Al contrario di quanto si possa pensare in un primo approccio a questa tematica, l’acronimo DoS, derivante naturalmente dall’inglese, esprime semplicemente un aspetto banale ma di una complessità sconsiderata: Denial of Service, ovvero “interruzione di servizio”.
Naturalmente, nel tempo, tale significato si è alimentato di contenuti molto precisi e complessi e oggi tale termine esprime in modo inequivocabile un attacco ove agenti esterni inviano intenzionalmente ad un sistema obiettivo (dispositivi di rete, sistemi operativi o singoli servizi) più richieste di quante questo sia in grado di soddisfare.
Indice degli argomenti
Attacchi DoS e DDoS: cosa sono e come funzionano
Tale procedura di attacco risulta particolarmente efficace quando un sistema deve gestire le richieste provenienti da diversi botnet (rete di computer, solitamente PC, controllata da un botmaster e composta da dispositivi infettati da un malware specifico, detti bot o zombie) e creando in questo modo un attacco DDoS ossia un attacco DoS “in grande”.
Con “Distributed Denial of Service” (DDoS) si indica, quindi, una forma comune di attacco DoS, in cui gli attacchi non provengono da un unico dispositivo, ma i sistemi target vengono “stressati” con più richieste provenienti da computer (o altri dispositivi) diversi appartenenti a una botnet più ampia.
È naturale che con una rete di questo tipo, tra i computer si genera molto più traffico rispetto ai semplici attacchi DoS che, come detto, vengono invece eseguiti da un’unica macchina.
Gli attacchi DDoS sono perciò notevoli ed esistono solo poche probabilità di scovare il punto di origine reale degli attacchi. Infatti, per la creazione di botnet di questo tipo servono software specifici che sono collocati in rete su computer poco protetti, ad insaputa degli amministratori, e gestiti centralmente.
Solitamente la diffusione di virus latenti di questo tipo viene pianificata mesi prima che si verifichi l’attacco DDoS vero e proprio.
Le tipologie di attacco DDoS
Il termine DDoS racchiude, però, un’ampia serie di tipologie di attacco veicolate con questa tecnica.
Ricordiamo che possono essere pianificati attacchi:
- volume-based,
- protocol,
- application, che sono considerati i tipi di cyber attacchi più sofisticati e pericolosi.
A differenza di altre azioni nocive, l’obiettivo principale degli attacchi DDoS non è quello di infiltrarsi nel sistema, ma bloccare un sistema in ingresso per distogliere l’attenzione dall’attacco su un altro sistema.
Diminuendo la capacità di reazione di un server, gli attaccanti hanno la possibilità di manipolare le richieste inviate al sistema sovraccarico mirando alla:
- saturazione della banda larga;
- sovraccarico delle risorse del sistema;
- sfruttamento di errori nei software.
Vediamo di seguito cosa significano queste procedure e come esse vengono gestite.
Saturazione della banda larga
Il sovraccarico della banda larga ha come obiettivo quello di rendere un computer non raggiungibile. In questo caso gli attacchi DoS e DDoS si indirizzano direttamente alla rete e ai relativi dispositivi connessi così, ad esempio, un router può elaborare contemporaneamente solo una certa quantità di dati e se questo volume di dati viene utilizzato completamente da un attacco, i servizi che offre non sono più disponibili per gli altri utenti.
Sovraccarico delle risorse del sistema
Se un attacco DDoS mira alle risorse del sistema, gli hacker sfruttano il fatto che un server web può instaurare solo un numero limitato di connessioni.
Se questo numero viene raggiunto con l’invio di richieste insensate o non valide, i servizi messi a disposizione dal server risulteranno bloccati per gli utenti “normali”: in questo caso si parla di flooding (inondazione).
Sfruttamento di errori nei software
Conoscendo determinate falle di sicurezza di un sistema operativo o di un programma, si possono sferrare attacchi DoS e DDoS, per fare in modo che le richieste provochino errori nei software e conseguenti blocchi del sistema.
Come si costruisce un attacco DDoS
È evidente che chiunque voglia sferrare un attacco di questa tipologia abbia a disposizione le risorse hardware necessarie per saturare un servizio web di un istituto di credito o di un sito di streaming. Anche questa volta però la rete può sopperire a questa mancanza dando la possibilità all’attaccante di utilizzare una botnet.
Una botnet è una rete di computer infetti da un malware, generalmente un virus o un worm. Il malware dà accesso all’hacker a certe funzioni dei computer connessi alla botnet e gli consente di utilizzarli, ad esempio, per inviare richieste di connessione al server di un sito web.
Se la botnet è composta da molti terminali compromessi (detti zombie), l’attacco DDoS può facilmente arrivare a saturare la larghezza di banda anche dei siti web più grandi e strutturati.
Inoltre, il virus che inserisce il computer nella botnet è progettato in modo da rilevare automaticamente i contatti dell’utente e diffondersi tramite le applicazioni di messaggistica istantanea o email.
Per raggiungere il suo scopo, ovvero rendere irraggiungibile il servizio preso di mira, l’attaccante ha bisogno di un adeguato punto di attacco all’interno del sistema o della rete della vittima. Non appena viene trovata una backdoor con queste caratteristiche, può inviare i comandi necessari ai bot per mettere in atto gli attacchi DDoS.
Diffusione degli attacchi DDoS
Quasi tutti gli attacchi DDoS sono mossi nei confronti di grandi aziende. I motivi per cui alcuni servizi web vengono presi di mira sono vari: ricatto, attivismo, concorrenza sleale.
Sostanzialmente gli attacchi DDoS sono quasi esclusivamente un problema delle grandi società che prestano servizi o vendono prodotti online. Se volessimo ricreare uno storico degli attacchi più famosi in questo ambito sicuramente dovremmo tornare al 2013 e a quello che è passato alla storia come attacco “Spamhaus”.
Nel mirino degli hacker, o per meglio definirli spammer, fu l’organizzazione internazionale Spamhaus, leader per la fornitura di strumenti anti-spam. È stato definito uno dei più grandi DDoS della storia, secondo gli esperti in materia per i tempi in cui esso è avvenuto.
A subire le maggiori ritorsioni furono tutti i server di Spamhaus. L’attacco informatico puntava direttamente ai server e ai data center, inondandoli di false richieste di accesso a velocità raddoppiata. In questo modo, i server, non riuscendo a tenere il passo risultarono irraggiungibili. Nel caso di Spamhaus si stimò una potenza d’attacco di circa 300 GB al secondo.
In un periodo più recente, durante il 2017, possiamo ricordare un altro attacco molto importante ai danni di DynDNS, noto servizio di DNS dinamici, causando come conseguenza il mancato funzionamento di parecchi dei servizi online più diffusi e popolari.
Le conseguenze dell’attacco furono più pesanti soprattutto lungo la East Coast statunitense, ma con una coda lunga anche in Europa. La provenienza? Milioni di dispositivi IoT (Internet of Things), come DVR o videocamere di sorveglianza, che hanno inviato pacchetti dati ad una velocità complessiva insostenibile per le infrastrutture del servizio.
È interessante questo episodio perché in questo attacco furono coinvolti per parecchie ore siti e servizi importantissimi come Twitter, Amazon, Tumblr, Reddit, Spotify e Netflix, PayPal, con i browser che non riuscivano a risolvere l’URL e, quindi, garantire l’accesso agli utenti ma soprattutto perché l’attacco fu veicolato principalmente da videoregistratori digitali e videocamere IP di un produttore cinese e non da comuni pc o server.
La società cinese in questione produce e vende componenti a produttori di terze parti, che poi vengono integrate all’interno di prodotti commercializzati al grande pubblico. In questo caso fu possibile trasformare in una botnet una intera linea di prodotti che prese di mira e paralizzo per alcune ore gli Stati Uniti d’America.
L’attacco fu interessante quindi per la tipologia di mezzo utilizzato al fine di sferrare l’attacco e quello che si sarebbe poi evoluto negli anni a seguire utilizzando router, lampadine, forni, addirittura frigoriferi con browser integrati, come dispositivi di attacco all’insaputa dei proprietari.
Ultimo attacco DDoS che ricordiamo, in ordine di tempo e di estrema rilevanza, sferrato al più importante dei Cloud Provider al mondo risale al febbraio 2020 e che ha preso di mira Amazon Web Services e che solo grazie alla prontezza ed alle capacità del servizio AWS Shield il servizio creato dai programmatori Amazon proprio per proteggere tale tipo di attacchi è stato in grado di sventare un attacco DDoS da 2,3 Tbps, il più grande e complesso mai registrato finora.
È possibile respingere e ridurre gli attacchi DDoS?
Per contrastare un sovraccarico dei sistemi informatici causati da attacchi DoS e DDoS, sono state sviluppate diverse misure di sicurezza.
Tra le soluzioni da impiegare rientrano l’identificazione di indirizzi IP critici e la risoluzione di falle di sicurezza conosciute. Inoltre, di regola, sarebbe meglio mettere a disposizione delle risorse hardware e software con cui sia possibile compensare gli attacchi di portata minore.
Identificare e mitigare gli attacchi DDoS può essere una vera sfida soprattutto perché gli attaccanti usano una combinazione di diversi attacchi per sventare i team di sicurezza, eludere il rilevamento e massimizzare i risultati.
Se volessimo trovare 10 azioni concrete da intraprendere per rafforzare la posizione di sicurezza dei nostri sistemi dagli attacchi DDoS potremmo sicuramente procedere come segue:
- Conoscere il proprio traffico: utilizzando strumenti di monitoraggio della rete e delle applicazioni si possono identificare le tendenze del traffico. Comprendendo i modelli e le caratteristiche di traffico tipici della propria realtà, è possibile stabilire una linea di base per identificare più facilmente attività insolite sintomatiche di un attacco DDoS.
- Costruire una strategia difensiva: è opportuno considerare le linee guida di valutazione del rischio e analizzare le stesse dando la priorità alla mitigazione DDoS e agli sforzi di ripristino del servizio in termini di business continuity soprattutto per le informazioni rilevanti ed indispensabili all’azienda.
- Avere una strategia difensiva del piano B pronta a partire: essere in grado di ripristinare rapidamente le aree geografiche principali e i servizi business-critical di fronte a un attacco DDoS.
- Eliminare gli ostacoli di approvazione e le barriere organizzative che potrebbero compromettere l’agilità del Security Operation Center (SOC) aziendale: il tempo è essenziale quando si risponde a un attacco DDoS. Consenti al tuo team di sicurezza di mettere in atto rapidamente le difese senza una catena paritaria di approvatori.
- Includere la sicurezza informatica nella continuità aziendale, nel ripristino di emergenza e nella pianificazione della risposta alle emergenze: gli attacchi DDoS possono essere devastanti per l’azienda quanto un disastro naturale e dovrebbero essere parte integrante dei piani di reazione agli incidenti.
- Mettere in pratica la security by design: una solida strategia di difesa DDoS inizia con pratiche basilari online valide. Occorre quindi promuovere una cultura aziendale orientata alla sicurezza e assicurarsi che gli sviluppatori e gli amministratori di sistema seguano le migliori pratiche volte alla sicurezza informatica.
- Utilizzare una combinazione di mitigazione automatizzata e umana: gli aggressori evolvono continuamente le loro tattiche per evitare il rilevamento e aggirare le soluzioni di sicurezza. È necessaria quindi la giusta combinazione di persone, automazione e processi per stare un passo avanti ai malintenzionati e difendersi da attacchi sempre più sofisticati ed in continua evoluzione.
- Considerare l’implementazione di un modello di sicurezza Zero Trust: un framework Zero Trust può aiutare a proteggere dagli attacchi DDoS imponendo l’accesso con privilegi minimi e garantendo che solo gli utenti autorizzati ottengano l’accesso ad applicazioni e servizi critici.
- Coinvolgere tutti i fornitori e responsabili del trattamento ad essere preparati ad affrontare i rischi: collaborare in modo proattivo con fornitori di servizi a monte per valutare i rischi DDoS e sviluppare piani di preparazione, ripristino e continuità aziendale è fondamentale per essere reattivi in cluster.
- Testare, documentare e misurare: incorporare gli attacchi DDoS nei test di penetrazione per simulare attacchi complessi, identificare le vulnerabilità e rafforzare le difese essendo pronti a qualsiasi evenienza.
Si comprende quindi che ancora una volta la miglior difesa sia la prevenzione e la programmazione per eludere gli attacchi DoS e DDoS utilizzando il famoso piano B che tutti noi dovremmo imporre alle nostre realtà.