La sesta edizione del Worldwide Infrastructure Security Report di Arbor Networks dice che gli attacchi distribuiti hanno come obiettivo i servizi infrastrutturali e che Dns e Ipv6 sono da tenere d’occhio. Gli operatori mobili chiamati a un maggior controllo.
Nel 2010 gli attacchi Distributed Denial of Service (DDoS) sono stati massicci, sia in termini di frequenza che di dimensione, hanno coinvolto grandi servizi Internet e per la prima volta della hanno superato la soglia dei 100Gbps, con attacchi record contro il layer applicativo.
Risultra dalla sesta edizione dello studio Worldwide Infrastructure Security Report di Arbor Networks.
Secondo Arbor gli attacchi DDoS lanciati da reti botnet continueranno a provocare danni anche nel 2011 e oltre, in quanto rappresentano una forma di cyber-protesta a basso costo ma di alto profilo.
Gli episodi più eclatanti del 2010 sono legati alle dispute territoriali fra Cina e Giappone, ai problemi politici di Birmania e Sri Lanka e allo scandalo WikiLeaks.
Gli elementi interessati dagli attacchi DDoS comprendono i server, i protocolli e i servizi vulnerabili a questo genere di problema. L’adozione di nuovi strumenti, e di protocolli e servizi di rete contribuisce ad ampliare la superficie degli attacchi, fatto che costituisce una grande problema per tutti gli operatori del settore.
Gli attacchi DDoS volumetrici e applicativi lanciati da botnet sono uno dei problemi più urgenti che gli operatori affrontare devono risolvere.
Lo studio mette in evidenza anche attività rivolte ad altri tipi di vulnerabilità, come le reti mobili, che soffrono di una limitata visibilità e scarso controllo sul traffico gestito, e una costante attenzione ad applicazioni e servizi quali Dns, VoIp e Ipv6.
Il 77% degli intervistati ha riferito di aver subito nel 2010 attacchi contro il layer applicativo mirati sia contro i loro clienti che contro i servizi complementari forniti, ad esempio Domain Name System (Dns), portali Web.
Gli operatori di Internet data center e quelli di reti wireless mobili/fisse hanno evidenziato come gli attacchi contro il layer applicativo abbiano portato a interruzioni dei servizi, aumenti delle spese operative, malcontento da parte dei clienti, perdita dei profitti.
Nel tentativo di garantire la protezione dagli attacchi DDoS, molti operatori hanno implementato dispositivi Ips e firewall stateful per tutelare l’infrastruttura dei data center.
In realtà questo tipo di dispositivi rischia di rendere le reti ancora più soggette al problema in quanto le tabelle di stato, anche nelle versioni più scalabili, possono essere facilmente sopraffatte da un attacco DDoS di dimensioni moderate.
Un responsabile di data center su due ha riferito di aver subito un’interruzione del servizio a livello di firewall o Ips per via di questo tipo di minaccia.
Gli Internet Service Provider rischiano di essere meno preparati sul fronte della visibilità e del controllo sulla rete, oltre che nella capacità di difendersi tutelando i clienti. Il 60% circa degli intervistati ha ammesso di disporre di una visibilità limitata, se non nulla, nei confronti del traffico dei pacchetti wireless.
Solo il 23% ha indicato di avere pari o maggiore visibilità sui pacchetti wireless rispetto a quelli wireline. Al di là di alcune eccezioni, molti degli operatori wireless mobili/fissi risultano possedere infrastrutture di sicurezza simili a quelle utilizzate 8-10 anni fa dagli operatori fissi.
Gli operatori hanno espresso preoccupazione per la mancanza di visibilità sul traffico Ipv6 e alla loro impossibilità di controllare quel traffico così come invece avviene con quello Ipv4.
Un’altra importante minaccia sul fronte della disponibilità è costituita dal vettore DDoS e dall’ulteriore stato di rete introdotti con il deployment dei Nat (Network Address Translator) e dei gateway 6-to-4.
Il protocollo Dns si è rivelato uno dei modi più semplici per sferrare un attacco DDoS contro server, servizi o applicazioni, in quanto la risorsa attaccata viene resa inattiva negando agli utenti Internet la capacità di risolvere gli indirizzi. Inoltre, l’elevato numero di richieste al Dns, unito alla mancanza di sistemi anti-spoofing su molte reti, mette gli hacker nelle condizioni di poter amplificare gli attacchi verso il Dns.
