Server giù, SCO grida al sabotaggio

Lindon (USA) – La scorsa settimana i server di SCO Group sono divenuti irraggiungibili per buona parte della giornata di mercoledì fino a tutto il giorno seguente, una situazione che, da quanto si evince dai grafici di Netcraft.com , si è poi ripetuta a cavallo fra sabato e domenica. SCO afferma che la causa del fuori servizio è da attribuirsi ad un attacco di tipo denial of service (DoS) “in larga scala” che, oltre al proprio sito Web e FTP, ha bloccato la intranet e i servizi di posta elettronica e di supporto ai clienti.

L’azienda ha specificato di aver subito un SYN flood , un tipo di attacco DoS che mira ad esaurire le risorse dei sistemi bersaglio in modo che questi non siano più in grado di rispondere alle richieste legittime. Secondo XO Communications, uno dei fornitori di connettività di SCO, le richieste TCP/IP provenivano da centinaia di sistemi appartenenti ad almeno una cinquantina di provider diversi.

In un comunicato diffuso negli scorsi giorni, SCO ha fatto sapere di stare collaborando con le autorità per raccogliere informazioni sull’identità degli aggressori e sulle modalità dell'”attentato”. L’azienda ha stimato che l’interruzione dei servizi (esclusa quella verificatasi nel fine settimana) le è costata, in termini di mancata produttività, circa 300.000 dollari.

“L’impatto sui nostri clienti e impiegati è stato notevole: basti pensare che sono rimaste in sospeso, sia in uscita che in entrata, oltre 30.000 e-mail”, ha affermato Jeff Carlon, director of information technology infrastructure di SCO.

“Deploriamo attività come questa da parte di chi, nascondendo la propria identità, tenta di intimidirci o di attaccare ripetutamente le nostre legittime attività di business attraverso tattiche cyber terroristiche”, ha dichiarato il portavoce di SCO Blake Stowell.

Anche questa volta SCO sospetta che dietro all’aggressione vi siano persone legate alla comunità di Linux, ipotesi respinta però con forza da molti membri di questa comunità.

Diversi esperti di sicurezza hanno poi espresso diversi dubbi sulla veridicità dell’attacco descritto da SCO, facendo notare come il tipo di aggressione che SCO sostiene di aver subito si possa sventare o quanto meno mitigare da tempo con numerosi strumenti, sia hardware che software (fra cui i più comuni vengono denominati “SYN cookies”). In un articolo apparso su Groklaw.net, un esperto spiega che “tool per attenuare questo tipo di attacco sono disponibili sin dal 1999”, inclusa una patch per il kernel di Linux, lo stesso sistema operativo adottato sui server di SCO in accoppiata con il webserver Apache.

In parziale difesa di SCO è intervenuta invece la Cooperative Association of Internet Data Analysis ( CAIDA ), che in un’ analisi dell’aggressione avvenuta i giorni 10 e 11 afferma che SCO è stata effettivamente tempestata per più di 32 ore con oltre 700 milioni di pacchetti TCP/IP: l’ingente traffico, secondo CAIDA, ha finito per consumare sia le risorse dei server che la banda della rete a cui questi sono connessi.

Se dunque l’associazione considera l’attacco veritiero, nel suo rapporto si legge tuttavia che “l’uso di sistemi per il bilanciamento del carico, di tool SYN cookies, e di Content Delivery Networks (CDN) possono aiutare a distribuire il carico dovuto dall’attacco DoS e rendere quindi più difficile saturare le risorse dei server e della rete”. Precauzioni che, nel caso di SCO, o non sono servite o non sono state impiegate.

Alla luce di queste considerazioni c’è chi s’interroga se l’incidente descritto da SCO sia dovuto alla negligenza di chi amministra i suoi server o, piuttosto, sia frutto di un piano premeditato per mettere in cattiva luce la comunità di Linux.

L’ ultimo attacco segnalato da SCO risale allo scorso agosto: in quel caso i server dell’azienda rimasero inaccessibili per quasi quattro giorni consecutivi.