 computer, il pacchetto di risposta sarà di 1000 byte. Ma anche i computer che non hanno il ruolo di router possono trasformarsi in ignari produttori di fiumi di bit. Ogni macchina collegata al Web anche in maniera discontinua (come il vostro pc) deve comunicare con il protocollo Icmp. Ecco allora la seconda arma degli autori dei black-out, per aumentare la potenza di fuoco: “istruire” altri computer a comportarsi da router.
Una volta individuate le armi, gli attaccanti dovevano “addomesticare” l’eco cybernetico alle loro intenzioni e dunque conoscere molto bene la topologia della maglia di Internet utilizzata per l’offensiva. Prima mossa: analizzare i router e trovare quelli programmati per ridistribuire la richiesta Icmp ai propri dipendenti. Seconda fase: riprogrammare alcuni computer, che svolgevano altri compiti, a comportarsi come router. Infine, ingannare tanto i vigili veri quanto quelli fasulli per dirigere l’eco cyberntico secondo i loro voleri, utilizzando dei programmi facilmente reperibili in rete. L’inganno consiste nel far credere ai router che, da un certo momento in poi, ogni pacchetto Icmp ha come mittente il sito da mettere ko.
Una volta istruite le truppe, è bastato inviare loro alcuni pacchetti. L’amplificazione dell’effetto eco, diretto sul bersaglio, ha fatto il resto. Risultato: durante l’attacco, al sito di Yahoo! sono arrivati ogni secondo pacchetti da 5 Gigabit, circa tre volte la capienza di un hard disk medio. O se preferite, la stessa mole di dati che viaggia nei cavi oceanici superveloci che collegano la rete americana con quella europea. E’ come Gulliver che bussa alla porta di Lilliput. Tutto questo con un modem e qualche buon computer per innescare l’eco.
Tuttavia, dal punto di vista delle capacità tecniche, il colpo non è così raffinato. Riprogrammare un computer per farlo agire da router è un gioco da ragazzi per gente abituata a ben altre fatiche informatiche. Insomma, roba troppo “facile”, e troppo brutale negli effetti, per chi si considera un vero hacker. Ecco perché le varie comunità di “smanettoni” (traduzione letterale del termine hacker) hanno disconosciuto la paternità intellettuale dell’atto. Arrivando addirittura a ipotizzare l’ennesima trappola mediatica piazzata dall’amministrazione Clinton per giustificare il crescente impegno finanziario (due miliardi di dollari) e politico (leggi che rasentano al violazione della privacy) nel tentativo di controllare la rete. Altre ipotesi sono un prolungamento cybernetico degli eventi di Seattle, sebbene non sia arrivata alcuna rivendicazione esplicita, o un maldestro tentativo di concorrenza illegale da parte degli avversari commerciali dei siti colpiti. Una cosa però è certa: dopo questi eventi la rete non sarà più quella di prima. Al prossimo vertice dei G8, fra tre mesi, Internet sarà sul banco degli imputati come uno dei territori in cui riportare ordine.
