Security Notes

ABC della sicurezza: Distribuited Denial of Service (DDoS)

Security

Quella sera come spesso accadeva Michael era alle prese con il suo computer. Batteva freneticamente i tasti e cercava il modo per cancellare le tracce. Alla fine si decise a usare le maniere forti. Cercò un martello nel garage e fini l’opera con le vecchie maniere. Ripetutamente prese a colpi l’hard disk con il martello. Non contento, ammucchiò tutta la ferraglia rimasta e ne fece un sacco. Più tardi lo avrebbe gettato nel lago. L’acqua e la ruggine avrebbero fatto il resto. Solo così sarebbe stato veramente sicuro che nessuno avrebbe avuto più accesso ai suoi dati.  Nessuno sarebbe mai riuscito a risalire a lui e a quello che aveva fatto.

Questa è la parte poco prima dell’arresto che si legge nel libro di Michael Calce, meglio noto come Mafiaboy. Il quale fu responsabile di alcuni dei più grandi attacchi (Distribuited Denial of Service) della storia di internet. Questi furono portati a partire dal 7 febbraio del 2000, quel giorno i servizi internet di Yahoo smisero di funzionare, successivamente fu la volta di giganti del web del calibro di CNN.com, eBay.com, eTrade.com e molti altri.  Nulla poterono questi enormi colossi di fronte al piccolo Davide armato di una schiera di macchine infette e molta fantasia. Erano impreparati e confusi. Una storia certo da tenere bene a mente quando si parla di informatica. Ma veniamo a noi.

Che cos’ è un DDoS e quali sono le motivazioni che spingono gli a portare questo tipo di attacco? Un DoS (Denial of Service) è un attacco informatico volto a saturare la rete o banda su cui sono attestati uno o più servizi internet, o in alternativa mirato a saturare le risorse della macchina ospitante un servizio esposto su internet. Può essere portato da una singola sorgente o in maniera distribuita, cioè da sorgenti differenti tra loro. In questo caso le sorgenti dell’attacco spesso sono macchine infettatte ed assoggettate ad una Botnet. Le macchine controllate da un console centrale possono essere pc client, server che ospitano siti web o in in generale servizi internet, anche smartphone e tablet non sono esclusi da questa lista. L’attacco può essere portato in maniera diretta, cioè inviando pacchetti di vario tipo tra cui UDP, ICMP, HTTP, o in maniera riflessa utilizzando chiamate DNS o NTP tra le più gettonate.

Le motivazioni

opsisData la sua forza dirompente e la capacità di stendere al tappeto dei pesi massimi annoverati tra i siti web più grandi, tra le motivazioni che portano a fare tali attacchi sono sicuramente quelle di natura politica, in cui i DDoS sono usati contro siti governativi. Sono noti i fatti relativi alla Nord Korea che più volte negli ultimi anni ha subito questo tipo di attacchi. In molti sono convinti che dietro gli attacchi informatici condotti proprio contro la Korea del Nord, ci siano gli Stati Uniti. E molte altre sono le situazioni poco chiare  che fanno sospettare che dietro gli attacchi ci sia una lotta tra governi. Se fosse veramente così si potrebbe affermare senza difficoltà che il DDoS sia una delle principali armi utilizzate nel Cyber Warfare. Legati in qualche modo alla politica, ma anche a tematiche ambientaliste o economiche,  alcuni attacchi DDoS nel mondo vengono rivendicati da gruppi attivisti legati a diversi soggetti. Un esempio molto attuale è la guerra cybernetica condotta da Anonymous contro ISIS, nella quale molti siti di propaganda sono “abbattuti” anche da tecniche di DoS.

Alcune teorie ci raccontano di aziende che cercano di rallentare le loro concorrenti attraverso questo tipo di attacchi, specialmente nel caso in cui il downtime si traduce in perdite onerose. Il DDoS sembra molto usato specialmente dalle aziende di giochi on line che parrebbero ostacolarsi a vicenda usando questo tipo di espediente.

Per alcuni vale la motivazione personale, specialmente per hacker “in erba”, meglio conosciuti come script kiddies. Vantarsi in chat delle loro imprese o perseguire una vendetta usando strumenti informatici, è la loro missione. Da neofiti attaccanti, però, prediligono servizi on line di “DDoS as a Service” meglio conosciuti come “Booter” o kit già pronti all’uso. Un po’ come accadde per Mafiaboy spesso questo è il primo stadio di trasformazione allo stato di hacker, che alimenta curiosità e narcisismo. Nel libro di Michael Calce “Mafiaboy. How I cracked the internet and why it’s still broken”, il pentito hacker prova a mettere in guardia i suoi lettori facendo capire come internet sia ancora molto pericoloso e come, rispetto al 2000, le tecniche siano evolute notevolmente e le ragioni non siano più tanto legate alla curiosità, ma piuttosto al denaro.

Date queste motivazioni, come ci si può difendere? Come si può riuscire ad isolare il più possibile un attacco di questo tipo? Senza dubbio la scelta di un Firewall di nuova generazione è d’obbligo. Una macchina che sappia riconoscere il traffico e differenziarlo tra benevolo e malevolo, e che attui un primo livello di mitigazione in caso di attacco. Lavoro che prima veniva svolto manualmente durante un attacco DoS, ma che ora risulta necessario farlo in modo  automatico, seguendo in special modo il comportamento del traffico di rete. Per difendersi da un attacco DDoS applicativo è importante sviluppare applicazioni in grado di riconoscere i bot e in tal caso di scartare tali richieste, possibilmente scatenando allarmi in modo da evidenziare tale anomalia. Per il DDoS mitigation inoltre è importante ricevere la collaborazione dell’ISP il quale è in grado di far fronte in maniera massiccia a questo tipo di minacce. Inoltre risulta molto utile seguire una serie di specifiche che aiutano a gestire e prevenire gli attacchi aiutando ad attuare una gestione più sicura dei servizi esposti come ad esempio Domain Name System Security Extensions (DNSSEC).

L’importante è non farsi trovare impreparati. Per rendere meglio l’idea vi lascio con un video che dimostra la forza di un attacco DoS e che meglio di molte parole lo descrive. Buona visione:

Alessandro Contini

Alessandro Contini

Alessandro Contini opera come Cyber Security Consultant in realtà nazionali e internazionali, partendo da una lunga esperienza e competenza tecnica sulle architetture di sistemi, in particolare legate alla infrastrutture critiche. Inoltre Alessandro collabora come specialista di Cyber ​​Intelligence per trovare informazioni più approfondite in amibito Cyber Crime e Cyber terrorismo.

LinkedIn 

Clicca per commentare

Commenti e reazioni su:

Loading Facebook Comments ...

Lascia una replica

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

No Trackbacks.

TechEconomy è il portale di informazione dedicato a manager, imprenditori e professionisti che vogliono approfondire e comprendere l’impatto delle tecnologie nello sviluppo del business nelle PMI come nell’industria, nella finanza, nei servizi.
Si rivolge insomma a tutti coloro che vogliono capire come le nuove realtà dell'Information Technology - Web 2.0, e-Business, net economy - stiano cambiando l’economia, e con essa la società.
Inizio
Shares
Share This