Qualche giorno fa è andato in scena l’ennesimo attacco DDoS degli attivisti filo-russi di Killnet contro istituzioni italiane. Sembra un déjà-vu di quanto accaduto una decina di giorni prima, con i medesimi moventi (rappresaglia alla posizione politica del nostro Paese rispetto al conflitto ucraino), una identica tecnica di attacco e gli stessi (fortunatamente lievi) disagi. Cambiano solo i nomi degli obiettivi finiti nel mirino: una cinquantina in tutto, fra cui spiccano i siti del Consiglio Superiore della Magistratura, Agenzia delle Dogane e dei ministeri di Esteri, Ministero dell'Istruzione e dei Beni Culturali, aeroporti di Linate, Malpensa, Orio al Serio, Genova e Rimini.

Franco Gabrielli, sottosegretario alla presidenza del Consiglio con delega alla sicurezza, ha bene inquadrato la questione nel corso di una intervista con Rai Radio 1: “Se creiamo un clima di disfattismo con un attacco DDoS comincio a preoccuparmi quando gli attacchi saranno più significativi”. Senza sminuire o sottovalutare quanto accaduto, un attacco DDoS non ha un impatto paragonabile a quello di un ransomware.

Attacchi DDoS

Gli attacchi Distributed Denial of Service sono alquanto popolari: nella prima metà del 2021 ne erano stati bloccati 5,4 milioni a livello globale. Hanno l'obiettivo di bloccare un servizio online travolgendo i server che lo ergano, con un'inondazione di traffico Internet. Per scatenalo vengono usati dispostivi infetti trasformati in bot, che generano traffico verso un indirizzo IP mirato. Il sito Web o il servizio bersagliato dal traffico non riesce a gestire le richieste da parte dei visitatori effettivi perché subissato da quelle fraudolente.

La conseguenza di un DDoS è quindi un’inaccessibilità dei servizi per la durata dell’attacco stesso. Su questo punto è bene fare una precisazione: nella prima metà del 2021 la durata media di un attacco registrata in Europa è stata di 47 minuti. Nei casi di attacchi record, come quello da 3,47 Tbps contro un cliente Azure, la durata è stata di 15 minuti e non sono rari i casi ancora più fulminei. Al contrario di un ransomware, terminato l’attacco il servizio torna disponibile.

Attivismo

DDoS è un’arma spesso impiegata dagli attivisti, che in linea di principio operano principalmente per denunciare quelle che ritengono ingiustizie, o per manifestare disapprovazione. Gli attivisti non sono affiliati di gruppi ransomware, e non portano avanti operazioni a scopo distruttivo. Da qui il condivisibile appello di Gabrielli a non creare disfattismo.

Tuttavia, lo stesso Gabrielli esorta ad attenderci un’escalation ed alzare la guardia. E ha perfettamente ragione. Non perché i siti web italiani potrebbero cadere a centinaia invece che a decine, quanto perché gli attivisti non sono gli unici gruppi criminali che si sono schierati politicamente con il Cremlino.

Dopo quanto accaduto il 21 maggio ci sta pensando Anonymous a tenere a bada Killnet: un chiaro messaggio sulla pagina ufficiale di Twitter @YourAnonOne avvisa di avere “aperto ufficialmente una cyber-war contro il gruppo hacker filorusso Killnet”.

L’Italia – intesa come imprese pubbliche e private e infrastrutture critiche, senza distinzioni – farà bene a iniziare seriamente a guardarsi alle spalle dai problemi più insidiosi, che non si sono ancora manifestati (non in relazione o come conseguenza del conflitto ucraino) ma che potrebbero verosimilmente arrivare. E a quel punto nessuno potrà dire che non se lo aspettava.