Proseguono da quasi due settimane gli attacchi informatici a Lottomatica, attacchi che hanno creato qualche disservizio alla rete scatenando qualche lamentela da parte degli utenti giocanti. A tal proposito se ne parla sui social, soprattutto tra esperti nel settore, mentre da parte di Lottomatica non ci sono state dichiarazioni pubbliche. Fino ad oggi.
Ho avuto modo di poter intervistare Roberto Saracino, Senior Vice President CTO Italy & Global Communication di Lottomatica.
David: «Da quando sono partiti questi attacchi?»
Saracino: «L’ultimo attacco a cui abbiamo dovuto far fronte di particolare entità si è avuto sabato [26 ottobre]. I nostri sistemi di monitoraggio hanno rilevato un innalzamento esponenziale anomalo del traffico in ingresso (inbound) che ci ha indotti ad attivare il servizio di protezione che abbiamo a disposizione presso lo scrubbing center di un nostro partner specializzato in protezione da attacchi DDos. L’attacco si è poi protratto in maniera alternata e con diverse varianti nei giorni seguenti diminuendo in maniera progressiva non avendo avuto alcun risultato di particolare rilievo se non un periodo limitato di indisponibilità di alcuni servizi on-line.»
David: «Si è parlato di spoofing. Com’è iniziato l’attacco?»
Saracino: «L’attacco è iniziato con un Syn reflection, una modalità che fornisce all’attaccante diversi vantaggi, caratterizzata dallo Spoofing (falsificazione) degli IP della vittima (Lottomatica) che vengono utilizzati verso terzi, e da un’amplificazione degli effetti causata dal ritorno dei pacchetti di risposta da parte di terzi (appunto reflection), mascheramento intrinseco degli IP della botnet (la rete di computer zombie che sta realmente perpetrando l’attacco).
David: «Come avete reagito?»
Saracino: «Questa prima ondata è stata contenuta grazie ai nostri sistemi di protezione, senza i quali tutta la catena dei dispositivi interposti fra l’ISP ed i nostri datacenter avrebbe risentito pesantemente del sovraccarico poiché le risorse computazionali si sarebbero saturate in pochissimo tempo. In contemporanea si è proceduto, di concerto con i principali ISP, al ricondizionamento della reputazione degli indirizzi IP, inseriti nelle blacklist dei principali ISP/vendor poiché segnalati da altre organizzazioni sotto attacco.»
David: «L’attacco, tuttavia, non si era fermato affatto. Nuove disfunzioni, altre segnalazioni.»
Saracino: «Nei giorni seguenti l’attacco si è evoluto in varie ondate di entità più o meno elevata che hanno sfruttato altre modalità, come attacchi di tipo volumetrico UDP e Syn-Ack mitigati attraverso diverse tecnologie e configurazioni di rete implementati grazie alla grande professionalità delle strutture di Network e Security di Lottomatica.»
David: «Siete sicuri che non abbiano usato uno specchietto per le allodole impegnandoci su un fronte per poi essere attaccati altrove?»
Saracino: «Ovviamente quasi tutti gli attacchi massivi verso una singola organizzazione sono di tipo multiplo, ovvero caratterizzati da una varietà di tentativi che spazia dalla negazione del servizio (DOS e DDOS), passando dall’intrusione informatica.»
David: «Mi sembrate molto sicuri, non è un rischio esserlo?»
Saracino: «Ad oggi non abbiamo evidenze di alcuna penetrazione nella nostra rete. Il nostro Team di Security Experts ha infatti continuato a lavorare su due fronti: blocco dell’attacco DDos e Analisi dei logs e comportamentale per individuare all’interno della rete eventuali comportamenti anomali e/o compromissioni malgrado durante gli attacchi abbiamo ricevuto dei picchi di tentativi di scansione di porte TCP/UDP (che riceviamo quotidianamente), che lasciava può indicare anche tentativi di intrusione una volta trovate vulnerabilità sfruttabili. L’allerta verso i dati sensibili e personali, soprattutto inerenti i nostri clienti, resta sempre alta, così come l’aggiornamento dei relativi presidi tecnologici e di processo implementati per la protezione.»
David: «Vi siete posti il come mai, oltre ad Eurobet, avete subito questo attacco? Vi siete fatti un’idea sul mandante?»
Saracino: «Purtroppo, come sicuramente lei saprà, siamo gli unici oggetto di tali attenzioni in questo periodo. E non solo nel mondo dei giochi.»
David: «Avete rilasciato qualche comunicato durante gli attacchi per rispondere agli utenti che si lamentavano del disservizio?»
Saracino: «Non sono stati rilasciati comunicati sui canali ufficiali durante l’attacco poiché i disservizi sono stati poco rilevanti e diluiti nel tempo; tuttavia, data l’attenzione che ci caratterizza verso i nostri clienti e la loro soddisfazione, sono stati contattati puntualmente i clienti impattati mediante il nostro CRM e la posta elettronica, al fine di evitare inutili allarmismi e conseguenti congestioni dei nostri Contact center.»
