Si possono definire supermercati degli attacchi DDoS , siti internet che per poche decine di dollari permettono di colpire qualunque obiettivo online – per vendetta, per mettere in difficoltà un concorrente, per ricattarlo economicamente – inondandolo di richieste di collegamento fino a farlo cedere sotto il peso del traffico ricevuto.
La struttura di questi siti (chiamati in gergo “stresser” e che si possono individuare attraverso una semplice ricerca su Google) permette a chiunque di utilizzarli, indipendentemente dalle competenze tecniche.
WebStresser.org era la più grande di queste piattaforme; utilizzata da 136mila utenti e responsabile – secondo quanto riportato dall’esperto di Cybersicurezza Brian Krebs – di una cifra che varia dai quattro a sei milioni di attacchi hacker (che si potevano acquistare anche per soli 15 dollari).
L’operazione “Power Off”, condotta nella giornata di martedì dalle polizie di 12 paesi, ha portato però al sequestro delle infrastrutture di WebStresser nel Regno Unito, Stati Uniti e Olanda; e all’arresto degli amministratori del sito tra Australia e Hong Kong. Uno degli arrestati (sempre secondo Brian Krebs) potrebbe essere il 19enne serbo Jovan Mirkovic, che più volte su Facebook aveva apertamente parlato del suo ruolo in WebStresser.
Le autorità considerano “Power Off” un importante successo, ma difficilmente la situazione cambierà drasticamente: sul web si trovano decine e decine di questi siti, che giustificano legalmente la loro attività spiegando come non abbia lo scopo di attaccare terzi, ma sia rivolta esclusivamente a chi desidera testare la resistenza del proprio sito (da cui deriva il nome “stresser”).
Ma dal momento che è sufficiente inserire un indirizzo IP per lanciare un DDoS, la quasi totalità di queste piattaforme (addirittura classificati in base alle performance su aggregatori specializzati ) offre di fatto la possibilità di portare attacchi hacker con la stessa facilità con cui si acquista online un paio di scarpe; pagando comodamente con PayPal o in Bitcoin.
