Una minaccia informatica tanto semplice da mettere in pratica, quanto efficace: capace di mandare in tilt un’azienda, o infrastrutture critiche come ospedali e aeroporti, in pochi secondi. Sono gli attacchi Ddos.
Indice degli argomenti
Attacco DDoS, che cos’è e in cosa consiste
L’acronimo sta per Distributed Denial of Service, traducibile in italiano come Interruzione distribuita del servizio, e consiste nel tempestare di richieste un sito, fino a metterlo ko e renderlo irraggiungibile. Stando agli ultimi dati del Clusit, l’associazione italiana per la sicurezza informatica, è tra gli attacchi che colpiscono un’impresa ogni cinque minuti insieme ai malware e ai ransomware. E se il loro utilizzo è diminuito rispetto agli anni precedenti, facendo registrare un -66,96%, è aumentata la loro potenza: la banda occupata mediamente è passata dagli 11 gigabit al secondo del 2016 ai 59 gigabit al secondo del 2017. In pratica, quintuplicata.
Come funziona un attacco DDoS (distributed denial of service)
Per capire cos’è un attacco DDoS, bisogna prima comprenderne la versione meno sofisticata: il DoS, cioè Denial of Service. Si tratta di un’azione il cui obiettivo è ingolfare le risorse di un sistema informatico che fornisce un determinato servizio ai computer connessi. Ci riesce prendendo di mira server, reti di distribuzione, o data center che vengono inondati di false richieste di accesso, a cui non riescono a far fronte. In gergo si dice che ne viene saturata la banda di comunicazione e i siti web o i naviganti che cercano di raggiungere quella determinata risorsa online hanno difficoltà, o non ci riescono del tutto. I DDos funzionano allo stesso modo, ma avvengono su scala molto più ampia. Nel caso dei Dos, infatti, bisogna difendersi da una sola sorgente di traffico informatico: per esempio, un numero elevato di email in arrivo contemporaneamente. Mentre durante gli attacchi DDoS le domande fasulle arrivano nello stesso momento da più fonti. Tutto ciò determina una maggiore efficacia dello strumento che per funzionare ha bisogno di minor tempo. Gli effetti disastrosi, invece, durano più a lungo: da qualche ora fino a diversi giorni, in base alla prontezza con cui si reagisce.
Che cos’è una botnet e come si utilizza
In genere, lo strumento con cui i criminali informatici riescono nel loro intento è la cosiddetta botnet. Questo termine indica un insieme di computer compromessi da un malware, cioè un virus informatico, che permette ai malintenzionati di prendere il controllo dei pc e fargli eseguire determinate operazioni. Un noto esempio pratico è Mirai, botnet creata infettando migliaia di dispositivi, che ha occupato le cronache internazionali mostrando cosa questi sistemi sono capaci di fare. Il 21 ottobre del 2016 la botnet ha determinato l’interruzione temporanea di alcuni servizi, tra cui Twitter, Amazon e New York Times, sulla costa est degli Stati Uniti. Due settimane dopo una sua variante è stata usata per bloccare il traffico del maggior provider della Liberia, in Africa. E, ancora, in Germania ha messo ko le connessioni internet e telefoniche di circa un milione di persone a novembre del 2016.
Tipologie di attacchi DDoS che si possono fare
A seconda dei metodi utilizzati e degli obiettivi che si propongono, gli attacchi DDoS possono essere raggruppati in quattro principali categorie. Ci sono quelli che prendono di mira la connessione TCP, puntando tutto sulla velocità. In questo caso, la botnet inonda il server di richieste di connessione, senza mai arrivare alla fine: così la banda di comunicazione del sistema informatico viene saturata in fretta, rendendo impossibile l’accesso ai contenuti da parte di qualunque utente. Un’altra tipologia di DDoS sono gli attacchi volumetrici in cui il volume di traffico creato è enorme e ingestibile. Discorso diverso, invece, per gli attacchi di frammentazione che ambiscono a consumare le risorse di calcolo del sistema informatico inviando richieste d’accesso incomplete. Come conseguenza l’oggetto dell’attacco usa gran parte delle proprie risorse per tentare di ricostruire l’informazione digitale ricevuta. Infine, ci sono gli attacchi applicativi che non puntano all’intera infrastruttura. Ma ne bersagliano un programma indispensabile, rendendolo instabile e quindi inutilizzabile.
Evoluzione e futuro dei DDoS attacks
L’ultima analisi del Clusit ha evidenziato due cambiamenti nel mondo DDoS nell’ultimo anno. Prima di tutto, i paesi da cui vengono sferrati gli attacchi. Gli Stati Uniti sono ancora in testa, ma a seguire ci sono nazioni che fino a qualche anno fa non venivano nemmeno prese in considerazione in questo ambito, come l’Egitto. Il secondo mutamento riguarda la velocità dei DDoS. I cybercriminali sembrano aver accantonato attacchi prolungati, preferendone invece di frequenti e veloci: DDoS “mordi e fuggi”, che vengono interrotti dopo pochi minuti. In questo modo, le aziende colpite non hanno neanche il tempo di riprendersi prima di far fronte a una nuova minaccia. Come già anticipato, inoltre, ne è aumentata la potenza: la banda occupata mediamente è passata dagli 11 gigabit al secondo del 2016 ai 59 gigabit al secondo del 2017. Anche perché gli oggetti connessi alla Rete, quindi sfruttabili come botnet, sono aumentati a dismisura.
Attacco ddos come fare a difendersi
Difendersi è molto difficile ed è meglio attrezzarsi prima. Una possibile contromossa rispetto agli attacchi applicativi è un’infrastruttura scalabile e resiliente (cluster di front-end web, database, firewall, e così via). Dai DDoS di banda, invece, riescono a proteggerci solo gli Internet Service Provider (Fastweb, per esempio, ha un servizio a pagamento dedicato). In alternativa, ci si può rivolgere a un attore di mercato specializzato (come Akamai) che riceve tutto il traffico indirizzato al sistema informatico in questione, lo pulisce, e manda solo quello adatto. Esistono, poi, gli attacchi mirati particolarmente complessi che vanno gestiti di volta in volta.
