Sembrano definitivamente risolti i problemi tecnici (perché di questo si sarebbe trattato) che lo scorso 14 dicembre hanno causato il Google down, l’interruzione su scala mondiale che ha interessato tutti i servizi online di Google, tranne il motore di ricerca, con milioni di utenti impattati (e che ha avuto un piccolo strascico anche nella giornata di ieri, in cui si sono susseguite le segnalazioni di malfunzionamenti su Gmail).
I sistemi interessati dal Google down sono stati tutti quelli connessi online al sistema di autenticazione. Social e siti americani hanno immediatamente dato notizia del problema aggiornando progressivamente le evidenze tratte dal sito di Google Workspace e principalmente da Downdetector, ma anche monitorando gli account Twitter dell’azienda hi-tech.
Chi osserva lo scenario mondiale dal punto di vista geopolitico e di cyberwarfare ha effettuato supposizioni riguardanti la possibile connessione con la campagna di cyber spionaggio condotta presumibilmente dal gruppo di hacker russi APT29 “Cozy Bear” ai danni di numerose agenzie governative americane, ma al momento tutte le evidenze e le dichiarazioni ufficiali smentiscono questa eventualità.
Indice degli argomenti
Google down: cos’è successo davvero
L’interruzione globale dei servizi Google si è protratta per circa un’ora e, come riportato dal sito Downdetector, ha interessato un’ampia gamma di servizi Google: YouTube, Gmail, Google Suite e Google Maps, Google Drive e Google Translator. Qualsiasi tentativo di utilizzo dei servizi via web ha provocato la visualizzazione della pagina di interruzione del servizio, segnalata dal messaggio “interruzione momentanea errore generico 500”.
I dati di Downdetector hanno mostrato come il problema fosse mondiale, con segnalazioni provenienti da Europa, Stati Uniti, India, Giappone, Australia e altri paesi interessando milioni di utenti.
In Italia l’outage è stato osservato dalle 13:00 alle 13:32 quando Gmail e gli altri servizi sono gradualmente tornati operativi. L’account di Google Workspace ha confermato che tutti i suoi prodotti erano interessati tranne il motore di ricerca che in effetti era rimasto operativo.
La lista completa dei servizi fuori uso, tratta dalla pagina Google specifica, è indicata nelle immagini seguenti:
L’interruzione, quindi, sembra essere correlata agli strumenti di autenticazione dell’azienda, che gestiscono il modo in cui gli utenti accedono ai servizi gestiti da Google e da sviluppatori di terze parti. Questo significa che gli strumenti non potevano essere disponibili senza l’accesso di autenticazione.
Nonostante le dichiarazioni effettuate, Google non ha rivelato cosa abbia causato il problema, che ha interessato l’intera suite di app dell’azienda.
Tuttavia, il numero di attacchi DDoS registrati durante le ore dell’outage in almeno due dei siti che offrono questi dati (piattaforma Netscout e cybermap di Karpesky) sembra indicare qualcosa di più di un guasto o di incidente di gestione.
Certo i recenti accadimenti relativi campagna di cyber spionaggio, probabilmente opera di hacker russi, ai danni di numerose agenzie governative americane e di organizzazioni pubbliche e private in tutto il mondo, possono indurre analisti ed esperti a considerare la possibilità di un attacco ritorsivo nell’ambito di una contrapposizione di conflittualità di carattere digitale, ma al momento non ci sono evidenze in questo senso.
Quale che fosse la motivazione alla base dell’outage, non appena la situazione è tornata sotto controllo, nell’account Twitter di Google Workspace è apparso il messaggio “all clear”.
In Italia l’outage ha riguardato numerose google classrooms, interrompendo di fatto le lezioni a distanza di numerosi istituti scolastici. Tuttavia, in qualche caso, sono stati riscontrati effetti collaterali aggiuntivi all’outage perché il tentativo di accesso da parte degli studenti alle rispettive classi di lezione ha provocato la visualizzazione di messaggi goliardici quali “il vostro amico hacker ha pensato di anticipare le vacanze; fate i buoni” o anche di più scurrili verso lo studio e la scuola.
Cosa potrebbe ancora succedere: un’analisi prospettica
L’esperto di Cyberdefence, Andrea Zapparoli Manzoni, a proposito del Google down, sottolinea come “l’indisponibilità dei servizi di autenticazione di Google, che ha causato un outage durato circa 90 minuti a livello mondiale, potrebbe essere collegato a misure di prevenzione e protezione messe in atto dall’azienda alla luce dell’attacco recentemente scoperto da parte di uno stato verso decine di importanti realtà a livello mondiale, ed USA”.
“In particolare”, continua Andrea Zapparoli Manzoni, “l’attacco, preliminarmente attribuito al gruppo “Cozy Bear” o APT29, è estremamente complesso e molto sofisticato ed apparentemente va avanti dagli inizi dell’estate 2020. È stato annunciato pubblicamente qualche giorno fa da alcuni dei soggetti colpiti (ad esempio, FireEye), ma le analisi pubbliche in merito sono ancora abbastanza confuse e frammentarie”.
“Quello che può essere accaduto”, conclude Zapparoli Manzoni, “è che il livello altissimo di allerta scatenato dall’attacco di APT29 abbia portato Google a rivedere la sicurezza dei propri sistemi, ed eventualmente a farli ripartire dopo opportune verifiche e/o l’applicazione di contromisure ad-hoc, con il risultato di creare qualche disservizio agli utenti. Se questo scenario fosse verificato avremmo un’ulteriore conferma della fragilità del sistema, che si basa per il suo buon funzionamento sull’assunto che non vi sia conflittualità nel cyberspazio, ma che invece purtroppo risulta inevitabile e sempre più diffusa”.
Sospette attività cibernetiche sono state segnalate anche da Aaron Visaggio, professore associato presso l’Università del Sannio e responsabile dell’ISWAT LAB: “Posto che non abbiamo ancora evidenze che possano dimostrare che ci sia stato un attacco ai danni di Google/Alphabet, possiamo fare però alcune osservazioni. Innanzitutto, intorno alle 12:30 del 14 dicembre, la piattaforma Netscout registrava un numero molto elevato di DDoS verso gli USA, provenienti, in realtà, da diverse parti del mondo. Ricordiamo che la sorgente di un attacco non è identificativa del reale attore che lo sta gestendo. Di fatto gli USA si registrano spesso come il Paese destinazione dei più corposi attacchi DDOS, ma la scorsa mattina il numero di attacchi era insolitamente alto. Di contro, la cybermap di Karpesky riporta che nell’ultima settimana il Paese più colpito da attacchi sia stata proprio la Federazione Russa”.
“Certo, per ora queste sono solo suggestioni sul Google down e nulla si può ipotizzare circa un eventuale attacco a Google, né tantomeno che tale attacco possa rientrare in una cyberwarfare internazionale”, sottolinea Visaggio. “Sicuramente pensare che un gigante come Alphabet possa, per errore, creare un disservizio su scala globale suona poco convincente, ma rientra nello spettro delle possibilità. Dobbiamo attendere ancora qualche giorno per avere eventuali evidenze che possano farci comprendere se effettivamente ci sia stato un attacco o meno”.
