Nelle ultime ore, a causa degli attacchi a Xbox Live e PSN, è tornato alla ribalta l'argomento DDoS e molti sembrano non aver ben chiaro cosa questo significhi, commentando l'accaduto con frasi come "se sapeva che sarebbe stata attaccata, Microsoft avrebbe dovuto premunirsi per resistere all'attacco". Purtroppo con un attacco DDoS questo non è possibile: si tratta del tipo di attacco Internet più difficile da contrastare, tanto da aver fatto cadere anche servizi come Facebook e Twitter. Questo perché gli attacchi DDoS sfruttano una debolezza intrinseca nel modo in cui è strutturato Internet, e non c'è possibilità di evitarli a meno di riprogettare l'intera rete mondiale. Ma vediamo di cosa si tratta.

Per capire cosa sia un attacco DDoS, dobbiamo prima togliere la "D" iniziale e capire cosa sia un attacco DoS, o "Denial of Service". Detto in parole povere, il DoS è un attacco inviato da un singolo computer verso un server con lo scopo di sovraccaricarlo e negare quindi l'accesso agli utenti. Gli attacchi DoS possono colpire molte parti dell'infrastruttura di rete o applicativa di un server, ma per semplificare immaginate il server come un casello autostradale e gli utenti come le automobili che vi transitano. In situazioni di traffico normale, il casello/server riesce a gestire e far passare senza problemi tutte le automobili/utenti, che ricevono quindi un normale servizio. Nel momento in cui qualcuno volesse però sovraccaricare il servizio, gli basterebbe inviare dal proprio PC un'ondata di chiamate simili a quelle degli altri utenti che "bombardano" il server, sovraccaricandolo e causando un rallentamento generale o addirittura il blocco completo.

Tornando al parallelo con il casello autostradale, immaginate che qualcuno invii improvvisamente una flotta di automobili 10, 100 o 1000 volte superiori a quelle che il casello gestisce normalmente: si creerebbero delle code enormi nelle quali, insieme alle automobili dell'attacco, verrebbero intrappolate anche quelle dei normali utenti. Quando avviene un attacco del genere, notate una grande lentezza dei siti web proprio perché siete messi in coda insieme a tutti gli altri, e prima di rispondere a voi il sito deve gestire tutte le altre richieste. Proprio come quando un grande afflusso di auto mette in tilt un casello autostradale e voi siete in coda aspettando il vostro turno.

Fortunatamente ci sono diversi modi per difendersi da un attacco DoS: essendo condotto da un solo computer, o comunque da una batteria di computer facilmente riconoscibili, le chiamate provengono tutte dagli stessi indirizzi IP ed hanno comunque una certa portata massima. Le aziende si mettono quindi al riparo da questo tipo di attacchi aumentando il "numero di caselli" (ossia il numero di server) che rispondono agli utenti e utilizzando dei particolari software che, quando vedono che arrivano troppe chiamate dagli stessi indirizzi IP, le mettono in una "lista nera" smettendo di considerarle. Immaginate come se, nel nostro casello autostradale, l'attacco venisse fatto con tutte macchine che hanno una stessa targa; per deflettere l'attacco basterebbe che i gestori dell'autostrada, quando vedono quella targa, devino le auto su una corsia secondaria in modo che non arrivino al casello.

Le cose si fanno però più complicate, e difficilmente gestibili, quando riaggiungiamo la "D" iniziale parlando di DDoS, che sta per "Distributed Denial of Service" o Attacco DoS Distribuito. Questo tipo di attacco si basa sugli stessi principi del DoS, ma viene lanciato contemporaneamente da una gran quantità di computer su Internet, spesso anche a loro insaputa. Teoricamente, se non sufficientemente protetti, anche voi potreste involontariamente contribuire a tali attacchi. Questo perché gli hacker che preparano questi attacchi distribuiscono prima dei virus o trojan che, una volta infettato un computer, rimangono "dormienti" in attesa di un comando da parte degli hacker. Nel tempo, quindi, gli hacker possono crearsi una rete mondiale di computer infetti (detta in gergo botnet o anche zombie network) che, al comando del loro "padrone", possono attaccare contemporaneamente un server bersaglio. E' come se l'hacker mettesse un dispositivo di controllo remoto sulle automobili di tutti i cittadini, ed al momento giusto gli desse l'ordine di accendersi e recarsi tutte contemporaneamente verso il casello autostradale da intasare.

Questo crea un'ondata di traffico molto più intensa rispetto ad un attacco DoS, perché proveniente da decine o centinaia di migliaia di PC sparsi in tutto il mondo, e difficilissima da contrastare. Aumentare il numero di server non ha un grande effetto visto che comunque questi attacchi sono assolutamente soverchianti, e neanche le tecniche di filtraggio per indirizzo IP hanno effetto perché, arrivando le chiamate da tanti PC in giro per il pianeta, si mascherano come dei normali utenti ed i server non hanno modo di distinguere le chiamate "malvage" da quelle dei normali utenti. Questo è il motivo per cui aziende come Sony e Microsoft non hanno modo di premunirsi anche quando gli attacchi vengono preannunciati, ed anche quando l'attacco sta avendo luogo non hanno molte armi per poterlo contrastare. Talvolta capita che questi attacchi possano essere fermati solo da altri gruppi di hacker, che magari tramite i loro contatti riescono a capire qual è la botnet utilizzata e infiltrarsi per bloccarla, oppure che riescono magari ad individuare chi è che sta lanciando l'attacco e bombardarlo a loro volta così che non possa più dare ordini alla botnet. Ma si tratta di scenari di cyber-guerra molto complessi e le cui dinamiche possono variare ampiamente.

Ovviamente nella realtà le cose sono molto più complesse di come le abbiamo spiegate: ci sono tantissimi tipi di attacchi diversi, alcuni colpiscono i server applicativi, altri i server DNS o i router stessi, altri ancora usano i PC "zombie" non per attaccare direttamente il bersaglio ma per "rimbalzare" l'attacco tramite altri PC "puliti" e così via. Speriamo però che, con questa spiegazione molto basilare, molti di voi abbiano compreso meglio come funziona questo tipo di assalti informatici e perché crei così tanti problemi alle aziende coinvolte.