Sul canale YouTube ho fatto già qualche video (uno, due e tre) commentando gli articoli pubblicitari di Punto Informatico su temi informatici: l’idea era di divertirsi un po’ leggendo la reclame e imparando qualcosa: tutti devono portarsi a casa il pane e, anche se sarebbe meglio farlo essendo sempre affidabili, possiamo accettare qualche articolo pubblicitario un po’ semplicista, specie se ci consente di analizzarlo sul canale. ;)

Il problema è quando tale contenuto non viene prodotto una tantum ma diventa parte del modus operandi di un sito. Navigando su Punto Informatico ho trovato un’altra autrice, di professione copywriter, che ha scritto un articolo che mi ha lasciato le lacrime agli occhi. Dalle risate.

Iniziamo a leggerlo:

Gli attacchi DDoS (Distributed Denial of Service) sono attacchi cyber che riescono a bloccare un sito Web o un server quanto di un cittadino privato che di un’organizzazione.

Ovviamente è un metodo illegale e molto popolare poiché il loro acquisto sul dark web è facile, come la distribuzione.

Distribuzione di un DDoS? in che senso? Non si tratta di un malware che si distribuisce, ma di un’azione coordinata che serve a sovraccaricare un sistema. Per di più non è necessariamente in ballo il dark web, ad esempio i ciberattivisti ucraini son stati capaci di DDoSsare vari siti russi con proprie risorse (e cannoni a varie orbite).

Gli attacchi DDoS sono in grado di colpire informazioni private, finanziarie e aziendali, arrivando persino a quelle governative.

Informazioni o infrastrutture? C'è una differenza non banale. Se un servizio pubblico viene DDoSsato sarà inaccessibile ma, a meno di altri errori o bachi, tipicamente l’integrità dei dati resta garantita, così come resta garantita la confidenzialità. In sostanza, nella triade Confidenzialità, Integrità e Disponibilità, l’attacco DDoS tocca l’ultima.

Ovviamente vi possono essere delle interazioni o degli errori: spesso i DDoS vengono effettuati insieme ad altri attacchi, un po’ come diversivo o come ulteriore minaccia, così come configurazioni errate possono mettere in pericolo la confidenziali dei dati (si veda l’INPS nel 2020).

Il pericolo arriva direttamente da fonti esterne, ma anche dall’interno di un’organizzazione

Se uno ha un sabotatore all’interno o una testa di ponte inconsapevole il DDoS è l’ultimo dei suoi problemi, comunque. A meno che parlino di DDoS contro servizi interni, come descritti da Kaspersky nel 2016. Tra l’altro, parlando di prezzi russi, un anno di protezione DDoS Kaspersky va dai 21’000€ ai 90’000€ e dubito fortemente che non esistano opzioni personalizzate ben più costose. Tenetelo a mente.

Un attacco al server DDoS

Diciamo anche che se uno ha un “server DDoS” in un’organizzazione ci possono essere legittimi dubbi sulla legalità delle sue attività. O sulla qualità dell’articolo che stiamo leggendo…

accade quando diversi sistemi lo bombardano sistematicamente tramite traffico dannoso. Ciò sovraccarica il server, che si blocca e non risponde più ad alcuna richiesta valida.

Ok

Insomma, un attacco che, se ben eseguito, è quasi impossibile da prevenire e fermare

Concordo. Fermare un DDoS richiede risorse non indifferenti e, purtroppo, la soluzione migliore per affrontarne uno è spesso scollegare il servizio, dandola vinta agli attaccanti.

L’uso di una VPN come NordVPN può aiutare in questi casi?

Ecco che arriva…

La risposta è sì

AAAAAARGH

Come agisce NordVPN? Siccome un attacco DDoS viene perpetrato nel momento in cui gli hacker riescono a ottenere l’indirizzo IP della vittima NordVPN, che lo nasconde, impedisce di fatto di loro di conoscerlo.

Noto che la qualità dell’articolo non fa che calare (“di fatto di loro di conoscerlo”), in ogni caso tale ragionamento potrebbe sembrare sensato ma, come vedremo, non lo è.

Quindi, in altre parole, NordVPN è in grado di contrastare questa tipologia di attacco. Però, come dicevamo, ci sono dei casi, fortunatamente piuttosto rari, in cui l’hacker riesce ad accedere nel sistema attraverso una backdoor oppure infettandolo con un RAT (Remote Access Trojan).

Sul come NordVPN possa contrastare tali attacchi parleremo meglio dopo, in ogni caso se uno ha un RAT nel sistema è messo ben peggio e mi chiedo ancora cosa c’entri con i DDoS: al massimo, se c'è un trojan, si può sapere l’IP reale e usarlo per attaccare. Ma si potrebbe anche formattare la macchina, dando un effetto DoS… ben più duraturo.

NordVPN è l’unico modo per impedire che un attacco DDoS possa bloccare un server o un sito Web

L’unico, eh. Google Project Shield levati, è arrivato Punto Informatico con NordVPN. Tenete bene a mente anche il dettaglio “server o sito web”

Ciò perché non permette a nessuno di monitorare l’attività web, poiché modifica l’indirizzo IP e oscura la posizione virtuale.

Continuo a ribadire che il DDoS è un attacco generalmente cavernicolo, non richiede monitoraggi o cose del genere, di media. Per di più, tecnicamente parlando, una VPN non “modifica” l’IP, non più di quanto il vostro ISP modifichi il vostro 192.168.1.24 in 151.44.12.35, ma è anche vero che l’effetto percepito è quello.

Ciò grazie a una crittografia all’avanguardia, che mette al sicuro i dati quando si naviga su Internet usando le reti Wi-Fi pubbliche o qualsiasi altra rete.

Chi non attacca, d’altronde, i propri server web al Wi-Fi del bar di fronte!

La confusione regna sovrana

Ci tengo a dire che NordVPN può proteggervi da alcuni tipi di DDoS. È infatti possibile DDoSsare anche connessioni domestiche ed è (o forse era) un tipo di scherzo/vandalismo informatico abbastanza diffuso nelle comunità online di videogiochi. Considerando poi che, in media, i router domestici non sono particolarmente prestanti spesso bastano pochi buontemponi per lasciare il malcapitato utente senza connessione (e, se ha un router particolarmente economico, anche senza router)

NordVPN, nascondendo il vostro IP d’uscita reale, sicuramente è una protezione. Ma è anche vero che un DDoS così infantile è normalmente risolvibile semplice… spegnendo il router e cambiando IP.

Il problema di passare siti e server per una VPN

L’idea veramente grottesca in quell’articolo infatti è poter difendere un servizio (“un server o un sito Web”) con una VPN commerciale come NordVPN

Infatti un servizio, per essere tale, dev’essere raggiungibile. NordVPN non permette il port forwarding, ossia il mandarvi la richiesta, nelle proprie politiche dice infatti che:

Unfortunately, at the current moment, we do not offer port forwarding, as multiple customers are using the same servers.

Indubbiamente sarebbe anche possibile un proxy inverso, che non è nemmeno citato nelle FAQ. Quando ho chiesto a NordVPN su Twitter se fosse possibile li ho presi comprensibilmente alla sprovvista: d’altronde andare da un venditore di VPN chiedendo com'è la protezione DDoS dei servizi è come andare a comperare un casco e chiedere quanto protegge dalle malattie sessualmente trasmissibili.

Ho dunque chiesto via e-mail al supporto ufficiale di NordVPN (che ringrazio) che ha avuto da dire:

Indeed, NordVPN currently does not offer a port forwarding feature due to security reasons, although we are actively discussing whether this could be added to our server configuration in the future.

As for DDoS protection, NordVPN would help you with hiding your IP address so no one could obtain it and DDoS you.

In case a hostile entity already knows your IP address, the best course of actions would be to change your IP by contacting your ISP and connecting to the NordVPN servers afterward.

In sostanza, NordVPN non offre al momento il port forwarding, dunque non permette di proteggere server e siti web e la protezione DDoS che offre è il nascondere il vostro IP. Se qualcuno già lo conosce, ovviamente, la soluzione è cambiarlo contattando il vostro ISP (o riavviando il router, aggiungo io, normalmente funziona uguale, almeno con le connessioni italiane).

Per di più, se anche fosse possibile effettuare il port forwarding il business di una VPN commerciale non è offrire protezione dai DDoS: è ben probabile che appena subiate un attacco particolarmente forte vi rescindano il contratto. Lo fanno gli hosting, d’altronde…

Alcune VPN commerciali, come Mullvad, offrono il port forwarding, tuttavia esso ha numerosi limiti (ad esempio, la scelta della porta è randomica, d’altronde non possono dare un IP a persona) e non parla di protezione dai DDoS. È bene ricordare, infatti, che l’uso del port forwarding da solo non è una reale difesa contro i DDoS.

In sintesi, può andar bene per un server Jellyfin o Minecraft, ma è ben difficile che sia una soluzione viabile per un servizio inteso per il pubblico, come un sito web. Tra l’altro, volendo accettare un URL tipo https://sitoweb.com:6324, spesso tali sistemi richiedono che il port forwarding avvenga verso un dispositivo collegato alla VPN e, a meno di avere un server proprio, un classico web hosting (ricordate che l’articolo parla di siti web distinti dai server, quindi riconosce i web hosting) non ve lo permetterà.

In buona sostanza una VPN non costituisce una buona forma di protezione da attacchi DDoS per servizi che necessitano di essere esposti: al massimo offre un livello di sicurezza tramite segretezza nei confronti dell’utente passivo, ma non è ciò che afferma l’articolo, che si mostra dunque come una trovata pubblicitaria in piena regola senza alcuna affidabilità dal punto di vista informatico.

PS. Vogliamo parlare dell’articolo “Tutti parlano di VPN, ma sanno veramente come funziona?", sempre della stessa autrice, in cui si dice che “VPN è l’acronimo di Virtual Private Network che offre privacy e sicurezza online, oltre che libertà totale”? Sarebbe interessante contattare SurfShark, la VPN sponsorizzata dall’articolo, chiedendo se è possibile utilizzare i loro servigi per scambiarsi materiale pedopornografico, d’altronde, si sa… libertà totale!