È di qualche giorno fa, il 17 maggio per l’esattezza, l’alert pubblicato dal CSIRT, il Computer Security Incident Response Team, “Rilevate attività di preparazione ad attacchi DDoS verso infrastrutture nazionali (AL02/220517/CSIRT-ITA)”.
A quanto pare, a partire dall’11 maggio scorso, si sono intensificati gli attacchi DDoS, Distributed Denial of Service, contro soggetti nazionali e internazionali e il CSIRT ha potenziato il monitoraggio di questo tipo di minaccia “identificando attività di “probing” delle misure di protezione attive all’interno della constituency nazionale. Tali attività, che al momento risultano di bassa intensità e che avrebbero avuto inizio almeno dalla data del 12 maggio u.s., potrebbero preludere a successive azioni di attacco DDoS con impatto sulla disponibilità dei servizi vittima”.
Le attività vedranno: “presenza di picchi di traffico UDP e TCP anomalo (in ogni caso superiore alla normale baseline di utilizzo delle risorse interessate); presenza di chiamate HTTP malformate (versione HTTP non valida, assenza del carattere CRLF); presenza di volumi anomali di chiamate provenienti da indirizzi IP appartenenti a servizi di anonimizzazione (rete Tor, proxy anonimi); presenza di chiamate riconducibili ad attacchi di tipo ICMP flood, SYN flood e TCP RST”.
L’Italia rischia ritorsioni dalla Russia: si prepari a una cyberwar
Indice degli argomenti
Attacchi DDoS e come difendersi
Tra le azioni consigliate, riportate dall’alert, il rafforzamento del controllo delle anomalie in caso di erogazione di servizi, soprattutto se tramite internet. Inoltre, è importante mettere in pratica ogni misura di prevenzione e mitigazione che possa contrastare almeno le principali tipologie di attacchi DDoS “volumetrici (es. utilizzo di CDN, diversione del traffico), di frammentazione (es. packet/HTTP reconstruction), ad esaurimento di stato TCP e applicativo (es. hardening degli application server, utilizzo di Intelligent DDoS Mitigation System)”.
Precedente all’alert il bollettino del 13 maggio “Attacchi DDOS ai danni di soggetti nazionali ed internazionali avvenuti a partire dall’11 Maggio 2022: Analisi e mitigazione (BL01/220513/CSIRT-ITA)” elaborato dal Nucleo per la CyberSicurezza (NCS), di cui all’art. 8 del DL n. 82 del 2021, tenutosi il 12 maggio scorso.
Le tecniche utilizzate non sono quelle legate all’attacco di tipo volumetrico1, ma sono di tipo applicativo, ossia saturano i sistemi che erogano i servizi, compresi i server web.
Ecco perché questi attacchi, essendo meno comuni di quelli volumetrici e utilizzando una banda limitata, sono riusciti a passare sottotraccia ai sistemi di protezione.
Nel bollettino si fa menzione della tipologia specifica utilizzata di attacco DDoS, ossia “Slow HTTP”, che rende non disponibile un servizio per un determinato lasso di tempo, ma, a differenza del ransomware, conserva l’integrità e la confidenzialità delle informazioni e dei sistemi.
“In particolare, quando un client effettua una richiesta HTTP ad un server web, lo stesso rilascia la connessione esclusivamente quando l’intestazione (header) della richiesta ricevuta risulta essere completa. Inviando numerose richieste con velocità di trasmissione molto bassa, l’attaccante costringe il server web di destinazione a mantenere la connessione aperta2, saturando in tal modo le risorse dedicate dal server alla comunicazione con i client esterni3. Tale tipologia di attacco risulta più efficace nel caso di utilizzo di richieste POST, in quanto le stesse vengono utilizzate anche per l’invio di considerevoli quantità di dati verso il server web”.
Le azioni consigliate contro gli attacchi DDoS
Dopo aver esposto il funzionamento e come avviene l’identificazione dell’attacco, il bollettino passa ad elencare le azioni di mitigazione consigliate, da quelle generali a quelle divise per prodotto, Apache, Nginx, lighttpd, IIS.
Da un punto di vista generale, oltre a dotarsi di strumenti per contrastare attacchi di tipo volumetrico, il CSIRT Italia consiglia di:
- rifiutare le connessioni con metodi HTTP non supportati dall’URL;
- limitare l’intestazione e il corpo del messaggio a una lunghezza minima ragionevole. Per URL specifici, impostare limiti più severi e appropriati per ogni risorsa che accetta un body del messaggio;
- impostare un timeout di connessione assoluto, ove possibile, utilizzando le statistiche di connessione (ad es. un timeout leggermente maggiore della durata media delle connessioni dovrebbe soddisfare la maggior parte dei client legittimi);
- utilizzare un backlog di connessioni in sospeso. Esso consente al server di mantenere le connessioni che non è pronto ad accettare, bloccando di conseguenza un attacco Slow HTTP più ampio, oltre a dare agli utenti legittimi la possibilità di essere serviti sotto carico elevato. Se il server supporta un backlog, si consiglia di renderlo ragionevolmente grande in modo che il proprio server web possa gestire un attacco di lieve entità;
- definire la velocità minima dei dati in entrata e bloccare le connessioni che sono più lente della velocità impostata. Si evidenzia di fare attenzione a non impostare il valore minimo troppo basso per non bloccare le connessioni legittime;
- attivare gli strumenti di protezione da questa tipologia di attacco disponibili tramite dispositivi di sicurezza quali Web Application Firewall e Next Generation Firewall L7.
La strategia di cybersicurezza nazionale
In questo clima di cyberwar legato alla guerra in campo tra Russia e Ucraina, il Comitato Interministeriale per la Cybersicurezza, presieduto dal Presidente del Consiglio Mario Draghi, ha finalmente deliberato la Strategia nazionale di cybersicurezza 2022-2026.
Nella riunione di qualche giorno fa due sono stati i documenti approvati con una serie di obiettivi, 85 per l’esattezza, tra cui è bene menzionare il potenziamento della resilienza nella transizione digitale del sistema Paese, il raggiungimento dell’autonomia strategica sul piano cibernetico, l’anticipazione dell’evoluzione della minaccia cyber, la gestione delle crisi cibernetiche e la lotta alla diffusione delle fake news.
Nella stessa riunione, in merito al Perimetro di sicurezza nazionale cibernetica, è stato approvato lo schema di DPCM ex art. 1 c.7, lett. B) D.L. 105/2019, che indica i criteri che i laboratori devono rispettare per accreditarsi come laboratori di prova per il Centro di valutazione e certificazione nazionale (CVCN) per verificare sicurezza, assenza di vulnerabilità note, contenuti, comunicazione tra il CVCN e i laboratori stessi e tra il CVCN e i Centri di Valutazione del Ministero dell’interno e del Ministero della difesa.
Si è giunti, così, al completamento dell’attuazione normativa del Perimetro di sicurezza nazionale cibernetica.
