Molto probabilmente non ne avete mai sentito parlare, ma è anche grazie a questa tecnica che ogni giorno potete connettervi a Internet e accedere ai vostri siti preferiti in completa sicurezza e senza timore che i vostri dati possano andare persi o finire nelle mani di qualche cybercriminale. Si tratta del sinkholing, tecnica utilizzata da esperti di sicurezza informatica, amministratori di rete e amministratori di sistema per proteggere server web (e i dati contenuti al loro interno) ed evitare che siano messi fuori uso da attacchi DDoS o da altre tipologie di cyberattacchi.
Che cos'è il sinkholing
Il termine sinkholing (da sinkhole, traducibile in italiano con dolina, inghiottitoio o anche, per estensione, scarico) identifica una tecnica di sicurezza informatica utilizzata per reindirizzare e "far defluire" tutto il traffico proveniente da uno o più indirizzi IP "melevoli". Il flusso dati, in genere proveniente da attacchi DDoS o altre attività di hacking basate sull'invio di pacchetti di dati, viene solitamente reindirizzato verso server "civetta" creati appositamente per "smaltire" il traffico in eccesso. Ciò permette di neutralizzare l'attacco e, allo stesso tempo, proteggere i dati contenuti su un server o sui PC di una rete domestica o di lavoro.
Come funziona il sinkholing
In caso di attacco hacker in corso, gli amministratori di rete e di sistema che vogliono creare una sinkhole possono seguire diverse strade. La più battuta, per la sua relativa facilità e per la sua efficacia, è quella del DNS sinkholing. Questa tecnica consiste nel modificare alcuni parametri del sistema DNS (acronimo di Domain Name System, sistema dei nomi di dominio, in italiano) e deviare il traffico web verso altre "destinazioni" (ad esempio un server creato appositamente per assorbire il traffico pericoloso).
Solitamente, il sistema DNS viene utilizzato per smistare le richieste di accesso a un portale web verso il server che lo ospita: l'utente inserisce nella barra degli indirizzi la URL alfanumerica desiderata (l'indirizzo web del sito) e il DNS la traduce nell'indirizzo IP della risorsa cercata. Nel corso di un attacco DDoS, le richieste di accesso al server sono così tante da saturare la banda a disposizione e rendere il sito (o addirittura l'intero server, ove questo ospitasse diverse distinte risorse web) irraggiungibile. È a questo punto che entrano in gioco sistemi di difesa online come il DNS Sinkholing: anziché restituire l'indirizzo IP della risorsa cercata, le richieste della botnet saranno invece inviate verso un differente server "sinkhole", dotato di un diverso indirizzo IP e creato appositamente per smaltire e neutralizzare il "traffico in eccesso".
Perché il sinkholing ci protegge dagli attacchi informatici
Come appena visto, il sinkholing è di grande aiuto in caso di attacchi DDoS: deviando il traffico verso dei cul-de-sac informatici, evita che il sito principale non sia più raggiungibile e fa sì che i dati rimangano al sicuro da tentativi di intrusione di varia natura (ad esempio attacchi informatici del tipo "forza bruta"). Questa tecnica, però, può essere utile anche con altre tipologie di cyberattacco.
Il caso più famoso e più recente di sinkholing – quanto meno, tra quelli che si conoscono pubblicamente – è opera dell'inglese Mark Hutchins, white hat hacker e ricercatore di sicurezza indipendente capace di fermare l'attacco WannaCry spendendo poco meno di 9 euro. Il ricercatore britannico, dopo aver analizzato il codice sorgente del ransomware nordcoreano, scopre che il programma era stato creato con una speciale misura di sicurezza che consisteva nel tentare di collegarsi a un determinato sito web una volta installatosi su un nuovo computer, probabilmente allo scopo di ricevere nuove istruzioni prima di attivarsi come malware. Al ricercatore è quindi bastato registrare a proprio nome l'indirizzo IP del sito in questione, che era in quel momento inesistente, per fare in modo che il malware bloccasse la propria espansione.
Il sinkhole creato da Hutchins non ha ovviamente permesso di decrittografare gli hard disk già bloccati da WannaCry né ha impedito ai suoi autori di realizzarne una nuova versione senza questa falla, ma ha comunque consentito agli amministratori di sistema e sviluppatori di guadagnare tempo e aggiornare sistemi e reti in modo tale da mettere al riparo da questa minaccia utenti e dati.