L’anomalia di TIM (risolta) e l’annuncio di una vulnerabilità attaccata dagli hacker non hanno nulla in comune

Nella giornata di ieri, a partire dal pomeriggio, i principali quotidiani generalisti italiani – che si occupano troppo raramente di cybersicurezza – hanno aperto le loro piattaforme con la notizia di un attacco hacker globale. Contemporaneamente, diversi utenti hanno registrato problemi d’accesso a internet, perché clienti del provider TIM: secondo i dati che CloudFlare Radar e NetBlocks hanno fornito, i livelli di connettività nel nostro Paese – nella giornata di ieri, 5 febbraio – erano al 26% rispetto ai livelli normali, nel periodo di tempo in cui si è palesato l’errore di configurazione che ha bloccato la rete TIM.

In #Italy a serious #Internet outage occurred with a major impact on the main operator Telecom Italia. #Network data shows national #connectivity at 26% of normal levels; It would appear to be an international interconnection problem.

source: @CloudflareRadar, @netblocks pic.twitter.com/mylxHW8G4F

— Flavio Luciani (@flavioluciani81) February 5, 2023

LEGGI ANCHE > Cosa significa che c’è stato un «attacco hacker globale»

Attacco hacker e TIM, perché le due cose non sono affatto connesse

Va da sé che la notizia di un attacco hacker molto esteso (che, però, aveva iniziato a essere operativo già prima del week-end, il 3 febbraio nella fattispecie) e la somma di questi problemi tecnici di TIM ha aumentato, nei cittadini italiani, la percezione che qualcosa, a livello di rete, non funzionasse. In realtà, però, quello che è stato presentato come un attacco hacker di portata globale ha avuto un impatto molto più circoscritto (anche se le opportune valutazioni andranno fatte sicuramente nel corso della giornata di oggi e dei prossimi giorni). E – soprattutto – nulla ha avuto a che fare con il down di TIM. L’azienda ha immediatamente fatto sapere che le due cose non avevano nessun collegamento (e – come abbiamo già detto nel pezzo di cronaca sull’attacco hacker – in nessun modo un problema di configurazione poteva essere stato causato da un attacco hacker) e, su questo, è arrivata anche una conferma da parte della polizia postale italiana.

TIM ha detto che il problema ha riguardato il flusso dati su rete internazionale che ha generato un impatto anche in Italia e ha spiegato che tutto era rientrato già alle 16.55 del pomeriggio di ieri, 5 febbraio. Al contrario, l’attacco hacker sta procedendo e riguarda, nello specifico, quelle aziende che utilizzano i server VMWare ESXi, un sistema che si installa su un server fisico che ti permette di suddividere le risorse hardware della macchina in più ambienti virtuali e di affidare a ogni partizione un servizio o un compito diverso, in modo da ottimizzare le risorse dell’architettura. Per intenderci, chi ha avuto problemi nel guardare le partite di campionato del pomeriggio – ieri – non li ha avuti perché Dazn stava usando VMWare ESXi, ma perché gli utenti finali erano abbonati alla rete di TIM (e, infatti, con il ripristino della rete TIM, i dati di traffico in Italia sono tornati a livelli record, vista anche la concomitanza di Inter-Milan trasmessa in streaming su Dazn).

And again #football and again a #Internet traffic record. Tonight it is the turn of Inter – Milan for the Italian football major league. The highest #traffic peak ever here at #Namex (@namex_ixp), the Rome #IXP. Almost half a tera! 470Gbps of public #peering! pic.twitter.com/2WiVRet6fD

— Flavio Luciani (@flavioluciani81) February 5, 2023

L’attacco hacker, dunque, non ha avuto l’effetto dirompente che ha avuto il down di TIM e i due eventi – è opportuno spiegarlo ancora una volta – non sono in alcun modo collegati l’uno all’altro. La vulnerabilità, semmai, ha dimostrato quanto le aziende italiane siano poco pronte a “cronache di attacchi annunciati”. Soprattutto, visto che questa vulnerabilità era nota già a partire dal 2021, come vedremo negli altri articoli di approfondimento di oggi.