Torno oggi, liberato da esami universitari, sull’argomento che in questi giorni sta scuotendo il panorama informatico italiano: le condizioni attuali delle linee adsl. Cerco di ampliare in maniera piú completa e dettagliata i pensieri giá esposti in quest’articolo.

La situazione attuale, secondo informazioni fornite da Luca Spada, CEO di NGI, e Stefano Quintarelli, presidente dell’AIIP (Associazione Italiana Internet Provider), é causata probabilmente da limiti dell’infrastruttura che sta sopportando un peso per il quale non era stata studiata. Situazione aggravata, molto probabilmente, dagli upgrade di banda che Telecom sta effettuando nell’ultimo periodo.

Molti utenti registrano infatti problemi anche cambiando i server DNS, con percentuali di pacchetti persi per strada che raggiungono a volte il 20/30%. Una cifra che sta ad indicare un problema piú diffuso del “sovraccarico” dei server DNS.

Ma vorrei tornare momentaneamente sul sovraccarico dei server DNS. Rileggendo le parole del comunicato di Telecom dette a Punto Informatico, la societá esclude attacchi DDoS e dá la colpa al traffico generato dai numerosi malware che stanno attaccando l’Italia. Escludendo il traffico dei malware, per il quale ho giá dato spiegazione nell’articolo precedente, mi chiedo perché Telecom abbia escluso un attacco di tipo DDoS.

Secondo alcune informazioni pubblicate online da Gigi Tagliapietra e confermate su forum da testimonianze di persone che lavorano su server DNS o sembrano conoscere la situazione, parrebbe infatti che una leggera parte del sovraccarico sia dovuto ad un tipo di attacco DDoS.

Inoltre, sul blog di Tagliapietra, viene citato un worm che lancia attacchi ai server DNS. Premettendo che, né personalmente né alla societá, abbiamo ricevuto segnalazioni di un trojan che si stia diffondendo avente queste caratteristiche, vorrei esprimere un paio di pareri su questa possibile situazione.

La possibilitá di un attacco DDoS, esclusa a priori da Telecom, in realtá potrebbe far parte di uno dei vettori che hanno causato il collasso dei server DNS. Bisogna peró capire da dove provenga questo attacco. Se fosse un trojan sconosciuto che si sta diffondendo su internet, per lanciare un attacco di dimensioni tali da poter mettere in crisi totalmente dei server DNS nazionali dovrebbe aver infettato un numero particolarmente alto di pc. Se, peró, si fosse diffuso cosí tanto da infettare cosí tanti pc necessari per una simile operazione, ci sarebbe stato di sicuro qualche report – cosa che al momento personalmente non ho, ma neanche altri colleghi che ho sentito.

Differentemente, potrebbero essere stati infettati un numero limitato di pc, con un preciso bot, grazie ai quali puó essere stato lanciato l’attacco. PC che, ovviamente, potessero garantire una certa quantitá di banda da poter causare danni alla – comunque problema sempre evidente – giá logorata struttura della rete italiana.

Questo pensiero per precisare ancora che il traffico puro dei malware su internet difficilmente é la causa di un sovraccarico dei DNS. Diversamente, un attacco DDoS – escluso a priori da Telecom – potrebbe invece essere un aggravante della giá critica situazione. Attacco DDoS che puó essere causato da un bot, ma molto difficilmente da un bot che si sta diffondendo via e-mail come reale pericolo per tutti gli utenti, quanto piú probabilmente un bot premeditato e installato su determinate macchine giá in precedenza, o comunque facente parte di un piano già prestabilito.