Intorno alle 17,40 di ieri Facebook, WhatsApp e Instagram sono diventati inaccessibili in tutto il mondo.
Poi poco prima dell’una di notte (ora italiana) hanno ripreso lentamente a funzionare. Sonole scuse anche di Mark Zuckerberg per il gigantesco blackout globale. «Scusate per l’interruzione, sappiamo quante persone fanno affidamento sui nostri servizi per restare connesse.»
In una dichiarazione ufficiale, Facebook ha chiarito che si è trattato dell’effetto a cascata di un problema di configurazione sui backbone router. «I nostri team di ingegneri hanno appreso che le modifiche alla configurazione sui backbone router che coordinano il traffico di rete tra i nostri data center hanno causato problemi che hanno interrotto questa comunicazione. Questa interruzione del traffico di rete ha avuto un effetto a cascata sul modo in cui i nostri data center comunicano, portando i nostri servizi a un livello stop.»
I pareri degli esperti
Prendendo spunto dal grave problema occorso a Facebook, gli esperti di Acronis si sono espressi sul tema degli outage di servizi, visti da un punto di vista della sicurezza informatica.
Guido Grillenmeier, Chief Technologist di Semperis ha osservato che dal momento che Facebook agisce anche come Identity Provider per altre app, la sua interruzione ha avuto conseguenze di vasta portata al di là dei propri servizi: qualsiasi altra applicazione, in genere web app che utilizzano l’opzione “Accedi con Facebook”, è stata colpita e con questo il business che si basava su queste identità.
Ben presto è risultato chiaro che il fattore scatenante dell’intera interruzione era legato semplicemente al processo di risoluzione della parte leggibile degli URL dei siti web, vale a dire il loro nome di dominio e i relativi nomi dei server, ai rispettivi indirizzi IP.
Questi ultimi sono necessari alle diverse macchine per comunicare tra loro, mentre noi umani usiamo i nomi, i computer e le app usano i loro IP per connettersi. Ma se il sistema su cui si fa affidamento per risolvere quei nomi agli IP, cioè il Domain Naming System, in breve DNS, non funziona correttamente, si è nei guai.
Mentre il team IT di Facebook stava effettuando alcuni aggiornamenti, un errore di configurazione ha portato i loro sistemi a inviare aggiornamenti di routing ad altri server DNS in tutto il mondo dicendo loro accidentalmente che facebook.com non esiste più, il che significa che non c’erano più server DNS là fuori che potessero risolvere qualsiasi nome legato a facebook.com a un indirizzo IP, che poteva essere usato per collegare i diversi sistemi che volevano usare i diversi servizi di Facebook.
Il business aziendale potrebbe non essere stato direttamente colpito da questa interruzione. Tuttavia, osserva il CTO di Semperis molte aziende hanno iniziato a utilizzare WhatsApp e Instagram per collaborare con i loro clienti, ad esempio per offrire supporto tecnico. Altre aziende sono fortemente dipendenti in quanto i loro utenti si autenticano con i loro account Facebook, ovvero utilizzano Facebook come fornitore di identità. Una volta che facebook.com non era più raggiungibile, nessuna nuova connessione poteva essere stabilita: «immaginate se Azure Active Directory non fosse più disponibile nel web, in quel caso il problema potrebbe essere risolto solo da Microsoft e non da voi stessi. Su scala ridotta, la vostra Active Directory locale on-premises ha altrettante dipendenze da un DNS correttamente configurato. In ogni caso, che sia a causa di una configurazione errata del DNS o per qualche altra ragione, come un attacco informatico diretto, se il vostro sistema di identità non funziona, il vostro business ne risentirà drasticamente. Quindi, idealmente, avete convalidato i vostri backup e avete il vostro piano di risposta agli incidenti pronto a partire».
Per Candid Wuest, Acronis VP of Cyber Protection Research ci sono vari potenziali attacchi contro l’infrastruttura DNS – dagli attacchi DDoS al rebinding DNS locale o all’hijacking di un DNS con il social engineering contro il registrar. Guardando le statistiche generali degli attacchi, sono molto meno popolari dei comuni attacchi malware e ransomware, ma possono essere estremamente devastanti se hanno successo in un attacco sofisticato. «È come tirare il cavo elettrico della vostra sala server – l’intera impresa diventa improvvisamente buia», commenta Wuest
Il manager di Acronis avverte che la protezione contro gli attacchi DNS non è banale in quanto si presentano in molteplici sfaccettature. Richiede una forte autenticazione e patch per proteggere i propri servizi, una formazione contro gli attacchi social engineering, così come le classiche mitigazioni DDoS dai fornitori, come Cloudflare. Naturalmente, anche i problemi di configurazione dovrebbero essere evitati. A seconda di quale servizio viene attaccato – per esempio, se si tratta di un server di autenticazione centrale condiviso tra più brand, come in questo caso, allora una tale interruzione può portare a più brand che vanno offline. «In verità, dobbiamo notare che la maggior parte delle interruzioni sono causate da azioni non maligne e sospettiamo che anche questo sia il caso», conclude Wuest.
Secondo Topher Tebow, Acronis Cybersecurity Analyst, l’attacco Denial of service è il tipo più comune di attacco DNS, ed è facilmente realizzabile dagli aggressori, poiché si basa sul semplice sovraccarico di richieste di un server. Altri attacchi come l’hijacking DNS e l’avvelenamento DNS, dove i record di un dominio vengono sostituiti o spoofati da un aggressore, sono più difficili da portare a termine, ma possono essere realizzati da un aggressore familiare con le potenziali vulnerabilità del sistema DNS.
Tebow afferma che gli hacker informatici sono sempre alla ricerca di nuovi modi per raggiungere i loro obiettivi. Negli ultimi due anni, Acronis ha notato alcuni attacchi DNS utilizzati come parte di uno schema di multi-estorsione quando le vittime di ransomware non pagano il riscatto. Questi attacchi non hanno visto l’aumento che hanno avuto altri tipi di attacchi, ma come per altri tipi di attacchi, sembrano accadere più frequentemente – con gli attacchi DDoS che guidano gli attacchi DNS.
L’esperti di Acronis sottolinea che, come per qualsiasi attacco, è importante mantenere la calma e avere un piano di risposta in atto prima del tempo. Per un attacco DNS, questo piano includerà chi comunica cosa, come e quando – così come avere una soluzione DNS di backup pianificata che può essere rapidamente implementata, se non automaticamente commutata in caso di un attacco ai server DNS principali. La comunicazione diretta con il provider DNS sarà utile nella maggior parte dei casi.
Per le aziende che ospitano più brand, come Facebook, l’effetto sulle filiali dipenderà davvero da come le aziende sono configurate. Se tutte usano gli stessi server DNS, e l’attacco è su quei server, allora i servizi andranno in down per tutte le aziende associate.
