Torno oggi, liberato da esami universitari, sull’argomento che in questi giorni sta scuotendo il panorama informatico italiano: le condizioni attuali delle linee adsl. Cerco di ampliare in maniera piú completa e dettagliata i pensieri giá esposti in quest’articolo.
La situazione attuale, secondo informazioni fornite da Luca Spada, CEO di NGI, e Stefano Quintarelli, presidente dell’AIIP (Associazione Italiana Internet Provider), é causata probabilmente da limiti dell’infrastruttura che sta sopportando un peso per il quale non era stata studiata. Situazione aggravata, molto probabilmente, dagli upgrade di banda che Telecom sta effettuando nell’ultimo periodo.
Molti utenti registrano infatti problemi anche cambiando i server DNS, con percentuali di pacchetti persi per strada che raggiungono a volte il 20/30%. Una cifra che sta ad indicare un problema piú diffuso del “sovraccarico” dei server DNS.
Ma vorrei tornare momentaneamente sul sovraccarico dei server DNS. Rileggendo le parole del comunicato di Telecom dette a Punto Informatico, la societá esclude attacchi DDoS e dá la colpa al traffico generato dai numerosi malware che stanno attaccando l’Italia. Escludendo il traffico dei malware, per il quale ho giá dato spiegazione nell’articolo precedente, mi chiedo perché Telecom abbia escluso un attacco di tipo DDoS.
Secondo alcune informazioni pubblicate online da Gigi Tagliapietra e confermate su forum da testimonianze di persone che lavorano su server DNS o sembrano conoscere la situazione, parrebbe infatti che una leggera parte del sovraccarico sia dovuto ad un tipo di attacco DDoS.
Inoltre, sul blog di Tagliapietra, viene citato un worm che lancia attacchi ai server DNS. Premettendo che, né personalmente né alla societá, abbiamo ricevuto segnalazioni di un trojan che si stia diffondendo avente queste caratteristiche, vorrei esprimere un paio di pareri su questa possibile situazione.
La possibilitá di un attacco DDoS, esclusa a priori da Telecom, in realtá potrebbe far parte di uno dei vettori che hanno causato il collasso dei server DNS. Bisogna peró capire da dove provenga questo attacco. Se fosse un trojan sconosciuto che si sta diffondendo su internet, per lanciare un attacco di dimensioni tali da poter mettere in crisi totalmente dei server DNS nazionali dovrebbe aver infettato un numero particolarmente alto di pc. Se, peró, si fosse diffuso cosí tanto da infettare cosí tanti pc necessari per una simile operazione, ci sarebbe stato di sicuro qualche report – cosa che al momento personalmente non ho, ma neanche altri colleghi che ho sentito.
Differentemente, potrebbero essere stati infettati un numero limitato di pc, con un preciso bot, grazie ai quali puó essere stato lanciato l’attacco. PC che, ovviamente, potessero garantire una certa quantitá di banda da poter causare danni alla – comunque problema sempre evidente – giá logorata struttura della rete italiana.
Questo pensiero per precisare ancora che il traffico puro dei malware su internet difficilmente é la causa di un sovraccarico dei DNS. Diversamente, un attacco DDoS – escluso a priori da Telecom – potrebbe invece essere un aggravante della giá critica situazione. Attacco DDoS che puó essere causato da un bot, ma molto difficilmente da un bot che si sta diffondendo via e-mail come reale pericolo per tutti gli utenti, quanto piú probabilmente un bot premeditato e installato su determinate macchine giá in precedenza, o comunque facente parte di un piano già prestabilito.
-------------
Post correlati:
Battute a parte, ho avuto modo in questi giorni di parlare sia con utenti finali, sia con tecnici, un paio di quali di provider NON TELECOM e di realtà toscana (escludo Aruba, quelli un li voglio chiamare colleghi tecnici
) che mi han confermato che almeno nell’ultimo mese i sistemi DNS sono pedissequamente all’orlo del collasso in alcune volte del giorno. Tanto che qualcuno di loro, si è messo ad analizzare e ha visto tanti piccoli attacchi diffusi equamente distruibuiti tra italiano ed estero..
Che la rete sia logora, io lo dico da almeno 6 anni, e ricordo ancora quando venivo sbeffeggiato su it.tlc.telefonia.adsl, quando prevedevo questa situazione..
Però a questo punto, chi è che attacca i DNS nostrani più diffusi? A che prò?
Ai posteri l’ardua sentenza.
ma tu come esperto di sicurezza che opinione hai?
nel tuo blog stai dicendo questo e quello, citando cose dette da esperti a destra e a sinistra…. ma non hai mai detto chiaramente di cosa si tratta. Prima dici che e’ un attacco, poi no, poi forse…
E’ un problema di banda soffocata?
E’ un worm?
E’ un trojan distribuito via mail?
E’ un attacco DoS verso i DNS italiani (quindi il malware non c’entra nulla, perche’ si tratta di pacchetti inviati da altre macchine)
Postare informazioni chiare aiuta gli utenti. Raccogliere qua e la’ le cose dette da altri per mescolarle a caso aggiunge caos alla confusione.
Ehm, scusa, evidentemente mi sembrava chiaro il mio pensiero…così non è stato
Grazie per avermelo fatto notare.
Il mio pensiero è questo: al momento l’idea che il solo traffico via e-mail di malware possa aver messo in crisi i dns (vedi motivazione di telecom) non è assolutamente vera (vedi mio articolo precedente). Penso che sia più una crisi dovuta ad un aumento di banda e ad una errata gestione della banda disponibile da parte di Telecom. In più non escludo la possibilità di un attacco DDoS, come appunto da chi lavora sui server dns riporta. Attacco che però, sostanzialmente, è marginale rispetto alla situazione in cui versano le linee italiane. In questo articolo ho voluto sostanzialmente delineare la differenza tra un attacco DDoS e quello che Telecom dice, cioè diffusione di malware, che sono due cose sostanzialmente differenti. Questo perché ho letto in giro molte persone che associavano il fatto di un possibile DDoS al fatto che ha ragione Telecom, ci sono virus che stanno girando e stanno sovraccaricando i server dns. NON è il traffico di diffusione che ha gravemente appesantito i server.
Non è che raccolgo informazioni dette da altri e mescolo, ho semplicemente fatto le mie riflessioni in base a ciò di cui sono a conoscenza io e quello che ovviamente hanno comunicato altri esperti del settore
PS: scusa, forse mi sbaglio – in caso chiedo scusa, ma non mi aspettavo da te un commento così, sinceramente
Per carità, se ho sbagliato persona chiedo scusa 