Descrizione e protezione da attacco DDoS
Quando gli attacchi DDoS vanno a segno
Gli attacchi informatici tramite DDoS (Distributed Denial of Service) paralizzano interi siti web e sistemi IT. Cosa comporta un tale flusso di dati e in che modo possono proteggersi le aziende.
Testo: Felix Raymann/Andreas Heer, Immagini: Swisscom, 14 novembre 2018, aggiornato il 28.06.2023
Giugno 2023 passerà alla storia della cybersicurezza come mese «degli attacchi». Ben due grandi attacchi DDoS hanno messo fuori uso siti web e servizi online, danneggiando così persone e aziende anche in Svizzera.
All’inizio di giugno importanti servizi cloud di Microsoft erano disponibili solo in misura limitata a causa di un attacco DDoS. E circa una settimana dopo è stata colpita direttamente la Svizzera. Diversi siti web della Confederazione e di grandi città sono stati in parte o del tutto irraggiungibili a causa dell’attacco.
Attacchi DDoS a sfondo politico
Ciò che colpisce è che in entrambi i casi l’attenzione si è concentrata meno sui motivi criminali finanziari e più su quelli politici. Sia gli hacktivisti di «Anonymous Sudan» che quelli di «NoName» hanno collocato i loro attacchi a Microsoft e alla pubblica amministrazione svizzera nel contesto della guerra di aggressione all’Ucraina. Nell’ambito del suo progetto di attacco «DDosia», NoName sembra inoltre pagare le persone che mettono a disposizione la loro infrastruttura. Secondo i ricercatori sulla sicurezza di Avast, questa cerchia conta circa 7000 persone.
La Svizzera e quindi anche le aziende locali sono colpite dagli attacchi DDoS. Gli esempi di giugno mostrano solo quanto siano diverse le ragioni e che il rischio è sempre in agguato. Anche l’attuale Cybersecurity Threat Radar di Swisscom indica che la minaccia è in aumento.
Estorsione con minaccia di DDoS
La maggior parte degli attacchi potrebbe avere motivazioni puramente finanziarie. In primo luogo, per mettere ulteriormente sotto pressione le vittime di un attacco ransomware con una minaccia DDoS affinché paghino un riscatto. Infatti, tali guasti dell’infrastruttura possono comportare danni ingenti per l’azienda. Se i servizi web non sono raggiungibili per un periodo di tempo lungo, il fatturato può risultare pesantemente compromesso. Shop online, banche e tutti gli altri fornitori di servizi che dipendono da una presenza sul web possono subire perdite rilevanti. A questo si aggiunge anche il danno per la reputazione una volta che il sito è percepito come «non sicuro». Ripristinare lo status quo, inoltre, richiede investimenti. Per le aziende colpite, gli attacchi possono comportare anche la perdita di dati.
Attacchi sempre più sofisticati
Gli attacchi DDoS hanno tutti un modello simile: i server internet di un’azienda vengono bombardati con innumerevoli richieste e, non riuscendo a elaborare la grande quantità di dati o l’alto numero di pacchetti IP, collassano per il sovraccarico. Per riuscire ad inviare queste richieste, gli hacker hanno bisogno di un’infrastruttura specifica o devono noleggiare una botnet con dispositivi infetti. Per esempio, possono usare PC con falle di sicurezza, ma anche apparecchi di uso quotidiano in rete come telecamere di sorveglianza, router, elettrodomestici o apparecchi simili collegati a internet.
Il problema è che gli attacchi sono sempre più sofisticati. All’inizio interessavano perlopiù i livelli di rete più bassi (livello OSI), ad esempio con attacchi PING o SYN Flood. Filtrare questi tentativi era piuttosto semplice con sistemi di protezione come firewall o IDS/IPS.
Gli hacker come «NoName» combinano diversi vettori di attacco e attacchi UDP Reflection. In questo caso i criminali informatici fanno leva sul fatto che servizi come DNS (Domain Name System) forniscono una risposta completa a un piccolo pacchetto di query. Nelle modalità come la DNS Amplification, quindi, è sufficiente fare numerose richieste con l'indirizzo IP della vittima (IP spoofing) per inondarla con una quantità sproporzionata di dati. In combinazione con altre modalità di attacco al livello applicazione (Layer 7), come ad esempio l’HTTP(S) Flooding, questi attacchi DDoS sono dirompenti e difficili da bloccare sui sistemi presi di mira.
Misure di protezione efficaci contro i DDoS
Gli attacchi DDoS sono all’ordine del giorno e colpiscono tutti gli obiettivi raggiungibili tramite internet. Potenzialmente tutti i fornitori di servizi web e internet, quindi tutti gli indirizzi IP accessibili al pubblico, possono finire nel mirino. Prevenire quindi è fondamentale (vedi elenco di misure qui in basso). Tuttavia questo non basta per essere totalmente immuni. Le aziende possono proteggersi dagli attacchi DDoS solo in misura limitata. Un semplice filtro DoS attivo sul firewall dell’azienda, ad esempio, può analizzare e filtrare il traffico di dati in entrata. Però, quando l'attacco è distribuito e supera la larghezza di banda disponibile del collegamento internet o la prestazione del firewall, non c’è filtro che tenga. La stessa situazione si ha in presenza di un elevato numero di pacchetti IP.
Una protezione DDoS efficace, quindi, parte dalla backbone internet del service provider. È lì che l’attacco distribuito può essere affrontato con un «meccanismo di difesa distribuito». Il DDoS Protection Service di Swisscom raccoglie preziose informazioni sul traffico internet in corso usando sensori installati su diversi router nella backbone internet. I sistemi di protezione riescono così a reagire in tempo reale, attivando i relativi filtri. In questo modo, è possibile tenere testa agli attacchi e allo stesso tempo garantire che sull’infrastruttura del cliente sia diretto solo il traffico dati legittimo.
Prevenzione e misure di protezione contro i DDoS
Se gestiscono un servizio web senza misure di protezione efficaci contro i DDoS nella speranza di restare immuni dagli attacchi dei criminali informatici, le aziende agiscono con dolo e negligenza. Per questo è necessario prendere tutti i provvedimenti per evitare danni da possibili attacchi.
Prevenzione nella backbone internet
Per essere pronti ad affrontare gli attacchi DDoS si può contare su Swisscom DDoS Protection Service. Tutti i servizi rilevanti gestiti su diversi server vengono protetti dallo stesso DDoS Protection Service.
Allerta precoce
I responsabili IT devono conoscere lo stato normale dei sistemi (baseline), in modo da notare subito eventi particolari. La valutazione automatica regolare dei file log è utile per individuare anomalie. Anche il punto di vista esterno è importante nell’attività di monitoraggio: bisogna controllare la disponibilità dei servizi via internet anche da fuori.
Valutazione delle conseguenze
Quali conseguenze può avere un guasto a un sistema a seguito di un attacco DDoS? Le aziende dovrebbero calcolare i danni diretti e indiretti che potrebbero risultare da un’interruzione dei propri sistemi per ore, giorni o persino settimane.
Piano d'emergenza
Un piano d’emergenza per eventuali incidenti, che contempli anche la peggiore delle ipotesi, non dovrebbe mai mancare. Le persone responsabili devono essere appositamente istruite, conoscere le procedure necessarie e i contatti rilevanti (interni ed esterni) da informare rapidamente.
Limitare gli accessi
L’accesso al proprio servizio web può essere circoscritto, limitando gli IP mittente. All’occorrenza, per esempio, è possibile bloccare tutte le richieste al server provenienti da paesi diversi dalla Svizzera o da determinati paesi. Inoltre, la concessione dei diritti per l’intera rete deve essere rigorosamente rispettata in ogni momento.
Firewall basato su cloud con risorse scalabili
Il firewall dovrebbe disporre di risorse sufficienti e poter essere velocemente dotato di regole di blocco aggiuntive in caso di attacco. Un Managed Firewall basato su cloud con risorse scalabili è quindi la soluzione ideale.
Minacce
In caso di minaccia di attacco occorre prepararsi ad affrontarlo adottando misure tecniche insieme all’Internet Service Provider. Cedere alle richieste di riscatto e pagare non è mai consigliabile.
Newsletter
Desiderate ricevere regolarmente articoli e rapporti avvincenti su tematiche ICT di attualità?
Maggiori informazioni
