Newsletter Partner Login Contatto
Newsletter Partner Login Contatto

Descrizione e misure di protezione da attacchi DDoS

Descrizione e protezione da attacco DDoS

Se colpisce uno tsunami di dati


Attacchi di hacker mediante DDoS (Distributed Denial of Service) paralizzano intere piattaforme web e sistemi IT. Cosa può fare una tale quantità di dati e come possono proteggersi le aziende.


Testo: Felix Raymann, Immagini: iStock by Getty Images,




Non è stato un caso che gli hacker abbiano sferrato il loro attacco di sabato, ovvero quando il personale e la sorveglianza IT sono ridotti al minimo e un attacco passa inosservato più a lungo che durante un giorno della settimana. Il 12 marzo 2016, degli attacchi mirati di sovraccarico dei server hanno fatto in modo che diversi commercianti online svizzeri quali Digitec, Galaxus, Interdiscount o Microspot non fossero più raggiungibili dai clienti per diverse ore. Questo è stato uno dei casi più grandi e clamorosi della Svizzera, ma solo uno delle migliaia di attacchi DDoS sferrati ogni anno da cyber-criminali in maniera mirata alle aziende svizzere.

Spesso non si svela mai chi si cela dietro agli attacchi. Secondo le divulgazioni ufficiali, nei casi sopra menzionati alle aziende interessate non sono pervenute lettere a scopo estorsivo. Una cosa però è certa: attacchi simili all’infrastruttura possono comportare danni ingenti per le aziende. Se i servizi web non sono raggiungibili per un certo lasso di tempo, ne può risultare un’enorme perdita di fatturato. È il caso ad esempio degli shop online, di banche o altri fornitori di servizi che fanno conto sulla loro presenza web: le perdite sono in questo caso notevoli. A questo si aggiunge una perdita di reputazione, poiché al sito web può essere attribuito lo stigma di «poco sicuro». Il ripristino dello status quo può inoltre comportare delle spese. In seguito agli attacchi, sulle imprese colpite incombe infine la minaccia della perdita dei dati. Come gli effetti di attacchi DDoS possano ripercuotersi rapidamente anche in altri settori lo ha dimostrato il caso Digitec. L’attacco in quel caso non si è limitato all’interruzione dello shop online, ma si è allargato anche ai sistemi IT delle filiali e del servizio clienti, anch’essi fuori uso per un certo tempo.


Attacchi a diversi livelli

In linea di massima gli attacchi DDoS si svolgono prevalentemente secondo modelli simili: i server di fornitori di servizi web vengono bombardati con innumerevoli richieste, tanto che non riescono più a elaborare l’enorme quantità di dati o il numero elevato di pacchetti IP al secondo e i servizi web collassano sotto questo carico. Per riuscire a effettuare tutte quelle richieste al server, gli hacker devono disporre dell’infrastruttura necessaria, servizio che possono però anche «noleggiare» da fonti illegali nel dark net. Un’altra strategia di attacco è la creazione di un cosiddetto Botnet: gli hacker attaccano quanti più apparecchi collegati a internet e li manomettono in maniera che a comando inviino le richieste al target prescelto inondandolo di dati. Gli apparecchi sequestrati possono essere PC scarsamente protetti, ma anche apparecchi della vita quotidiana in rete, quali telecamere di sorveglianza, router, apparecchi domestici o altre macchine con un indirizzo IP pubblico.

Gli attacchi DDoS possono essere rivolti anche a diversi livelli di rete (layer OSI). Spesso gli attacchi DDoS si svolgono a livello di applicazioni (layer 7), tra questi ad esempio server HTTP o FTP che vengono inondati di enormi quantità di dati tramite il cosiddetto «flooding». Altrettanto diffusi sono gli attacchi a livello di commutazione (network layer o layer 3), per il quale occorrono però spesso capacità maggiori. In linea di massima, comunque, possono essere sferrati attacchi a tutti e sette i layer.


Efficaci misure di protezione

Gli attacchi DDoS si svolgono quotidianamente su tutti gli obiettivi raggiungibili tramite internet. Potenzialmente, tutti i fornitori di servizi web, ovvero qualsiasi indirizzo IP raggiungibile pubblicamente, possono diventare obiettivo di un attacco. Secondo la Centrale d’annuncio e d’analisi per la sicurezza delle informazioni MELANI, proteggersi dagli attacchi DDoS è certo difficile, ma assolutamente non vano. Le misure di prevenzione (vedi l’elenco di seguito) sono pertanto indispensabili, ma non sufficienti per essere interamente al sicuro. Le aziende possono proteggersi solo in parte dagli attacchi DDoS. Se si attiva ad esempio un semplice filtro DoS sul firewall aziendale, questo è certamente in grado di analizzare e filtrare il traffico di dati in arrivo, ma se l’attacco viene distribuito e il volume dell’attacco supera la larghezza di banda disponibile del collegamento internet, il filtro non offre più alcuna protezione. La stessa situazione si verifica in presenza di un elevato numero di pacchetti IP al secondo.

Una protezione DDoS efficace si appoggia quindi al backbone internet del Service provider. Lì un «attacco distribuito» (distributed) viene contrastato con un «meccanismo di difesa distribuito». Nel caso del DDoS Protection Service di Swisscom, ad esempio, dei sensori applicati a diversi router nel backbone internet forniscono in continuazione informazioni importanti sul traffico internet in corso. I sistemi di protezione possono così reagire in tempo reale e attivare i relativi filtri. In questo modo è possibile respingere gli attacchi e garantire al contempo che solo il traffico legittimo sia instradato sull’infrastruttura del cliente.


Prevenzione e misure di protezione contro DDoS


Gestire un web service senza misure di protezione DDoS efficaci e sperare di non essere considerati un target interessante per gli hacker è da considerare, dal punto di vista dell’azienda, negligenza intenzionale o colpa grave. È pertanto necessario adottare provvedimenti per impedire i danni derivanti da possibili attacchi.


Prevenzione nel backbone internet

Per essere adeguatamente armati contro attacchi DDoS si può utilizzare lo Swisscom DDoS Protection Service. Tutti i servizi di rilievo gestiti su diversi server devono essere protetti tramite il medesimo DDos Protection Service. 


Allerta precoce

lo stato normale dei sistemi dovrebbe essere noto ai responsabili IT in maniera che saltino subito all’occhio degli eventi speciali. Valutazioni automatiche regolari dei log files forniscono informazioni su casi speciali. Ai fini del monitoraggio vale anche la visione esterna: la disponibilità dei servizi dall’esterno dell’azienda deve essere controllata tramite internet.


Valutazione delle conseguenze

Quali conseguenze avrebbe un’interruzione del sistema in seguito a un attacco DDoS? Le aziende dovrebbero calcolare il danno diretto e indiretto che potrebbe risultare in caso di interruzione dei loro sistemi per ore, giorni o persino settimane. 


Piano per i casi di emergenza

Per i casi seri dev’esserci un piano interno per i casi di emergenza che copra anche l’eventualità peggiore. I responsabili devono essere formati adeguatamente, conoscere la procedura necessaria e poter informare rapidamente i contatti (interni ed esterni) interessati.


Limitare gli attacchi

L’attacco al proprio web service può essere limitato limitando l’IP del mittente. Ad esempio si possono bloccare all’occorrenza tutte le richieste dei servizi provenienti dall’estero o da determinati paesi. Occorre inoltre rispettare sempre alla lettera l’assegnazione dei diritti per tutta la rete.


Adeguare il firewall

Il firewall deve disporre di risorse a sufficienza e in caso di attacco deve essere munito tempestivamente di ulteriori regole di blocco.


Minacce

In caso di minaccia di attacco, bisogna adottare insieme all’Internet Service Provider misure tecniche per prepararsi a un attacco. Non bisogna mai dar seguito a richieste di riscatto.






Maggiori informazioni