Red Hot Cyber
Condividi la tua difesa. Incoraggia l'eccellenza. La vera forza della cybersecurity risiede nell'effetto moltiplicatore della conoscenza.
Redazione RHC : 4 Ottobre 2021 18:09
Il 4 di ottobre del 2021, verrà ricordato come un giorno deisamente NO per Facebook. Un down di diverse ore ha portato già tutto l’ecosistema dei social network, tra i quali Facebook, Whatsapp ed Instagram su scala mondiale.
All’inizio, la società ha affermato di essere “consapevole del fatto che alcune persone hanno problemi ad accedere all’app di Facebook” e che stava lavorando per ripristinare l’accesso, anche se non ha detto cosa potrebbe causare l’interruzione, iniziata intorno alle 11:45 ET.
Pagina di errore collegandosi a Facebook
Sull’account di Twitter di Whatsapp, l’azienda ha scritto:
“Siamo a conoscenza del fatto che al momento alcune persone stanno riscontrando problemi con WhatsApp. Stiamo lavorando per riportare le cose alla normalità e invieremo un aggiornamento qui il prima possibile. Grazie per la vostra pazienza!”
Gli utenti hanno riferito di non essere in grado di accedere a Facebook in California, New York ed Europa.
Facebook, nell’ultimo periodo ha attraversato una grave crisi, anche grazie ad un informatore che è stato la fonte di una serie di articoli sul Wall Street Journal, riportando che la società è di fatto consapevole sugli effetti negativi dei suoi prodotti.
Anche su Down Detector stavano aumentando velocemente le persone che riportano i Down dei servizi di casa Facebook, anche se anche altri servizi collegati piano piano stavano andando giù.
Inizialmente si era pensato ad un problema di CDN (content distribution network) fino ad arrivare a un attacco DDoS (anche se improbabile), oppure ad una rottura di un cavo sottomarino o più semplicemente problematiche sui DNS (ad esempio problematiche di propagazione DNS o addirittura Spoofing DNS), tutto ad ora potrebbe essere possibile. E così in effetti è stato.
Secondo un’analisi degli esperti della società di intelligence Thousand Eyes, parte della galassia Cisco, il down di Whatsapp, Facebook, Instagram e Messenger è legato a un problema Dns (Domain name system).
Al momento, anche gli uffici di Facebook stanno avendo problemi in quanto i tornelli di ingresso non funzionano regolarmente e non possono ricevere email dall’esterno.
Al momento sembrerebbe che siano state ritirate le rotte BGP che servono il DNS primario di Facebook, pertanto è pensabile che possa essere stato effettuato uno spoofing del DNS di proprietà di Facebook.
DNS è l’abbreviazione di Domain Name System, è il servizio che traduce i nomi host leggibili (come redhotcyber.com) in indirizzi IP numerici non elaborati. Senza DNS funzionante, il tuo computer non sa come raggiungere i server che ospitano il sito web che stai cercando.
Tuttavia, il problema è più profondo degli ovvi errori DNS di Facebook. Anche Instagram di proprietà di Facebook era inattivo e i suoi servizi DNS, che sono ospitati su Amazon anziché essere interni alla rete di Facebook, erano funzionanti. Instagram e WhatsApp erano raggiungibili ma mostravano errori HTTP 503 (nessun server è disponibile per la richiesta), un’indicazione che mentre il DNS funzionava e i bilanciatori del carico dei servizi erano raggiungibili, i server delle applicazioni che avrebbero dovuto alimentare i bilanciatori del carico non lo erano.
Poco dopo, il vicepresidente di Cloudflare Dane Knecht ha riferito che tutte le rotte BGP per Facebook erano state cancellate. (BGP, abbreviazione di Border Gateway Protocol, è il sistema mediante il quale una rete individua il percorso migliore verso una rete diversa).
Senza percorsi BGP nella rete di Facebook, i server DNS di Facebook sarebbero irraggiungibili, così come i server delle applicazioni mancanti per Instagram, WhatsApp e Oculus VR di proprietà di Facebook.
Se i percorsi BGP per una determinata rete sono mancanti o errati, nessuno al di fuori di tale rete può trovarli.
Non molto tempo dopo, l’utente di Reddit u/ramenporn ha riferito sul subreddit r/sysadmin che il peering BGP con Facebook è inattivo, probabilmente a causa di una modifica della configurazione che è stata inviata poco prima dell’inizio delle interruzioni.
Secondo u/ramenporn, che afferma di essere un dipendente di Facebook e sta lavorando sulla questione, questo è molto probabilmente un caso di rete in cui Facebook ha spinto una modifica alla configurazione che li ha inavvertitamente bloccati.
Ora la correzione a questo problema potrebbe essere quella di modificare le regole dai tecnici del data center con accesso locale e fisico ai router in questione.
Ci sono volute quasi sette ore per tornare, parzialmente online. Facebook in un tweet ha riportato:
“Alla grande comunità di persone e aziende in tutto il mondo che dipendono da noi: ci dispiace. Abbiamo lavorato duramente per ripristinare l’accesso alle nostre app e ai nostri servizi e siamo lieti di annunciare che stanno tornando online ora. Grazie per aver sopportato con noi.”
Anche Zuckerberg in persona si è scusato, attraverso il suo profilo Facebook, dicendo:
“Facebook, Instagram, WhatsApp e Messenger stanno tornando online ora. Mi dispiace per l’interruzione di oggi – so quanto vi affidate ai nostri servizi per rimanere in contatto con le persone a cui tenete”
ha scritto il fondatore del social per eccellenza. I servizi stanno tornando online, ma ha avvertito che ci vorrà del tempo prima che si stabilizzino. Resta il fatto che, come segnala downdetector che questo è stato il più grande down della storia per Facebook e servizi associati.
Di fatto è stato un errore interno causato da una errata configurazione dei server di Facebook. Lo riporta il New York Times che ha raccolto la spiegazione di John Graham-Cumming, chief technology officer di Cloudflare, una società di infrastrutture web. La premessa è che i computer convertono siti web come Facebook.com in indirizzi numerici (IP), attraverso un sistema che l’esperto paragona alla rubrica di un telefono.
“Il problema interno che si è verificato in Facebook è stato l’equivalente del rimuovere i numeri di telefono degli utenti dai loro nomi in rubrica, rendendo impossibile chiamarsi”.
È come se improvvisamente fossero stati cancellati i percorsi che consentivano agli utenti di accedere ai server di Facebook. In pratica, milioni di smartphone e di altri dispositivi cercavano insistentemente di trovare le app di Facebook su Internet ema non ci riuscivano, generando traffico capace di rallentare tutta la rete.
Sempre il Nyt spiega che Facebook avrebbe inviato una squadra ad uno dei suoi data center a Santa Clara, in California, per resettare manualmente i server.
RedazioneUn nuovo allarme arriva dal sottobosco del cybercrime arriva poche ore fa. A segnalarlo l’azienda ParagonSec, società specializzata nel monitoraggio delle attività delle cyber gang e dei marketpla...
Cisco Talos ha identificato una nuova campagna ransomware chiamata DeadLock: gli aggressori sfruttano un driver antivirus Baidu vulnerabile (CVE-2024-51324) per disabilitare i sistemi EDR tramite la t...
Quanto avevamo scritto nell’articolo “Codice Patriottico: da DDoSia e NoName057(16) al CISM, l’algoritmo che plasma la gioventù per Putin” su Red Hot Cyber il 23 luglio scorso trova oggi pien...
Notepad++ è spesso preso di mira da malintenzionati perché il software è popolare e ampiamente utilizzato. Una vulnerabilità recentemente scoperta nell’editor di testo e codice open source Notep...
Una vulnerabilità critica associata all’esecuzione di codice remoto (RCE) in Outlook è stata sanata da Microsoft, potenzialmente consentendo a malintenzionati di attivare codice dannoso su sistemi...
