Evolvono gli attacchi Distributed Denial of Services. Si fanno più numerosi e più distruttivi. Allora occorre veramente correre ai ripari prima che ci colpiscano. E anche l’avvento di IPv6 non è la panacea…
Le motivazioni per cui vengono perpetrati attacchi DDoS (Distributed Denial of Service) vanno, oggi, ben lontano dalle questioni esclusivamente finanziaria (per esempio, le estorsioni operate a danno di siti di gioco online) e coinvolgono sempre più attivamente le campagne socialmente e politicamente motivate contro siti governativi, mass media e imprese anche piccole.
I collettivi di “hacktivisti” come Anonymous, LulzSec o altri hanno utilizzato gli attacchi DDoS per danneggiare la reputazione o gli introiti di un sito target sin dal dicembre 2010, quando Anonymous iniziò a prendere di mira i siti web aziendali che si opponevano a Wikileaks.
A quel tempo, gli attacchi erano stati condotti utilizzando delle botnet contro i server dei siti target, inondando questi ultimi con grandi quantità di pacchetti TCP o UDP e mettendoli, quindi, fuori uso per diverse ore.
Oggi, i botmaster iniziano a utilizzare strategie più complesse, che si concentrano su aree specifiche della rete come i server di posta elettronica o le applicazioni web.
Altri attacchi, invece, sono mirati a distogliere l’attenzione dei team di sicurezza attraverso inondazioni di attacchi DDoS, mentre gli hacker agiscono in simultanea per raggiungere il vero obiettivo dell’attacco, ovvero recuperare preziose informazioni aziendali o personali. Secondo Carlos Morales, vice presidente Global Engineering del vendor di sicurezza Arbor Networks, questa tattica è stata utilizzata in un attacco contro la Sony nel 2011.
I ricercatori e i fornitori di sicurezza concordano sul fatto che stia diventando sempre più importante per le aziende proteggersi dagli attacchi DDoS, oltre che attuare altre misure di sicurezza della rete.
Gli attacchi DDoS possono paralizzare rapidamente una società dal punto di vista finanziario e una recente indagine condotta dal provider di sicurezza gestita Neustar, per esempio, mette in luce come le interruzioni potrebbero costare una società fino a 10.000 dollari l’ora.
Il sondaggio di Neustar “DDoS Survey Q1 2012: When Businesses Go Dark” riferisce che il 75% degli intervistati (società nordamericane che avevano subito un attacco DDoS operanti nei settori viaggi, finanza, IT e vendita al dettaglio) utilizzava firewall, router, switch o un sistema di rilevamento delle intrusioni (IDS) per combattere gli attacchi DDoS.
I ricercatori sostengono che la dotazione hardware è, sempre più spesso, parte del problema che non della soluzione. “Gli strumenti tecnologici diventano rapidamente dei colli di bottiglia, contribuendo a favorire l’azione degli utenti malintenzionati, che mirano a rallentare o bloccare le attività di un sito – sostiene il report -. Inoltre, i firewall non sono in grado di respingere gli attacchi a livello di applicazione, un vettore questo sempre più popolare per i DDoS”. Per queste ragioni, gli esperti suggeriscono alle aziende di incorporare le tecnologie e le expertise di mitigazione dei rischi specifiche per i DDoS all’interno delle componenti umane e finanziarie della loro strategia di sicurezza.
Fornitori di servizi come Arbor Networks, Prolexic e altri monitorano il traffico web alla ricerca di segnali di possibili attacchi e sono in grado di bloccarli prima che si verifichino il downtime, l’alluvione di chiamate all’assistenza clienti e, di conseguenza, i danni al marchio e alla reputazione.
L’acquisto di hardware specificamente pensato per la mitigazione dei rischi DDoS richiede l’assunzione e la formazione di lavoratori con esperienza nel settore, ma gli esperti dicono che questo è solo l’inizio e che i costi di questo tipo di protezione sono ben più alti. “In generale, l’auto-mitigazione è molto difficile da giustificare – ha detto Ted Swearingen, direttore del centro operativo di sicurezza di Neustar -. Tutte le fasi ulteriori che una società deve intraprendere per implementare il proprio strumento di mitigazione degli attacchi DDoS, come ad esempio ampliare la larghezza di banda, aumentare la potenza del firewall, collaborare con gli ISP, aggiungere funzionalità di monitoraggio della sicurezza e assumere esperti per eseguire il tutto, la rendono una strategia difficilmente sostenibile nel lungo termine”. Ecco perché, forse, solo 3% delle aziende intervistate da Neustar ha dichiarato di utilizzare questo tipo di protezione.
In alcuni casi, i piccoli fornitori di soluzioni di mitigazione degli attacchi DDoS si rivolgono a fornitori di soluzioni più complete per il supporto a fronte di attacchi di grande portata, troppo complessi o troppo nuovi per essere gestiti in proprio. Il provider VirtualRoad.org ne è un esempio. L’azienda fornisce protezione dagli attacchi DDoS a media indipendenti nei paesi soggetti a pesanti sconvolgimenti politici e sociali, dove la censura da parte del governo o da altre fonti è dilagante, come in Iran, Birmania e Zimbabwe. Una nicchia specifica come questa, in un mercato ristretto e con clienti di piccole dimensioni, di solito non richiede un sostegno supplementare, ma VirtualRoad.org ha utilizzato la sua partnership con Prolexic un paio di volte nell’ultimo anno, stando a quanto afferma il CTO Tord Lundström. “La nostra infrastruttura aveva continuamente a che fare con gli attacchi – ha detto Lundström – e quando arrivavano a essere troppi o troppo difficili da gestire, il traffico veniva instradato verso l’infrastruttura di Prolexic, una società di sicurezza che applica una tariffa fissa per cliente, indipendentemente dal numero di volte in cui si viene attaccati”. Spese extra come queste sono spesso il motivo per cui coloro che hanno bisogno di protezione DDoS di qualità, soprattutto le piccole imprese come i clienti di VirtualRoad.org, non possono permettersela.
L’impatto può essere peggiore per le imprese se l’attacco DDoS viene utilizzato come un diversivo. Secondo una recente indagine condotta da Arbor Networks, il 27% degli intervistati era rimasto vittima di attacchi multivettore. L’“Arbor Special Report: Worldwide Infrastructure Security Report”, che ha intervistato 114 carrier IP e altri operatori di rete classificati Tier 1 e Tier 2 e operanti in Canada, Stati Uniti, America Latina e America del Sud, EMEA, Africa e Asia, stima che non solo è la complessità degli attacchi a crescere, ma anche la loro dimensione.
Nel 2008, il più grande attacco osservato era di circa 40 GBPS. L’anno scorso, dopo un picco insolito a 100 GBPS nel 2010, il più grande attacco registrata era di 60 GBPS. Ciò denota un costante aumento delle dimensioni degli attacchi, ma Morales di Arbor Networks ritiene che i numeri alla fine cominceranno a livellarsi, visto che la maggior parte delle reti può essere messa KO con attacchi molto inferiori, del peso di circa 10 GBPS. “Anche se smetteranno di crescere, tuttavia, gli attacchi DDoS non si fermeranno – si dice convinto Morales -. Nemmeno l’aggiornamento delle reti a IPv6 è in grado di fermare la raffica crescente di attacchi quotidiani, visto che alcuni sono stati già registrati sulle nuove reti Internet”.
A causa della natura continua di questa strategia di attacco, gli esperti suggeriscono a tutte le aziende che hanno delle attività online di prepararsi per questo tipo di eventualità, abbandonando la convinzione comune che “tanto a noi non succederà mai”.
