Cos’è un attacco DDoS a un web server?
Un attacco DDoS può presentarsi sotto diverse forme, ma in generale si indirizza ai server di un sito attraverso una serie di ‘richieste’ che disabilitano o riducono in maniera significativa le prestazioni di quello stesso sito.
Immaginate di essere un artista che si esibisce in uno stadio affollato. Un membro del pubblico si alza in piedi e comincia a lanciare pomodori nel tentativo di rovinare lo spettacolo. Questa situazione assomiglia a un attacco DoS a un web server da parte di un'unica fonte ed è relativamente semplice in questi casi individuare il “malfattore” e metterlo all’angolo con misure di sicurezza adeguate. Ipotizziamo ora che nel pubblico non sia solo uno spettatore a lanciare pomodori, ma un gruppo di persone che indossa una maglietta dello stesso colore. Anche in questo caso lo staff deputato alla sicurezza, che nella nostra analogia rappresenta il team IT di un’azienda, può individuare il gruppo e interromperlo senza difficoltà. Terza possibilità: il gruppo di guastafeste capisce che per rovinare lo spettacolo deve convincere gli altri “ignari” spettatori a fare il suo gioco. Perciò offre loro gratuitamente pomodori all’entrata dello stadio. A questo punto lo show non ha speranze di andare in scena. Ecco come si configura un attacco DDoS a un web server: gli aggressori sono un esercito di macchine compromesse in rete, controllate da un utente malintenzionato. Attacchi di questo tipo sono spesso chiamati " Layer 7 " e hanno la peculiarità di imitare la navigazione web per eludere i rilevamenti.
I diversi tipi di attacchi DDoS
Gli attacchi DDoS ai server possono assumere forme diverse:
- Quelli volumetrici hanno come obiettivo la rete che porta al server e inviano una raffica di richieste (per esempio richieste di pagine casuali o attacchi SYN-Flood a livello TCP diretti ai server) volte a soffocare la pipeline o lo stack di rete del server.
- Altra tipologia di attacco Ddos è quella che mina la potenza di elaborazione dei server mandando un gran numero di richieste a pagine specifiche come quelle di ricerca e di accesso, che generano un pesante carico di calcolo sul server. La rete non è soffocata, ma la capacità di elaborazione è compromessa.
- La terza categoria risparmia le capacità di rete e di elaborazione, ma intacca la memoria dei server, come accade negli attacchi R-U-Dead-Yet e Slowloris. Gli aggressori inviano richieste appositamente predisposte, che saturano la memoria del server.
In tutti i casi, i siti web vanno giù, diventando inaccessibili. Se il business dipende da loro parzialmente o completamente, l’attacco avrà minato anche i ricavi. Nel caso in cui i criminali informatici chiedano un riscatto è possibile calcolare il costo – opportunità di un pagamento, ma quando il cyber attacco viene svolto per puro “divertimento” non avere un piano di emergenza significa essere alla mercè degli hacker.
Come nasce un esercito di hacker?
Come gli agenti del film Matrix, che s’impadroniscono delle persone "normali", gli hacker (chiamati botmaster) possono reclutare soldati (chiamati botnet), installando agenti dannosi (detti malware) nei sistemi degli ignari utenti di Internet. I malware si diffondono attraverso e-mail, social engineering, phishing e siti web compromessi. Provider di posta elettronica, società di sicurezza informatica, e campagne di sensibilizzazione hanno sconfitto i malware inviati in allegato, tuttavia le e-mail con link a siti malevoli che ospitano malware attirano ancora molti utenti nella trappola bot. Anche i siti web infetti si stanno continuando ad affermare come forma di attacchi tra le più efficaci e subdole. I malware che si trovano in questi casi sono noti come “browser exploit kit” (per esempio blackhole) e possono profilare browser e plugin degli utenti, utilizzandoli come obiettivi di vulnerabilità note e non (per esempio 0-day). Se il browser o uno qualsiasi dei componenti aggiuntivi (ad esempio Java o Adobe Flash) non hanno le ultime patch di sicurezza, siete spacciati. Il browser è compromesso e con esso anche il sistema operativo del computer. Il malware resta dopo aver riavviato il Pc, ignorando anche la maggior parte degli strumenti AV. Con le ultime patch di sicurezza, il computer può essere intaccato solo dalle vulnerabilità non note che gli aggressori riescono a procurarsi con poche centinaia di dollari. Una volta che gli agenti dannosi sono installati sul sistema, questo è collegato efficacemente a una botnet. Gli agenti attendono istruzioni dal botmaster per effettuare attacchi DDoS, campagne spam o rubare dati dai sistemi compromessi.
Attacchi DDoS affittasi
Il 2014 ha visto anche l’aumento di aziende che letteralmente vendono botnet-as-a-service o attacchi DDoS “on demand” ad opera di cybercriminali e script kiddies, capaci di sostenere una botnet con centinaia di migliaia di nodi bot. Un servizio del genere costa meno di cinquanta dollari l'ora e rende disponibile il noleggio di una botnet di oltre 1.000 nodi, sufficiente per abbattere una piccola o media impresa. Le forze dell’ordine fanno fatica a monitorare le reti mondiali di criminali informatici a causa della mancanza di trattati internazionali su questo tema. Gli aggressori usano comunemente "hosting a prova di proiettile" per i server di controllo che comandano le botnet. Tali servizi operano da Paesi che forniscono l'immunità contro le forze dell'ordine occidentali. Con l'aumento della concorrenza, i prezzi per l'affitto di servizi DDoS “on demand” è sempre più conveniente. Addirittura alcuni hacker iniziano a lanciare attacchi DDoS ai propri concorrenti per preservare gli affari. Detto questo, è un mercato che continua ad essere molto redditizio e fiorente.
Come difendersi dagli attacchi DDoS
Le agenzie di difesa non hanno molto successo nel combattere questa nuova forma di cybercrime. Questo perché solitamente gli hacker usano ‘bulletproof hosting’ per il controllo dei server che guidano l’attacco DDoS e tali servizi spesso operano in paesi dove viene fornita l’immunità.
Le organizzazioni che vogliono di difendere i propri server devono cercare un fornitore esperto in tema di applicazioni e minacce. Una risposta a livello di rete è infatti inefficace sul fronte delle applicazioni perché un firewall di rete è in grado di proteggere protocolli di livello 4 e anche di fare un’ispezione approfondita. Ma in realtà la protezione da attacchi a livello di applicazioni web in genere richiede di chiudere protocolli HTTP o HTTPS e spesso di riscrivere il traffico per identificare e mitigare le minacce. Un firewall di rete come non è progettato per bloccare lo spam, nemmeno lo è per fermare attacchi alle applicazioni web. Un errore di questo tipo lascia l'applicazione web esposta e dà all'amministratore un falso senso di sicurezza. Un’applicazione web firewall è molto più adatta a fronteggiare attacchi DDoS.
Serve, invece, una soluzione che abbia visibilità completa del traffico web, non solo delle porte IP e degli indirizzi. La capacità di controllare la frequenza di una o più sorgenti di attacco deve essere inoltre un requisito fondamentale. Nel dettaglio, la soluzione ideale dev’essere in grado di individuare le richieste malevoli che cercano di intaccare lo stack di rete, l’elaborazione o la memoria del server. E’ anche utile dotarsi di un’intelligence dedicata alla reputazione IP per bloccare le richieste provenienti da fonti che hanno una cattiva reputazione. E’ però essenziale che i criteri reputazionali vengano aggiornati spesso per assicurarsi una risposta efficace. Alcune soluzioni forniscono anche meccanismi dinamici di fingerprinting del client capaci di rilevare client sospetti, quali bot, nodi TOR, anonymizer e così via, utilizzando iniezioni di codice e sfidando le richieste con un CAPTCHA. Questa strategia può essere utile quando una botnet è molto distribuita, rimane al di sotto del radar di controllo della velocità, e i suoi nodi bot non sono nella lista nera. Per difendersi dagli attacchi DDoS sono disponibili infine servizi basati su cloud. La mitigazione è realizzata reindirizzando il traffico in entrata sulla nuvola attraverso la manipolazione DNS, dove viene “ripulito” e solo allora inoltrato al server di destinazione. Tali soluzioni promettono facile installazione e bassa manutenzione. Tuttavia, vanno valutate attentamente poiché richiedono l’esportazione delle proprie chiavi SSL e possono talvolta inserire ADV nel traffico web. Infine gli aggressori più agguerriti sono in grado di bypassare il cloud e colpire direttamente i server, rendendo una soluzione on-premise indispensabile.
Autore dell'articolo
Wieland Alge - VP & General Manager EMEA di Barracuda Networks
Note sull'autore
In qualità di VP & General Manager EMEA di Barracuda Networks, Wieland Alge è responsabile del business dell’azienda nell’area EMEA. Precedentemente, è stato CEO e co-fondatore di phion AG, che si è fusa con Barracuda Networks nel 2009. Con diversi anni di esperienza nella pianificazione e sviluppo di progetti di sicurezza internazionali, Wieland Alge possiede una profonda conoscenza delle prospettive di utenti e amministratori sulla sicurezza. Dopo aver ottenuto il dottorato in Scienze, Wieland Alge è stato docente universitario e assistente scientifico presso l’Institute for Theoretical Physics dell’Università di Innsbruck. Nel 2008, ha ottenuto il riconoscimento ‘Imprenditore dell’anno’ di Ernst & Young.
![Microsoft potrebbe sostituire Windows Phone Android? [RUMOR]](https://m22.paperblog.com/i/289/2897678/microsoft-potrebbe-sostituire-windows-phone-c-L-fT9C0B-175x130.jpeg)
Pacman
Nostradamus
Magical Cat Adventure
Snake