Attacchi Ddos: senza visibilità sulla rete non si possono fermare

Aumentano gli attacchi alle reti dei provider, che purtroppo non collaborano per fermarli. Con reti miste e Ipv6 alle porte la situazione va controllata meglio. Ne parliamo con Marco Gioanola di Arbor Networks.

Arbor Networks ha rilasciato il nuovo rapporto sulla sicurezza
delle infrastrutture mondiali, il settimo.
Per redarlo ha intervistato 114 fra network, security manager ed executive di service provider mondiali per il periodo che fa da ottobre 2010 allo scorso novembre, focalizzandosi
sugli eventi che hanno impedito alle reti di funzionare, ossia sui Ddos,
Distributed denial of service.

Ne parliamo con il rappresentante italiano di Arbor Networks, Marco Gioanola.

D: Sono aumentati gli attacchi, quali sono le ragioni tecniche?

G: Il fatto è che l'attacco volumetrico va bloccato più vicino alla sorgente. Una volta partito, l'Isp che lo riceve lo può bloccare a bordo rete. Invece lo dovrebbe fare chi è a monte dell'attacco. Ecco dunque un primo problema: la mancanza di cooperazione fra gli Isp, i quali, sia chiaro, manifestano sensibilità in merito, ma per loro tradurla in pratica è complicato.

D: Farlo non è facile anche per via della dispersione delle fonti d'attacco?

G: Noi abbiamo ricevuto molte richieste di Isp preoccupati della loro reputazione.
C'è un problema di attenzione: si protegge l'ingresso e non l'uscita.

D: Si respira aria di neoluddismo nei confronti delle reti di comunicazione?

G: Diciamo che il fenomeno ora è manifesto. C'è da dire che si può concretizzare perché i mezzi per l'attacco sono ormai disponibili, i tool sono popolari. L'effetto Anonymous quest'anno è stato determinante.

D: Invocate maggiore cooperazione fra gli Isp. Come dovrebbe attuarsi?

G: Per bloccare gli attacchi il prima possibile bisogna prima di tutto rendere sicuro il proprio ambito, senza limitazioni intellettuali. Come quella di anni fa, quando fu fatta cattiva stampa alle attività di deep packet inspection, pensandole limitative della libertà di espressione. Invece, se fosse stata intesa meglio sarebbe servita.

D: Qual è la posizione di Arbor?

G: Continuiamo a dare il messaggio forte che bisogna capire gli attacchi volumetrici. Date le dimensioni di questi attacchi, le reazioni possono essere approcciate solamente dai service provider. E noi diamo strumenti per farlo. Poi bisogna focalizzarsi contro gli attacchi cosiddetti smart, di dimensioni minori ma più subdoli.

D: Cosa accade nelle reti miste?

G: Continuano a valere le cose dette un anno fa. I provider mobili arrivano da un punto di partenza diverso: non hanno una visione sulle infrastrutture critiche. Invece ormai si trovano a esercitare reti dati tanto quanto i provider di rete fissa. E quando arriverà Lte il loro problema si amplierà, data la potenza di fuoco che ci sarà in campo.

D: Avete registrato il primo attacco Ddos a Ipv6: gli attacker si dimostrano più sensibili al protocollo rispetto all'industria?

G. Dal punto di vista delle infrastrutture ci siamo. Ci sarà un'esplosione netta del fenomeno quando apparirà il nuovo fenomeno popolare della rete, il nuovo Facebook.

D: Cosa è accaduto in Italia?

G: Anonymous ha mosso molti provider. Tramite il monitoraggio fornitoci dal nostro servizio Atlas abbiamo capito che l'Italia è salita al primo posto per il numero di attacchi ricevuti.

D: La dimensione degli attacchi conta per i provider?

G: Il 43% non lo sa, perché non ha strumenti di visibilità. Spesso questi avvengono nelle imprese e gli Isp non hanno modo di aiutarli, perché non hanno visibilità granulare.

D: Ma gli strumenti di protezione abituali non servono?

G: Non è che non bastano: sono proprio un'altra cosa, sono congegnati per rispondere ad altre prassi di attacco. Per fare Ddos mitigation serve avere visibilità e protezione della rete. Noi li diamo con strumenti, passatemi il termine, in the cloud, ossia diffusi sulla rete del provider. Poi va fatta la protezione delle risorse, granulare, con apparati che stiano davanti al datacenter. Infine serve il cloud signaling: l'apparato parla direttamente con il cloud in caso di attacco volumetrico.

CONDIVIDI

LASCIA UN COMMENTO

Please enter your comment!
Please enter your name here