Descrizione e protezione da attacco DDoS
Se colpisce uno tsunami di dati
Gli attacchi hacker tramite DDoS (Distributed Denial of Service) paralizzano intere piattaforme web e sistemi IT. Cosa può causare questa marea di dati e come possono proteggersi le aziende.
Testo: Felix Raymann, Immagini: iStock by Getty Images, 14 novembre 2018, aggiornato il 21.07.2021
La miscela è esplosiva: l’utilizzo dei servizi cloud e internet e di conseguenza la loro importanza sono aumentati moltissimo durante la pandemia di coronavirus. Allo stesso tempo, acquistare un attacco DDoS nei forum del darknet è diventato più economico. Noleggiare una botnet per un attacco «Distributed Denial of Service» costa pochi dollari e in alcuni casi permette di paralizzare parti vitali di un’infrastruttura aziendale, come il sito web o lo shop online.
Le conseguenze di questa pericolosa miscela iniziano a farsi sentire anche per le aziende in Svizzera. Gli attacchi di questo tipo aumentano anche qui da noi. Sulla portata di tale incremento, i security provider non sono concordi. Le stime più ottimistiche parlano di +20% mentre, secondo altri, gli attacchi sarebbero triplicati. Date le dimensioni del fenomeno, tutte le aziende possono diventare in modo più o meno aleatorio vittime di un attacco DDoS.
Estorsione con minaccia di DDoS
Spesso individuare gli artefici di questi attacchi è difficile. La cosa certa è che un’infrastruttura non disponibile può comportare danni ingenti per l’azienda. Se i servizi web non sono raggiungibili per un periodo di tempo lungo, il fatturato può risultare pesantemente compromesso. Shop online, banche e tutti gli altri fornitori di servizi che dipendono da una presenza sul web possono subire perdite rilevanti. A questo si aggiunge anche il danno per la reputazione una volta che il sito è percepito come «non sicuro». Ripristinare lo status quo, inoltre, richiede investimenti. Per le aziende colpite, gli attacchi possono comportare anche la perdita di dati.
Ad agosto dello scorso anno, sono stati scoperti attacchi DDoS ad opera di un inedito gruppo di criminali informatici che ha usato questo tipo di attacchi per sviluppare un modello di business. Gli hacker, che il più delle volte utilizzavano il nome «Lazarus Bear Armada», organizzavano un attacco piuttosto lieve e poi inviavano all’azienda presa di mira una richiesta di bitcoin. Se non cedeva al ricatto, minacciavano un attacco DDoS di portata molto più ampia. In molti casi la minaccia si è rivelata vuota. Tuttavia, come alcune istituzioni hanno potuto constatare direttamente, certezze non ce ne sono. Anche questo tentativo di estorsione con il DDoS può interessare qualunque azienda.
Attacchi sempre più sofisticati
Gli attacchi DDoS hanno tutti un modello simile: i server internet di un’azienda vengono bombardati con innumerevoli richieste e, non riuscendo a elaborare la grande quantità di dati o l’alto numero di pacchetti IP, collassano per il sovraccarico. Per riuscire ad inviare queste richieste, gli hacker hanno bisogno di un’infrastruttura specifica o devono noleggiare una botnet con dispositivi infetti. Per esempio, possono usare PC con falle di sicurezza, ma anche apparecchi di uso quotidiano in rete come telecamere di sorveglianza, router, elettrodomestici o apparecchi simili collegati a internet.
Il problema è che gli attacchi sono sempre più sofisticati. All’inizio interessavano perlopiù i livelli di rete più bassi (livello OSI), ad esempio con attacchi PING o SYN Flood. Filtrare questi tentativi era piuttosto semplice con sistemi di protezione come firewall o IDS/IPS.
Gli hacker come Lazarus Bear Armada, invece, combinano diversi vettori di attacco e attacchi UDP Reflection. In questo caso i criminali informatici fanno leva sul fatto che servizi come DNS (Domain Name System) forniscono una risposta completa a un piccolo pacchetto di query. Nelle modalità come la DNS Amplification, quindi, è sufficiente fare numerose richieste con l'indirizzo IP della vittima (IP spoofing) per inondarla con una quantità sproporzionata di dati. In combinazione con altre modalità di attacco al livello applicazione (Layer 7), come ad esempio l’HTTP(S) Flooding, questi attacchi DDoS sono dirompenti e difficili da bloccare sui sistemi presi di mira.
Misure di protezione efficaci contro i DDoS
Gli attacchi DDoS sono all’ordine del giorno e colpiscono tutti gli obiettivi raggiungibili tramite internet. Potenzialmente tutti i fornitori di servizi web e internet, quindi tutti gli indirizzi IP accessibili al pubblico, possono finire nel mirino. Prevenire quindi è fondamentale (vedi elenco di misure qui in basso). Tuttavia questo non basta per essere totalmente immuni. Le aziende possono proteggersi dagli attacchi DDoS solo in misura limitata. Un semplice filtro DoS attivo sul firewall dell’azienda, ad esempio, può analizzare e filtrare il traffico di dati in entrata. Però, quando l'attacco è distribuito e supera la larghezza di banda disponibile del collegamento internet o la prestazione del firewall, non c’è filtro che tenga. La stessa situazione si ha in presenza di un elevato numero di pacchetti IP.
Una protezione DDoS efficace, quindi, parte dalla backbone internet del service provider. È lì che l’attacco distribuito può essere affrontato con un «meccanismo di difesa distribuito». Il DDoS Protection Service di Swisscom raccoglie preziose informazioni sul traffico internet in corso usando sensori installati su diversi router nella backbone internet. I sistemi di protezione riescono così a reagire in tempo reale, attivando i relativi filtri. In questo modo, è possibile tenere testa agli attacchi e allo stesso tempo garantire che sull’infrastruttura del cliente sia diretto solo il traffico dati legittimo.
Prevenzione e misure di protezione contro i DDoS
Se gestiscono un servizio web senza misure di protezione efficaci contro i DDoS nella speranza di restare immuni dagli attacchi dei criminali informatici, le aziende agiscono con dolo e negligenza. Per questo è necessario prendere tutti i provvedimenti per evitare danni da possibili attacchi.
Prevenzione nella backbone internet
Per essere pronti ad affrontare gli attacchi DDoS si può contare su Swisscom DDoS Protection Service. Tutti i servizi rilevanti gestiti su diversi server vengono protetti dallo stesso DDoS Protection Service.
Allerta precoce
I responsabili IT devono conoscere lo stato normale dei sistemi (baseline), in modo da notare subito eventi particolari. La valutazione automatica regolare dei file log è utile per individuare anomalie. Anche il punto di vista esterno è importante nell’attività di monitoraggio: bisogna controllare la disponibilità dei servizi via internet anche da fuori.
Valutazione delle conseguenze
Quali conseguenze può avere un guasto a un sistema a seguito di un attacco DDoS? Le aziende dovrebbero calcolare i danni diretti e indiretti che potrebbero risultare da un’interruzione dei propri sistemi per ore, giorni o persino settimane.
Piano d'emergenza
Un piano d’emergenza per eventuali incidenti, che contempli anche la peggiore delle ipotesi, non dovrebbe mai mancare. Le persone responsabili devono essere appositamente istruite, conoscere le procedure necessarie e i contatti rilevanti (interni ed esterni) da informare rapidamente.
Limitare gli accessi
L’accesso al proprio servizio web può essere circoscritto, limitando gli IP mittente. All’occorrenza, per esempio, è possibile bloccare tutte le richieste al server provenienti da paesi diversi dalla Svizzera o da determinati paesi. Inoltre, la concessione dei diritti per l’intera rete deve essere rigorosamente rispettata in ogni momento.
Firewall basato su cloud con risorse scalabili
Il firewall dovrebbe disporre di risorse sufficienti e poter essere velocemente dotato di regole di blocco aggiuntive in caso di attacco. Un Managed Firewall basato su cloud con risorse scalabili è quindi la soluzione ideale.
Minacce
In caso di minaccia di attacco occorre prepararsi ad affrontarlo adottando misure tecniche insieme all’Internet Service Provider. Cedere alle richieste di riscatto e pagare non è mai consigliabile.
Newsletter
Desiderate ricevere regolarmente articoli e rapporti avvincenti su tematiche ICT di attualità?
Maggiori informazioni
