L’ultima rilevazione Clusit ha evidenziato che c’è una tipologia di attacco, il DDoS (Distributed Denial of Service), che continua a godere di popolarità tra gli hacker. Sebbene sia meno frequente rispetto ai malware, tuttavia è raddoppiato dal 2021 al 2022.
Nel caso delle istituzioni governative e della pubblica amministrazione, poi, si è passati dai soli 7 attacchi significativi nel 2021 ai 28 del 2022. “Ciò si inquadra perfettamente nel contesto geopolitico dell’ultimo anno – si legge sul rapporto Clusit 2023 -, nel quale il conflitto russo-ucraino ha provocato un’ondata di attacchi ideologici condotti verso le organizzazioni governative mediante lo strumento del Denial of Service, tra i più efficaci per generare conseguenze mediaticamente rilevanti tramite l’interruzione di servizi di pubblica utilità”.
Indice degli argomenti
Quando CDLAN scoprì di essere un bersaglio
Sebbene l’attuale congiuntura sia favorevole a una recrudescenza della minaccia DDoS, non va dimenticato che il ricorso a questa modalità di aggressione è di lunga data. Tanto che le azioni a contrasto sintetizzabili nei servizi di DDoS Mitigation sono sostanzialmente coeve alla sua apparizione nel panorama informatico.
Salvatore Sciacco, Technical & Strategic Advisor dell’area Cloud di CDLAN, all’interno del quale viene appunto gestito oggi il servizio di DDoS Mitigation, ricorda quando circa una quindicina d’anni fa “rimasero ciechi”, cioè scomparvero dalla rete. “Un nostro cliente – racconta Sciacco – che aveva un portale ‘divisivo’, perché si occupava di tempi politici, fu attaccato. Allora non avevamo idea di cosa fossero gli attacchi DDoS, in un’epoca nella quale la connettività si misurava in megabit. In quanto service provider, scoprimmo di essere sotto attacco perché non riuscivamo più ad accedere alle nostre infrastrutture. Non eravamo pronti ad affrontarlo né avevamo una strategia di difesa”.
La genesi che porterà poi all’attuale offerta di DDoS Mitigation non è partita quindi con l’idea di proporre al mercato questo servizio, quanto piuttosto di difendere CDLAN stessa in quanto possibile bersaglio di un Distributed Denial of Service.
Tutte le aziende sono potenzialmente esposte
Da allora ne è passata di acqua sotto i ponti. Non solo CDLAN ha acquisito una serie di competenze per identificare e reagire prontamente a questo tipo di offensiva, ma il DDoS si è evoluto verso l’as-a-Service.
Esiste un mercato in cui, secondo Clusit, il costo del servizio si aggira sui 5-10 dollari al mese per botnet in grado di erogare un attacco di 5-10 minuti a oltre 100 gigabit. Nessuno può ritenersi al sicuro, vista la facilità con cui è possibile attingere a questi strumenti, né si può fare affidamento su uno standard di durata omogeneo.
“In questi anni – sottolinea infatti Sciacco – abbiamo avuto modo di mitigare attacchi della durata di un mese ad esempio contro una testata giornalistica. Che cosa sarebbe successo se non avesse potuto produrre i suoi contenuti? Ci sarebbe stato un danno enorme di immagine e quindi anche economico”. O, ancora, per rimarcare il concetto che nessuna azienda possa sentirsi esclusa da questa minaccia, Sciacco cita il caso di una società che organizza eventi: “Si è rivolta a noi dopo che una sua trasmissione live è stata annullata a causa di un attacco DDoS. Ci ha contattato nella nostra veste di provider di telecomunicazioni per sostituire il precedente fornitore e garantire quel tipo di protezione e di mitigazione contro il DDoS di cui era stata vittima”.
Scopo e caratteristiche del Distributed Denial of Service
Analogamente ai ransomware, che causano la criptazione dei dati al fine di ottenere un riscatto, i DDoS spesso sono preceduti da comunicazioni che chiedono soldi in cambio della desistenza a muovere l’attacco. La comunicazione può essere accompagnata da un’azione dimostrativa che faccia capire quanto l’attacco possa risultare effettivamente dannoso. Se poi l’azienda non dispone di un backup, la conseguente perdita di dati diventa persino più letale del classico malware.
In alcuni casi il DDoS viene utilizzato come elemento di distrazione per mascherare dei tentativi di accedere alle risorse aziendali, contando sul fatto che durante l’attacco è difficile monitorare in dettaglio tutte le azioni che vengono compiute per nascondersi tra le pieghe della rete.
Gli attacchi DDoS normalmente appartengono a due categorie: volumetrici e di tipo applicativo. I primi “tendono a saturare le risorse – spiega Sciacco -, a oscurare aumentando la capacità mediante tecniche di amplificazione dei pacchetti per cui si arriva all’ordine delle centinaia di gigabit verso una vittima”. I secondi “sfruttano debolezze, limitazioni o bug delle applicazioni. Se ad esempio la vittima utilizza un certo firewall per proteggere la sua rete interna e quel firewall è sensibile a un flow di pacchetti di un certo tipo, potrebbe non essere più in grado di elaborarli. Queste due diverse tipologie di attacco spesso vengono combinate assieme”.
In cosa consiste un servizio di DDoS Mitigation
La DDoS Mitigation è un’attività che richiede molte risorse in termini di banda e CPU, perché impiega un sistema di analisi real-time del traffico per identificare automaticamente le anomalie, facendo attenzione a preservare la latenza il cui eccessivo rallentamento, seppure a scopo di mitigazione, peggiorerebbe l’user experience.
Una volta individuate le anomalie, viene separato il traffico “buono” da quello “cattivo” per indirizzare il secondo verso i cosiddetti centri di scrubbing che normalmente sono collocati all’interno di hub europei come quelli di Francoforte, Amsterdam o Londra. Questi centri fanno pulizia, sempre in tempo reale, e restituiscono il traffico in una forma più gestibile dai normali firewall.
“L’abilità risiede nell’early detection. Basti pensare che un attacco volumetrico nel giro di 30 o 40 secondi fa passare la quantità di traffico da zero a 100 gigabit. Quindi si hanno pochi secondi a disposizione per attivare un processo di identificazione dell’anomalia e di diversione del traffico, in modo tale che la potenziale vittima non subisca alcun conseguenza” chiarisce Salvatore Sciacco.
A ciò va aggiunto che periodicamente vengono fatte delle verifiche, soprattutto quando gli attacchi sono prolungati, insieme a un tuning delle regole di bonifica per individuare falsi positivi o falsi negativi.
“La questione fondamentale è la flessibilità – dice in conclusione – che ci permette di accompagnare ogni cliente a ottenere il miglior risultato possibile. Spesso affianchiamo la DDOS mitigation agli altri servizi che eroghiamo nell’ambito dei progetti di business continuity dei nostri clienti. In entrambi i casi, sono servizi che è auspicabile non dover utilizzare mai. Un po’ come avviene per le assicurazioni”.
E proprio come per le assicurazioni, è la copertura a fare la differenza quando accade un incidente.
Contributo editoriale sviluppato in collaborazione con CDLAN
