#OpenSicurezza

DDoS: chi ha interesse ad attaccare e perché?

security-concept_zJyY7Pwd-min

Una delle domande che si sentono spesso rivolgere gli esperti è: “ma cosa ci guadagnano ad attaccare proprio me? Io non ho nulla che possa interessare…”

Ecco il primo errore, forse il più grave di tutti. Pensare di non essere un bersaglio appetibile significa automaticamente  non mettersi nella condizione di pensare alla sicurezza dei propri sistemi informatici e quindi diventare di fatto un bersaglio facile e per questo ancora più appetibile.

Prima di tornare alla domanda iniziale è bene precisare alcune cose ed acquisire alcune nozioni di base. Mi vorrà scusare chi queste cose già le sa, ma il nostro scopo è rendere consapevoli tutti ed in special modo chi, non avendo queste conoscenze, rischia di divenire un bersaglio privilegiato.

Pensiamo ad un server su Internet, ad esempio un sito di e-commerce. Un server  funziona, usando un esempio davvero molto semplice, come un casello autostradale. I viaggiatori/navigatori arrivano al casello e per poter accedere si mettono in coda ed aspettano che il proprio turno. Vengono fatti accedere più viaggiatori/navigatori  per volta in base a quanti varchi sono installati. Un server internet gestisce tanti più navigatori tanto maggiore sono le risorse (banda, memoria, capacità di calcolo) ha a disposizione.

Ipotizziamo di essere a ferragosto e voler prendere l’autostrada. Succede spesso che molti viaggiatori si mettano per strada nello stesso momento. In questo caso troveremo molta coda ai caselli. Alla fine, con l’aumento dei viaggiatori che vogliono prendere l’autostrada i caselli diverranno intasati e potremmo anche restare bloccati.

La stessa cosa potrebbe succedere al nostro server internet. Se  giungono molte, troppe richieste rispetto alle risorse disponibili, il server inizierà a rispondere dapprima più lentamente per poi  bloccarsi con il rischio di andare in crash.

Abbiamo appena scoperto cosa è un attacco .

Un attacco DDoS ha lo scopo di rendere un server, un servizio o un’infrastruttura indisponibile sovraccaricando la banda passante del server o utilizzando le risorse fino all’esaurimento.

Questo video mostra una rappresentazione grafica di un attacco DDOS ad un server:

Torniamo alla domanda iniziale. Ragionando un attimo abbiamo già la risposta. E’ ovvio che per eseguire un attacco del tipo descritto serve molta banda e molti computer, ognuno con la propria connessione. E’ altrettanto ovvio che se volessi attaccare un server, ad esempio di un mio competitor, non lo farò utilizzando una connessione ed un computer che possano essere messi in relazione con me ma cercherò di farlo utilizzando computer e connessioni di terzi ovviamente ignari del fatto. E’ qui che entrano in campo i cybercriminali.

Esistono decine di servizi a pagamento pubblicizzati su Internet e nel DeepWeb che chiunque, anche con pochi dollari, può affittare per lanciare il proprio attacco DddoS.

I costi del servizio sono dipendenti dalla dimensione dell’attacco che si intende portare;  in pratica si parla di durata, ad esempio in  giorni,  e potenza, misurata in banda utilizzata.

Già. La banda. Come si può creare un attacco di dimensioni tali da causare il blocco di un server? Semplice. Utilizzando molti computer che si colleghino contemporaneamente al bersaglio oppure sfruttare un server web compromesso o creato appositamente per questo scopo, dato  che in genere un server ha a disposizione molta banda. E quali sono questi computer e server? Volete provare ad  indovinare?

Esatto, sono proprio quei computer (e server) poco protetti perché “non c’è nulla di interessante sopra”.

Un computer od un server  poco protetto può facilmente venire infettato e diventare parte di una botnet oppure essere utilizzato da un booter (anche detto ip stresser, ddoser, stresser,…) come “base di lancio” di un attacco.

Parliamo della modalità di fruizione del servizio, Botnet e Booter. Esistono alcune differenze fra botnet e booter. Una botnet è composta da migliaia di computer (ma anche router ed altri apparati) infettati che rispondono ad un botnet master che li gestisce tramite un sistema di controllo centralizzato.  Ci vuole molto lavoro per gestire un sistema del genere anche se è molto più versatile. Le botnet possono essere sfruttate per attacchi DDOS ma anche per invio di SPAM ed altre attività illecite.

Un booter sfrutta le capacità di banda di uno o più server web. Infettare un server web non protetto è semplice, dopo di che il criminale non deve fare altro che installare sul server compromesso un software specifico, pubblicizzare il servizio ed aspettare i clienti.

In pratica utilizzare un booter è molto più semplice che non gestire una botnet, sia per il cliente che per il proprietario anche se il risultato è il medesimo.

Basta scegliere un  servizio fra i tanti proposti e tramite un comodo pannello di controllo definire il bersaglio, la durata dell’attacco e dare il via ai giochi, il tutto utilizzando semplici interfacce web.

Ecco dunque spiegato “cosa ci guadagnano ad attaccare me”. I cybercriminali ci guadagnano una armata di zombie (computer infetti sotto il controllo del criminale) e server con banda che possono essere “noleggiati” per effettuare attacchi DDOS a pagamento (oltre a sempre possibili furti di identità e di dati aziendali / personali).

Il cybercrime è un business. Tutto viene fatto al fine di guadagnare denaro e attualmente si stima che il cybercrime sia uno dei mercati a più forte crescita degli ultimi anni ed il settore dei booter non si discosta da questa stima.

 

Schermata 2016-03-31 alle 23.02.25

 

La facilità di realizzazione di un sistema di “DDoS-for-hire services”, i costi contenuti, la  quasi matematica certezza di ottenere il risultato voluto anche senza avere alcuna  conoscenza tecnica specifica rendono questo mercato un segmento in forte espansione e promette un elevato guadagno per i cybercriminali.

Tutto questo viene ovviamente favorito dalla mancanza di misure di sicurezza, anche basilari, che affliggono troppi server  e ancora di più troppi computer in uffici e case.

Prendere coscienza di questo è saper rispondere alla domanda “ma cosa ci guadagnano ad attaccare proprio me? Io non ho nulla che possa interessare…”

Parleremo ancora di cybercrime,  delle strutture e dei modelli di business impiegati dalle organizzazioni criminali per gestire a livello globale le proprie attività illecite.

Paolo Giardini

Paolo Giardini

Paolo “aspy” Giardini, direttore di OPSI, Osservatorio Nazionale Privacy e Sicurezza Informatica, organo di AIP (Associazione Informatici Professionisti, per la quale ricopre anche l’incarico di Privacy Officer) si occupa da oltre venti anni di Sicurezza Informatica, Privacy, Computer Forensics ed Open Source, svolgendo attività di analisi e consulenza e tenendo corsi e seminari in Italia ed all’estero.
Svolge attività di Consulente Tecnico di parte (CTP) e di Consulente Tecnico d’Ufficio (CTU) presso diverse Procure della Repubblica e Tribunali. Nel tempo libero si dedica alla organizzazione dell’hacker game che ha creato, “CAT – Cracca Al Tesoro”.

Clicca per commentare

Commenti e reazioni su:

Loading Facebook Comments ...

Lascia una replica

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

No Trackbacks.

TechEconomy è il portale di informazione dedicato a manager, imprenditori e professionisti che vogliono approfondire e comprendere l’impatto delle tecnologie nello sviluppo del business nelle PMI come nell’industria, nella finanza, nei servizi.
Si rivolge insomma a tutti coloro che vogliono capire come le nuove realtà dell'Information Technology - Web 2.0, e-Business, net economy - stiano cambiando l’economia, e con essa la società.
Inizio
Shares
Share This