Sarebbe possibile sovraccaricare gran parte di Internet, e se sì, allora come?

Per prima cosa dobbiamo capire cosa stai chiedendo esattamente. Ogni volta che qualcuno invia un pacchetto su Internet, consuma parte della potenziale larghezza di banda di Internet. Proprio come quando un'auto scende lungo una strada, nessun'altra auto può guidare nello stesso punto, quindi hai un posto in meno disponibile sulla strada.

Se continuiamo tale confronto, un singolo sito che invia molte macchine può facilmente ingolfare le strade intorno a esso, osservare la follia dopo che ogni partita sportiva è finita e tutti i fan se ne stanno andando allo stesso tempo. Ma questo causa solo interruzioni molto localizzate, lo stesso è generalmente vero per Internet. Ma l'attaccante ha usato una tecnica di amplificazione per fare più danni alla congestione di quanto avrebbero potuto fare da soli. Questo ha coinvolto terze parti non retribuite, che avevano specifiche vulnerabilità. Ciò ha permesso all'aggressore di generare molta più congestione di quanto avrebbe potuto fare da solo.

Quindi ci sono altre due domande importanti, che non troverai mai nelle notizie perché sono tecniche. Le notizie riguardano quasi esclusivamente previsioni terribili che la gente comune può capire, e più sensazionali sono le migliori, indipendentemente dall'accuratezza.

Le domande:

• Un attacco può essere costruito con una scala tale da influire in modo sensibilmente negativo su gran parte del traffico Internet?
• Esistono vulnerabilità nei sistemi chiave di Internet che possono consentire a un numero relativamente esiguo di attacchi da parte di utenti di danneggiare l'esperienza media degli utenti in modo significativo?

Per quanto riguarda la prima domanda, è altamente improbabile. Come hai visto, è possibile costruire attacchi che interrompono determinate porzioni molto localizzate di Internet. Spamhaus rappresenta una porzione molto piccola dell'intera Internet, e l'attacco è stato in gran parte mitigato da una singola altra entità di Internet. L'aggressore aveva risorse significative rispetto alla maggior parte dei potenziali aggressori e non era ancora in grado di superare pienamente la collaborazione di Spamhaus e Cloudfare. Per quanto possa essere divertente teorizzare ciò che potrebbe essere possibile, è più che un salto gigantesco da parte di Spamhaus ad affliggere Internet nel suo insieme.

Alla seconda domanda, questo è in qualche modo più plausibile. Internet si basa su una varietà di infrastrutture chiave. Molte volte la sicurezza passa in secondo piano rispetto alla funzionalità, soprattutto laddove vi sono forti forze economiche (ad esempio, la riduzione dei costi). Un ottimo primo esempio è BGP, che è ciò che aiuta a connettere le molte reti individuali che compongono Internet. BGP è stato accidentalmente "hackerato" da un ISP siriano nel 2012 , che ha finito per disturbare gran parte del routing IP. Questo non era dannoso, è stato risolto rapidamente (considerando rapidamente lo scopo), ma illustra come una piccola corruzione può causare enormi problemi se i sistemi non sono protetti contro tali.

Se potessi prevedere il prossimo evento del genere, sarei un milionario. La miglior difesa che abbiamo ora è analizzare a fondo i sistemi per le vulnerabilità, comprenderli, sviluppare le migliori pratiche per proteggerci e attuare con attenzione le misure appropriate.

Sembra che tu stia chiedendo se alcune aziende particolari hanno la capacità di rallentare Internet. Mentre Internet era stato originariamente progettato per essere una rete distribuita che avrebbe resistito alle interruzioni, il fatto è che ora ampie porzioni di Internet girano su dorsali (gruppi di cavi veramente grandi) di proprietà di un piccolo numero di aziende relativamente parlando. Queste aziende lavorano tra loro per scambiare dati in ciò che è noto come "Peering". Peering è l'accordo su come consentono i dati sulle reti degli altri. Occasionalmente, quando questi fornitori di back bone non sono d'accordo, possono interrompere l'accesso a un'altra rete di pari.

Quando due grandi fornitori di backbone (come Level 3 e Cogent nel 2005) hanno una controversia e smettono di trafficare il traffico, Internet si frattura, il routing si fa rovinare e vaste porzioni di Internet diventano non disponibili per molti. Cercando su google "disputa di peering di livello 3 cogente" vi forniremo molti dettagli su ciò che è accaduto nel 2005, il che è il peggiore dei casi in cui si è verificato questo evento.

Sì, è proprio quello che è successo: una botnet e una barca metrica di server DNS mal configurati. Spamhaus è stato in grado di difendersi solo con l'aiuto di cloudflare, che ha pubblicato un post sul blog ieri su come è stato mitigato e l'effetto che questo attacco su larga scala ha avuto sul resto di Internet.

È successo, almeno in parte. Il (in) famoso "worm Internet" ha praticamente bloccato il nascente Intrenet, in seguito il worm di posta elettronica "I love you" si è intasato molto della gestione della posta elettronica. Ci sono stati studi teorici sui superworms, che sono stati costruiti correttamente (e non è quello difficile da costruirli, non è sicuramente solo teoria) che prenderà il controllo di oltre il 90% degli host vulnerabili in tutto il mondo in un ora o così. Il worm slammer ha creato scompiglio, anche se la sua popolazione vulnerabile era minuscola (Internet che si affacciava sul server SQL su Windows) e la sua analisi ha dato salire alla carta, se la memoria serve. Non riesco più a trovare la carta originale, era intorno al 2000-2005 IIRC.

È banale rallentare o disabilitare "parte" di Internet. Hai un sito Web o un server di posta elettronica ospitato nella tua azienda con una connessione a 100 Mb a Internet? Bene, sei "parte di Internet". E non è così difficile inondare una pipe da 100 Mb.

Capisco che non è esattamente quello che stavi pensando, ma è un semplice esempio che illustra un punto: Internet è una serie di connessioni. Se un utente malintenzionato può generare abbastanza traffico per inondare una di queste connessioni, ha sovraccaricato quella "parte" di Internet. Abbastanza semplice davvero.

Non ha nemmeno bisogno di essere malizioso. Immagina di ospitare un piccolo sito web limitato e finisce per ottenere un nameckecked sulla prima pagina di un sito web importante come la CNN o la BBC. È abbastanza probabile che i tentativi di accesso legittimi sovraccarichino una connessione tanto quanto i tentativi di accesso illegittimi.

Per quanto riguarda questo incidente specifico, ritengo che le affermazioni secondo cui questo attacco potrebbe portare l'intera rete verso il basso sono un po 'eccessive. Penso che questo sia probabilmente un esempio di persone non tecniche che cercano di segnalare problemi tecnici.

• L'attacco è stato diretto contro Spamhaus.
• Spamhaus offre un servizio che viene utilizzato da molti sistemi di posta elettronica su Internet.
• Interrompere il servizio Spamhaus potrebbe causare problemi per il flusso di posta elettronica su Internet.

È forse una sottile distinzione, certamente troppo sottile per il "giornalista tecnico" medio da un servizio di notizie mainstream, ma è importante.

Esistono hub di connettività Internet che, se abbattuti, rallenterebbero o disabiliterebbero ampie porzioni di Internet. Il gruppo di hacker Anonymous una volta ha minacciato di attaccarli. Si chiamano "server dei nomi di root" .

Ci vorrebbe una quantità schiacciante di risorse per portare effettivamente uno di questi in basso, molto meno tutti. Ma in teoria? Certo, è fattibile.

Come ho detto, è stato minacciato e tentato prima .

Sì, potresti. Avresti bisogno di molte risorse, ma è possibile.