DDoS: I mostri del web che sfruttano enormi reti di macchine infette

A cura di:Redazione Ore

Da quando fu lanciato il primo nel 1974, DoS e DDoS sono rimasti tra i cyber attacchi più resistenti e pericolosi.

Nell’ambito della sicurezza informatica con il termine DoS Denial-of-Service – si indica un malfunzionamento dovuto ad un attacco informatico in cui si fanno esaurire deliberatamente le risorse di un sistema informatico che fornisce un servizio ai client.

Spesso si tratta di strutture d’attacco molto complesse che dimostrano quanto gli hackers che li sviluppano siano capaci e creativi e quanto sia di conseguenza necessario studiarli e analizzarli.

DoS e DDoS: qual è la differenza?

Per approfondire la conoscenza con questi metodi d’attacco facciamo innanzitutto chiarezza sulle due grandi categorie di Denial-of-Service esistenti, l’una evoluzione dell’altra: DoS e DDoS.

Un DoS è un attacco effettuato da una sola macchina verso una vittima, in un DDoS Distributed Denial-of-Service – la generazione dell’attacco viene invece distribuita tra più computer.

Il vantaggio è palese, utilizzando più macchine è infatti possibile generare un attacco di dimensioni molto superiori rispetto ad una macchina sola.

Le reti formate da dispositivi infetti controllati da remoto e utilizzati nei DDoS sono dette “botnet”, più è ingente il numero di macchine che compongono la botnet maggiore sarà la potenza dell’attacco che la sfrutta.

Un attacco DoS è molto più facilmente mitigabile rispetto a un DDoS, essenzialmente perché il primo non può generare molta banda e, provenendo da un solo indirizzo IP, può essere facilmente individuato permettendo alla vittima di bloccare l’IP malevolo nel proprio firewall.

Quando invece l’attacco proviene da decine di migliaia di IP diversi individuarli diventa molto più complicato.

Ormai gli attacchi DoS risultano poco diffusi vista l’efficienza di contro-attacco, al contrario i DDoS non cessano di crescere in numero e grandezza.

Cenni storici: nascita, diffusione e attualità

La nascita dei Denial-of-Service è piuttosto curiosa, più di quarant’anni fa l’embrione dei DoS vide la luce grazie al ragazzo prodigio David Dennis che a soli 13 anni “scoprì” un comando eseguibile su PLATO – uno dei primi sistemi di apprendimento computerizzati condivisi, precursore di molti futuri sistemi di elaborazione multi-user.

Il comando era chiamato “extern” o “ext” e doveva consentire l’interazione con i dispositivi esterni collegati ai terminali.

Quando il comando veniva eseguito su un terminale senza dispositivi esterni collegati causava l’arresto dello stesso e la necessità di riavvio per ristabilirne le funzionalità.

David scrisse un programma in grado di eseguire il comando “ext” su molti terminali PLATO nello stesso momento causandone l’arresto contemporaneo.

La vera minaccia web iniziò già agli albori del nuovo millennio, nell’agosto 1999 uno dei primi attacchi DDoS su larga scala si è verificato negli Stati Uniti quando un hacker utilizzò uno strumento chiamato “Trinoo” – una rete di macchine compromesse – per disabilitare la rete dell’università del Minnesota per più di due giorni.

Da lì in poi la loro diffusione è stata virale, gli inizi del nuovo millennio videro varie aziende, istituzioni finanziarie e agenzie governative vittime di DoS e DDoS.

Per citare solo le vittime più eclatanti: nel 2000 vennero attaccati eBay, Yahoo e addirittura il sito dell’FBI; nel 2003 il sito di Al-Jazeera; tra il 2007 e il 2009 vennero attaccati siti governativi in Estonia, Georgia, Corea del sud e Iran e ancora Facebook, Twitter e Google.

Dopo aver buttato un occhio al passato veniamo ora a dati più recenti, nel secondo trimestre del 2016 si sono registrati attacchi DDoS nei confronti di “obiettivi” situati in 70 diversi Paesi.

Il 77,4% degli attacchi eseguiti ha preso di mira target ubicati in Cina, paese che, insieme alla Corea del Sud e agli Stati Uniti conservano la leadership riguardo al numero di attacchi rilevati nel primo trimestre del 2016. Tra gennaio e febbraio dell’anno corrente l’attacco DDoS più esteso in termini temporali si è protratto per 291 ore – circa 12 giorni – una durata notevolmente superiore al valore massimo riscontrato riguardo al trimestre precedente – circa 8 giorni.

Tipologie d’attacco

Le modalità tramite le quali sferrare un DDoS sono diverse, alcune più comuni di altre.

Tra le tante – in continua mutazione – spiccano queste due:

attacchi contro le risorse di rete: gli hackers tentano di consumare tutta la larghezza di banda della vittima – ovvero la capacità di trasporto dei dati del suo canale di rete – attraverso una grande quantità di traffico illecito al fine di saturare l’intera internet pipe. Questi attacchi vengono anche detti network floods – “inondazione di rete” – e rientrano tra i più semplici ed efficaci.

In un comune attacco network flood l’azione è distribuita tra un migliaia di volontari o computer compromessi che, inconsapevolmente, contribuiscono ad inviare una quantità enorme di traffico verso il sito mirato travolgendo la sua rete;

attacchi contro le risorse del server: quando il target sono i server l’obiettivo è di esaurirne la capacità o la memoria di elaborazione, causando potenzialmente una condizione di Denial-of-Service. Attraverso una vulnerabilità sul server di destinazione o una debolezza in un protocollo di comunicazione, gli hacker riescono ad investire il target con un’enorme quantità di richieste illegittime tanto da privarlo della capacità di accogliere quelle legittime, compromettendolo. Solitamente, parlando di server, ci si riferisce a quelli di un sito web o di un’applicazione web, tuttavia queste tipologie di attacchi DDoS riescono a colpire anche firewalls e altri sistemi di prevenzione.

Cosa si può fare contro i DDoS?

Negli ultimi anni le imprese di tutto il mondo hanno avviato un inevitabile processo di “softwarizzazione” generale. Fino a poco tempo fa tutto ciò che necessitava protezione – data center, applicazoni, database – era fisicamente all’interno del perimetro aziendale, oggi invece non esistono più muri perimetrali: le attività sono ovunque grazie ai clouds.

Questo cambiamento aumenta la pericolosità dei DDoS e la necessità di far evolvere e migliorare i sistemi di sicurezza.

Le soluzioni per prevenire o curare un attacco DDoS tipicamente combinano il rilevamento di traffico sospetto e strumenti di mitigazione.

Durante un attacco, come abbiamo visto, il traffico di rete del sistema colpito potrebbe risultare eccessivo rispetto alla norma, tramite strumenti in grado di rilevare traffico sospetto il sistema avverte dunque il gestore colpito della presenza di un’anomalia. Una volta rilevato il problema non esiste però ad oggi un modo standard e sicuro per contrattaccare.

La situazione ovviamente si complica quando l’attacco è particolarmente complesso e supportato da botnet massicce.

Secondo molti esperti l’evoluzione più efficace per elaborare nuovi potenti strumenti difensivi dovrebbe riguardare la distribuzione degli stessi, in altre parole: imitando l’attacco anche la soluzione dovrebbe essere distribuita. Seguendo questa linea i titolari di proprietà Web di ogni settore tendono a implementare soluzioni sempre più numerose e combinate, tuttavia gestire strumenti difensivi “distribuiti” risulta ancora molto difficoltoso.

La situazione generale è in conclusione molto delicata e in continua mutazione, riusciremo mai a sconfiggere definitivamente i DDoS?

 

Condividi sui Social Network:

Articoli simili

Live Forensics e Incident Response – Intervista a Davide Gabrini

Live Forensics e Incident Response – Intervista a Davide Gabrini

A cura di:Redazione Ore Pubblicato il

Intervista a: Davide Gabrini, Laboratorio di Informatica Forense dell’Università degli Studi di Pavia Le attività d’indagine su un’ipotesi di reato, anche non informatico, non possono ormai prescindere dal ricorso a strumenti di tipo digitale. Quali sono in questo campo i principali mezzi di ricerca delle prove a disposizione degli investigatori? In base alla sua esperienza, quali ritiene…

Biometria e Firme Elettroniche

Biometria e Firme Elettroniche

A cura di:Giovanni Manca Ore Pubblicato il

Sono passati oltre dieci anni (era l’1 gennaio 2006) dall’entrata in vigore del Codice per l’amministrazione digitale, comunemente noto come CAD, a seguito del D. Lgs. n. 82 approvato il 7 marzo dell’anno precedente. Con questo ricordo si apre il 2016 delle sottoscrizioni informatiche anche perché il 1 luglio del 2016 è entrato in vigore…

La diffusione dalle fake news e la sicurezza informatica

La diffusione dalle fake news e la sicurezza informatica

A cura di:Nanni Bassetti Ore Pubblicato il

Ogni qualvolta si diffonde un nuovo ransomware scoppiano il caos e gli allarmi, si scrivono fiumi d’inchiostro digitale per dire e ridire le stesse cose, per descrivere il comportamento del malware, per dare istruzioni su come rimuoverlo o come non farsi infettare, sui possibili responsabili (NSA, Russi, Cinesi, Cia e bad guys generici), ne parlano…

Blockchain e distributed ledger: di cosa stiamo parlando?

Blockchain e distributed ledger: di cosa stiamo parlando?

A cura di:Fabrizio Baiardi e Cosimo Comella Ore Pubblicato il

Blockchain sta diventando sempre più un termine in grado di scatenare amori folli e altrettanti odî sconfinati. Raramente una tecnologia informatica ha generato reazioni così forti. Ma innanzitutto dobbiamo capire quale sia l’oggetto di amore o di odio. Quindi dobbiamo distinguere nettamente tra distributed ledger, che è una tecnologia, e blockchain, che è una particolare…

Perché le certificazioni di cybersecurity hanno un’importanza cruciale?

Perché le certificazioni di cybersecurity hanno un’importanza cruciale?

A cura di:Redazione Ore Pubblicato il

La sicurezza informatica è un’area in perenne evoluzione, caratterizzata da continui sviluppi e quotidiani avanzamenti tecnologici. Oltre a costruire una solida base di competenze tramite la formazione e l’esperienza professionale, per essere sicuri che le loro capacità siano sempre aggiornate gli operatori devono costantemente “tenere il passo” dell’innovazione. Le certificazioni provano la tua padronanza delle…

Avvocato Stefano Mele – Intervista al Forum ICT Security 2014

Avvocato Stefano Mele – Intervista al Forum ICT Security 2014

A cura di:Redazione Ore Pubblicato il

Avvocato Stefano Mele Direttore del Dipartimento “InfoWarfare e Tecnologie emergenti” dell’Istituto Italiano di Studi Strategici “Niccolò Machiavelli”. L’Avv. Stefano Mele realizza una panoramica sul mondo della Cyber-security, dando grande rilievo all’impatto che le tecnologie hanno nella vita di tutti i giorni e i conseguenti aspetti di sicurezza interna del Paese.