Schema di un attacco denial-of-service. Crediti:Everaldo Coelho e YellowIcon, CC BY
"Un terzo di Internet è sotto attacco. Milioni di indirizzi di rete sono stati soggetti ad attacchi DDoS (Distributed Denial-of-Service) per un periodo di due anni, " riporta Warren Froelich sul sito Web dell'UC San Diego News Center. Un DDoS è un tipo di attacco denial-of-service (DoS) in cui l'attaccante esegue un attacco utilizzando molte fonti distribuite in tutta la rete.
Ma il giornalista è giustificato nella sua reazione allarmistica? Sì e no. Se un terzo di Internet fosse sotto attacco, quindi uno smartphone su tre non funzionerebbe, e un computer su tre sarebbe offline. Quando ci guardiamo intorno, possiamo vedere che ovviamente non è così, e se ora ci affidiamo così tanto ai nostri telefoni e a Wikipedia, è perché siamo arrivati a vedere Internet come una rete che funziona bene.
Ancora, il fenomeno DDoS è reale. Lo testimoniano gli attacchi recenti, come l'attacco della botnet Mirai al web host francese OVH e al web host americano DynDNS. I siti web di proprietà dei clienti di questi server non sono stati disponibili per diverse ore.
Ciò che lo studio di origine ha realmente esaminato è stata la comparsa di indirizzi IP nelle tracce degli attacchi DDoS. Nell'arco di due anni, gli autori hanno trovato gli indirizzi di due milioni di vittime diverse, dei 6 milioni di server elencati sul web.
Ingorghi sull'autostrada dell'informazione
Unità di dati, chiamati pacchetti, circolano sulla rete Internet. Quando tutti questi pacchetti vogliono andare nello stesso posto o prendere lo stesso percorso, si verifica una congestione, proprio come gli ingorghi che si verificano alla fine di una giornata lavorativa.
Va notato che nella maggior parte dei casi è molto difficile, quasi impossibile, per distinguere tra traffico normale e traffico di attacchi di tipo denial of service. Il traffico generato dai fenomeni di "flash crowd" e di "slashdot effect" è identico al traffico osservato durante questo tipo di attacco.
Però, questa analogia va solo così lontano, poiché i pacchetti sono spesso organizzati in flussi, e la congestione sulla rete può portare alla distruzione di questi pacchetti, o la creazione di nuovi pacchetti, portando a una congestione ancora maggiore. È quindi molto più difficile rimediare a un attacco denial-of-service sul web piuttosto che a un ingorgo.
Questo tipo di attacco satura il collegamento di rete che collega il server a Internet. L'aggressore lo fa inviando un numero elevato di pacchetti al server di destinazione. Questi pacchetti possono essere inviati direttamente se l'attaccante controlla un gran numero di macchine, una rete bot.
Gli aggressori utilizzano anche i meccanismi di amplificazione integrati in alcuni protocolli di rete, come il sistema di denominazione (DNS) e la sincronizzazione dell'orologio (NTP). Questi protocolli sono asimmetrici. Le richieste sono piccole, ma le risposte possono essere enormi.
In questo tipo di attacco, un utente malintenzionato contatta gli amplificatori DNS o NTP fingendo di essere un server che è stato attaccato. Riceve quindi molte risposte non richieste. Perciò, anche con una connettività limitata, l'attaccante può creare un livello significativo di traffico e saturare la rete.
Esistono anche "servizi" che offrono la possibilità di acquistare attacchi denial of service con diversi livelli di intensità e durata, come mostrato in un'indagine condotta da Brian Krebs dopo che il suo sito è stato attaccato.
Quali sono le conseguenze?
Per gli utenti di Internet, la conseguenza principale è che il sito web che vogliono visitare non è disponibile.
Per la vittima dell'aggressione, la principale conseguenza è una perdita di reddito, che può assumere diverse forme. Per un sito web commerciale, Per esempio, questa perdita è dovuta alla mancanza di ordini durante quel periodo. Per altri siti web, può derivare dalla perdita di entrate pubblicitarie. Questo tipo di attacco consente a un utente malintenzionato di utilizzare gli annunci al posto di un'altra parte, consentendo all'attaccante di attingere alle entrate generate dalla loro visualizzazione.
Ce ne sono stati alcuni, rari attacchi istituzionali. L'esempio più documentato è l'attentato contro l'Estonia nel 2007, attribuito al governo russo, anche se questo è stato impossibile da dimostrare.
Il guadagno finanziario diretto per l'attaccante è raro, però, ed è legato alle richieste di riscatto in cambio della fine dell'attacco.
È serio?
L'impatto di un attacco su un servizio dipende dalla popolarità del servizio. Gli utenti quindi sperimentano un attacco di basso livello come un fastidio se hanno bisogno di utilizzare il servizio in questione.
Solo alcuni eventi su larga scala, la più recente è la botnet Mirai, avere impatti percepiti da un pubblico molto più ampio.
Molti server e servizi si trovano in ambienti privati, e quindi non accessibili dall'esterno. Server aziendali, Per esempio, sono raramente colpiti da questo tipo di attacco. Il fattore chiave di vulnerabilità risiede quindi nell'esternalizzazione dei servizi informatici, che può creare una dipendenza dalla rete.
Finalmente, un attacco ad altissimo impatto sarebbe, Prima di tutto, essere individuati immediatamente (e quindi spesso bloccati entro poche ore), e alla fine sarebbe limitato dalle proprie attività (dato che anche la comunicazione dell'attaccante verrebbe bloccata), come mostrato dal vecchio esempio del worm SQL Slammer.
In definitiva, lo studio mostra che i fenomeni di attacchi denial-of-service per saturazione sono stati ricorrenti negli ultimi due anni. Questa notizia è abbastanza significativa da dimostrare che questo fenomeno va affrontato. Eppure questo non è un evento nuovo.
Altri fenomeni, come la manipolazione del routing, hanno le stesse conseguenze per gli utenti, come quando Pakistan Telecom ha dirottato gli indirizzi di YouTube.
Buona igiene IT
Sfortunatamente, non esiste una forma sicura di protezione contro questi attacchi. Alla fine, si tratta di un problema di costo del servizio e la quantità di risorse messe a disposizione per gli utenti legittimi.
I "grandi" fornitori di servizi hanno così tante risorse che è difficile per un aggressore coglierli alla sprovvista.
Ancora, questa non è la fine di Internet, lontano da esso. Però, questo fenomeno è uno che dovrebbe essere limitato. Per gli utenti, dovrebbero essere seguite buone pratiche di igiene IT per limitare i rischi di compromissione del computer, e quindi utilizzato per partecipare a questo tipo di attacco.
È anche importante rivedere quale tipo di protezione hanno stabilito i fornitori di servizi in outsourcing, per assicurarsi che dispongano di capacità e mezzi di protezione sufficienti.
Questo articolo è stato originariamente pubblicato su The Conversation. Leggi l'articolo originale.