Nel 2018, GitHub ha visto uno dei più grandi attacchi DDoS mai registrati. Secondo Wired, l’attacco ha misurato 1,35 terabit di dati al secondo, e GitHub ha sofferto di interruzioni come risultato. Fortunatamente, l’azienda aveva una strategia di mitigazione in atto ed è passata rapidamente a instradare il traffico attraverso il suo servizio di protezione DDoS, sventando l’attacco.
Secondo Netscout, la cui filiale Arbor Networks ha creato una mappa che mostra gli attacchi DDoS quotidiani, la società ha rilevato 23.000 attacchi ogni giorno nel 2019, in media. Il suo rapporto annuale sulle minacce avverte che l’ascesa dell’IoT, che quest’anno frutterà 20 miliardi di dispositivi connessi, aumenta notevolmente i rischi di attacchi DDoS, che sono cresciuti in frequenza e intensità.
Ma come dimostra l’esperienza di GitHub, è possibile avere un piano in atto che può ridurre i danni e persino respingere gli attacchi DDoS quando si verificano. Le aziende possono prendere precauzioni tecniche, usare servizi di protezione DDoS e adottare piani aziendali chiari in previsione di un attacco.
Cos’è un attacco DDoS (distributed denial-of-service)?
Più su CYBERSECURITYLe app per la radio della polizia stanno aumentando di popolarità. C’è solo un problema.
Come appare il Denial of Service?
L’istruttore Tom Scott spiega su Computerphile che il nucleo maligno di un attacco DDoS è il denial of service, una forma di attacco vista per la prima volta negli anni ’90, quando la maggior parte delle persone con computer navigava in internet utilizzando una connessione dial-up. La connessione dial-up è lenta – spunta a 56.000 bit al secondo, meno dell’1% della velocità delle moderne connessioni a banda larga. Secondo un post sul blog di SolarWinds, queste velocità rendono impossibile guardare video in tempo reale, e anche il caricamento di una singola pagina su un sito web moderno richiederebbe più di un minuto in media.
Nel video di Computerphile, Scott spiega che gli aggressori che avevano accesso a velocità Internet più elevate, come la banda larga disponibile per i computer aziendali e universitari, selezionavano un obiettivo e inviavano un flusso di dati, lasciando l’obiettivo incapace di effettuare ulteriori connessioni. Il fattore più importante in un attacco riuscito era avere una connessione internet più veloce del bersaglio, in modo che il bersaglio avrebbe esaurito la larghezza di banda per gestire altre richieste.
Scott dice che, anche se questo tipo di attacco informatico non ruba alcuna informazione o danneggia permanentemente i sistemi, pone un problema per i siti web, che sono impossibilitati a servire i loro utenti a causa degli attaccanti che affollano tutte le richieste legittime. Per un utente che cerca di navigare in un sito web sotto un attacco denial-of-service, la pagina non si caricherebbe mai – si bloccherebbe per un lungo periodo di tempo, e poi semplicemente andrebbe in time out.
In questi giorni, Scott sottolinea, questo tipo di attacco denial-of-service flood è meno popolare, perché è difficile avere un computer con abbastanza larghezza di banda per abbattere un sito web da solo. Ma gli aggressori sono piuttosto creativi, e ci sono gusti di negazione del servizio che aggirano questo problema.
Una rotazione interessante è nota come Slowloris, che l’istruttore Mike Pound descrive in un video di Computerphile. Invece di inviare più dati possibili attraverso il computer dell’attaccante, l’attacco Slowloris estende la lunghezza del tempo di ogni richiesta a tempo indeterminato, approfittando di come i server web e i client comunicano. Questo metodo lega le connessioni al server e alla fine monopolizza tutto il traffico verso il server preso di mira. Per gli attaccanti, il vantaggio degli attacchi Slowloris è che non richiedono molta larghezza di banda, ma l’attacco è efficace solo sui server che hanno difficoltà a gestire un gran numero di connessioni concorrenti.
Tipi di attacchi DDoS
DDoS – che sta per distributed denial of service – è una delle versioni più popolari di attacchi denial-of-service. Cloudflare, un’azienda che offre servizi di protezione DDoS, insieme ad altre infrastrutture web e prodotti di sicurezza, spiega la strategia di attacco sul suo sito web. Invece di lanciare l’attacco da un singolo computer, gli aggressori utilizzano molte macchine distribuite in luoghi diversi che lavorano in concerto per sopraffare l’obiettivo. Le macchine distribuite sono spesso computer, o anche dispositivi intelligenti come i baby monitor, che sono stati segretamente infettati con malware e arruolati in una botnet sotto il controllo dell’attaccante. L’attaccante è quindi in grado di utilizzare le macchine distribuite – o bot – per inviare il traffico ovunque sia necessario per effettuare qualsiasi tipo di attacco DDoS.
Secondo il CTO di Cloudflare John Graham-Cumming, in questi giorni è comune per gli attacchi utilizzare più tipi di DDoS in un singolo attacco: “È solo un tentativo di sopraffare la rete, quindi cercheranno di inviare quante più cose diverse possibili”, ha detto a Built In.
Detto questo, gli attacchi tendono a rientrare in tre categorie.
Il primo tipo di attacco DDoS, noto come un attacco a livello di applicazione, funziona come gli attacchi denial-of-service flood, solo su una scala più grande, secondo il sito di Cloudflare. I bot inviano un torrente di traffico a un obiettivo, affollando altri utenti che cercano di accedere al server di destinazione. Gli attaccanti in genere dirigono il traffico verso gli endpoint ad alta intensità di tempo sul bersaglio – si pensi alle richieste che richiedono grandi query di database o generano grandi file. Questi tipi di endpoint non richiedono molte risorse da parte dell’attaccante per colpire, ma sono ad alta intensità di banda per l’obiettivo per rispondere. Ciò significa che l’obiettivo può bruciare rapidamente le sue risorse.
“È solo un tentativo di sopraffare la rete, quindi cercheranno di inviare quante più cose diverse possibili.”
Un altro tipo di attacco DDoS prende di mira il modo in cui i protocolli Internet – le regole che facilitano la comunicazione tra computer su Internet – dovrebbero funzionare. Un esempio delineato da Cloudflare è l’attacco SYN flood, che prende di mira il protocollo di controllo della trasmissione (TCP). In una normale transazione TCP, il client e il server stabiliscono una connessione scambiandosi una serie standardizzata di messaggi noti come “handshake”, simile a come, nell’arrampicata, l’arrampicatore comunica con l’assicuratore con riconoscimenti standardizzati. Questo handshake dice ad entrambe le parti che una connessione è stata stabilita con successo.
Un attacco SYN flood condivide alcune somiglianze con uno Slowloris denial of service. Durante l’attacco, l’attaccante invia solo la prima delle tre parti dell’handshake al server bersaglio. Il server poi risponde con la seconda, ma l’attaccante non invia la conferma finale, lasciando il server in attesa e incapace di utilizzare quella connessione per rispondere ad altre richieste per un po’. Avere una botnet che fa questo moltiplica l’effetto sul bersaglio.
Il terzo tipo di attacco DDoS è l’attacco di amplificazione. Secondo Cloudflare, questi attacchi sfruttano una varietà di protocolli internet per moltiplicare la dimensione di ogni richiesta inviata da un attaccante. Per esempio, l’attacco di amplificazione del sistema dei nomi di dominio (DNS) utilizza il protocollo DNS, che i computer normalmente usano per cercare l’indirizzo IP che corrisponde all’URL di un dato sito web, un passo che rende possibile la navigazione in internet. I clienti normalmente inviano una richiesta contenente l’URL del sito web che vogliono cercare ad un server DNS, e ricevono una risposta con l’indirizzo IP corrispondente.
Cloudflare spiega che l’attaccante esegue l’amplificazione DNS “spoofing” da dove proviene la richiesta – facendo credere al server DNS che la richiesta sia stata inviata dall’obiettivo piuttosto che dall’attaccante. La richiesta di solito chiede al server DNS una grande quantità di dati, che il server DNS poi invia all’obiettivo. L’effetto di amplificazione deriva dalla larghezza di banda relativamente piccola che serve all’attaccante per inviare la richiesta, rispetto alla larghezza di banda necessaria al bersaglio per ricevere la risposta, e dalla capacità dell’attaccante di inviare richieste a più server DNS. Come per tutti gli attacchi distribuiti, questo viene moltiplicato per il numero di bot nella botnet che esegue l’attacco.
Ridurre gli effetti del DDoS
Gli attacchi DDoS, come altri cyberattacchi, sono illegali secondo il Computer Fraud and Abuse Act degli Stati Uniti, ma questo non ha impedito alle persone di usarli. Gli attivisti hanno usato il DDoS come forma di protesta online, e il collettivo di hacker Anonymous ha persino presentato una petizione per rendere legale il DDoS, sostenendo che si tratta di una forma di libertà di parola simile ai manifestanti in persona che negano l’accesso a un edificio. Gli attacchi contro i giocatori online sono stati così diffusi che le compagnie di gioco hanno persino pubblicato delle guide sulle strategie di prevenzione. Anche i governi sono stati obiettivi e perpetratori di attacchi DDoS.
Per evitare di diventare la prossima vittima, le aziende possono adottare misure preventive. Nel corso Pluralsight “Ethical Hacking: Denial of Service”, l’istruttore Troy Hunt spiega che il DDoS fa il suo danno occupando tutte le connessioni di rete o la larghezza di banda che l’azienda dovrebbe spendere per gli utenti legittimi. Scalare rapidamente i server per gestire più connessioni e larghezza di banda può mitigare il problema, ma può anche essere costoso. Le aziende che ospitano i loro siti su fornitori di cloud di solito hanno un facile accesso a questa opzione.
Hunt spiega nel suo corso che un’altra strategia è per le aziende di posizionare gli endpoint che svolgono funzioni ad alta intensità di risorse dietro un certo tipo di protezione, rendendo difficile per i bot raggiungerli. Per esempio, le aziende possono impedire ai bot di legare rapidamente le risorse del server mettendo gli endpoint con query di database intensivi o download di file di grandi dimensioni dietro le pagine di login. L’onnipresente test, con le sue parole ondulate o immagini da decifrare per gli utenti, è un altro modo di proteggere gli endpoint affamati di risorse dai bot.
Anche il modo in cui le aziende progettano i loro siti web è importante, dice Hunt. Codificare un sito web come componenti interconnessi, invece di un monolite interdipendente, permetterebbe alle altre sezioni di un sito di rimanere funzionali anche se una sezione è colpita da un attacco DDoS.
Come funzionano i servizi di protezione DDoS
Oggi, molte aziende offrono protezione DDoS come servizio.
Cloudflare è uno dei più grandi di questi servizi di protezione DDoS. Utilizza alcune delle stesse tecniche che le singole aziende usano per proteggersi dai DDoS, ma secondo il blog dell’azienda, la sua arma più grande è una grande rete di server in tutto il mondo che intercetta il traffico web per conto dei clienti.
La rete di Cloudflare si trova tra i server di un cliente e il resto di internet, accettando le richieste dei clienti in entrata e passandole ai server del cliente. Come intermediario, Cloudflare può cercare attività sospette e filtrare qualsiasi richiesta dannosa, eliminandola prima che arrivi al cliente.
Anche quando un attacco DDoS è diretto a un cliente, Cloudflare è in grado di assorbire l’assalto di dati distribuendolo attraverso la rete di Cloudflare e dividendo il lavoro su molti server. In ogni server, Cloudflare controlla ogni tipo di attacco DDoS e filtra le richieste di conseguenza.
“Tutti questi diversi tipi di attacchi, quello che si vuole fare è dividerli in modo che vadano al maggior numero possibile di città diverse”, ha detto Graham-Cumming a Built In. “All’interno di ogni centro dati, si identifica ciò che è male e lo si elimina. Quindi, che si tratti di un SYN flood, di un attacco ACK, di qualcosa che sta usando l’amplificazione DNS, per molti versi è la stessa cosa.”
“Letteralmente si può guardare il modello di dati nel pacchetto e dire, ‘Questo è un SYN flood.'”
Può essere difficile per le singole aziende gestire attacchi che coinvolgono più tipi di DDoS, soprattutto perché alcune varietà sono più difficili da rilevare di altre. Graham-Cumming ha detto che i tipi più difficili da rilevare per le aziende sono gli attacchi a livello di applicazione, dove gli attacchi DDoS possono apparire come richieste regolari, a parte il volume.
Cloudflare si occupa degli attacchi a livello di applicazione analizzando i segni di intenti malevoli. Alcune di queste analisi sono aiutate dal machine learning, ha detto Graham-Cumming.
“A causa della scala di una rete cloud-first – con un così grande numero di utenti che utilizzano Cloudflare, il traffico che passa attraverso di noi – possiamo effettivamente cercare un comportamento anomalo sulla nostra rete, che sarebbe l’indicazione di qualche tipo di attacco, e poi possiamo usarlo per proteggere altri utenti”, ha detto. “Si tratta più di guardare il traffico, guardare i pacchetti che vengono verso di voi, fare un’impronta digitale su di loro e dire, ‘Sappiamo che questo pacchetto, in realtà, sta partecipando a un DDoS a causa di alcune caratteristiche del pacchetto stesso.'”
Le impronte digitali che Cloudflare ha sviluppato per riconoscere i modelli di attacco sono abbastanza sensibili, ha detto.
“Letteralmente, si può guardare il modello di dati nel pacchetto e dire, ‘Questo è un SYN flood,'” ha detto Graham-Cummings.
Ma le aziende che utilizzano servizi di protezione DDoS dovrebbero comunque essere vigili.
“Gli attaccanti cercano di aggirare il servizio,” ha detto. “
Graham-Cumming ha raccomandato ai clienti che utilizzano servizi di protezione DDoS di impostare il filtraggio del loro traffico – in modo che i loro server accettino solo il traffico proveniente dall’indirizzo IP del servizio – per risolvere questo problema.
Cosa serve a ogni azienda in caso di attacco DDoS
Il DDoS può danneggiare la reputazione di un’azienda, avere un impatto negativo sulle entrate e richiedere spese sostanziali per porre rimedio all’attacco. Hunt spiega nel suo corso Pluralsight che gli utenti e i clienti legittimi non sono in grado di accedere al sito preso di mira, impedendo al business di funzionare normalmente e tagliando gli acquisti e le entrate pubblicitarie del sito.
Gli attacchi DDoS non possono rubare direttamente le informazioni da un obiettivo, ma gli aggressori sono noti per utilizzare il DDoS per distrarre le aziende da attacchi informatici concomitanti – mentre l’organizzazione è impegnata a gestire il DDoS, gli aggressori perseguono i loro veri obiettivi. E gli attacchi DDoS che vanno avanti per un lungo periodo di tempo possono essere utilizzati per estorcere i loro obiettivi, simili agli attacchi ransomware.
Hunt spiega nel suo corso che il modo migliore per rispondere a un attacco DDoS è quello di avere già un piano in atto quando si verifica. È una buona idea preparare una dichiarazione aziendale che verrebbe rilasciata al pubblico in caso di attacco. Le aziende dovrebbero anche pensare ai costi associati a un attacco DDoS sui loro siti particolari e usare questa stima per determinare quanto sono disposti a pagare per risolvere un attacco.
Cercare di fare un calcolo costi-benefici nel mezzo di una crisi non è una buona idea, dice Hunt, soprattutto se l’attacco sta costando all’azienda entrate ogni minuto. Ma con strategie di business preparate in anticipo e misure tecniche di protezione in atto, le aziende non saranno colte alla sprovvista e possono sopravvivere a un attacco DDoS.
Più su CYBERSECURITYEcco cosa succede dopo che un’azienda viene attaccata