La settimana scorsa GitHub, piattaforma pilastro dei programmatori, ha subito un attacco massiccio. L’obiettivo erano due progetti dedicati ad aggirare la censura di Pechino sulla Rete. L’attacco ha sfruttato il motore di ricerca Baidu e China Unicom. Negli stessi giorni Google e Mozilla hanno dichiarato che non si fideranno più dei certificati digitali emessi dal governo cinese. Carola Frediani ci spiega cos’è successo e quanto è importante.
La censura può passare per molte vie. Anche tortuose. Anche creative. Sta di fatto che nei giorni scorsi è stato lanciato un attacco informatico ampio e sofisticato per rendere irraggiungibili delle informazioni online. A essere colpito il sito GitHub, che ai più forse non dice molto, ma che è invece uno dei pilastri dei programmatori. Si tratta di una piattaforma dove sono condivisi software e codici sorgenti da tutto il mondo. 21 milioni di progetti e 9 milioni di utenti. Che non saranno le milionate di iscritti dei social network, ma raccolgono quel genere di persone che costruiscono, implementano e fanno funzionare siti, servizi e applicazioni usati anche da tutti gli altri.
I due progetti anticensura
La scorsa settimana, per diversi giorni, GitHub ha subito un massiccio assalto online, e il principale indiziato sembra essere il governo cinese. L’attacco puntava in particolare a due progetti ospitati, in versione copia, “mirror”, su GitHub – che oltre a righe di codice è usato per salvare informazioni di vario genere – e dedicati ad aggirare la censura di Pechino sulla Rete: ovvero GreatFire.org, che pubblica articoli e dati su come opera il sistema di blocchi e di filtri online cinese, il famigerato Great Firewall; e una copia dell’edizione in mandarino del New York Times.
Indiziato: la Cina
Così, dallo scorso giovedì, GitHub e in particolare i due indirizzi dei progetti menzionati sono stati inondati da una marea di traffico proveniente da tutto il mondo, in gergo un attacco DDoS, che puntava a sovraccaricare i server e rendere le pagine irraggiungibili. Perché si pensa che dietro ci sia sia la Cina? Una ragione è ovviamente il target colpito. Già due anni fa le autorità di Pechino avevano bloccato Github impedendo agli utenti cinesi di visitarlo. Ma dopo poco erano dovuti tornare sui loro passi, perché molti programmatori e ingegneri locali avevano protestato, spiegando di aver bisogno di quel sito per lavorare.
Allo stesso tempo, così come la Cina non può censurare GitHub in blocco, non può farlo facilmente nemmeno in modo mirato, selettivo, scegliendo solo alcuni indirizzi: questo perché il sito usa la tecnologia SSL (quella che ci fa vedere https nella barra degli indirizzi, come quando ci colleghiamo all’home banking o a Gmail). In pratica le connessioni al sito sono cifrate e ciò rende difficile per un attaccante esterno capire chi sta accedendo a quella pagina. Quindi, o la Cina blocca l’intero sito o deve consentire l’accesso a tutto GitHub, perché non riesce a bloccare solo alcuni suoi indirizzi (Url).
Come ha funzionato l’attacco
Ma un modo alternativo per bloccare delle informazioni sul Web è mandarle offline con un attacco. E in questo caso l’assalto ha avuto origine dall’infrastruttura cinese. In che modo? Sfruttando il motore di ricerca cinese Baidu, che come Google offre un servizio di analytics, di tracciamento delle visite e delle statistiche, usato da molti siti cinesi. La dinamica è la seguente: utenti di tutto il mondo visitano dei siti cinesi che utilizzano la tecnologia di Baidu; ma di nascosto nel loro traffico viene iniettato del codice (Javascript) che ordina ai loro browser di caricare costantemente le due pagine sotto attacco su GitHub. In pratica gli innocenti e inconsapevoli visitatori di questi siti hanno il loro traffico sequestrato e usato per bombardare di richieste i target.
Attacco MITM (“uomo in mezzo”)
Baidu dice di non saperne niente, e se ciò fosse vero – ipotizzano gli esperti – significa o che è stata hackerata o che qualcuno ha modificato il traffico internet mentre andava da Baidu agli utenti. Si chiama attacco Man In The Middle (MITM), perché l’attaccante si inserisce “in mezzo”, tra la connessione che va dai server di Baidu al navigatore, modificando il contenuto arbitrariamente. Chi potrebbe essere in grado di farlo nel caso specifico? Il governo cinese.
Coinvolta China Unicom?
Secondo il noto esperto di sicurezza informatica Rob Graham, l’origine del codice malevolo usato per sequestrare il traffico degli utenti arriverebbe da China Unicom, telco cinese statale che già in passato era stata coinvolta nel Great Firewall, l’apparato di censura cinese. Quindi, dice, Graham, o degli hacker hanno preso possesso delle macchine Unicom, o a gestire l’attacco è il governo.
Tutto ciò è avvenuto mentre Google e Mozilla facevano sapere che i loro browser – Chrome e Firefox – non si fideranno più dei certificati digitali emessi dal governo cinese (in particolare dal China Internet Network Information Center, CNNIC), certificati che servono a garantire l’autenticità di un sito visitato dagli utenti, evitando che altri lo impersonino. E mentre il presidente Obama firmava un ordine esecutivo che impone sanzioni economiche a hacker che attacchino infrastrutture critiche americane, una volta identificati. Sembra un chiaro messaggio rivolto alla Cina.
[Scritto per La Stampa]*Carola Frediani, giornalista, nel 2010 ha co-fondato l’agenzia Effecinque. Scrive di nuove tecnologie, cultura digitale e hacking per L’Espresso, Wired, Corriere della Sera, Il Secolo XIX, DailyDot, TechPresident. Nel 2014 ha lavorato per tre mesi come social media editor della Stampa. Ha scritto Dentro Anonymous. Viaggio nellle legioni dei cyberattivisti (Informant, 2012) e Deep web. La rete oltre Google – personaggi, storie e luoghi dell’internet profonda (Quintadicopertina, 2014).