Sembra di vivere nell’era del ransomware e degli attacchi mirati sempre più specifici e originali, ma restano sempre in prima fila due tipi di minacce che sono molto ben conosciute dagli affetti ai lavori e ormai anche da un notevole numero di aziende. Si tratta degli attacchi DoS (Denial of Service) e della loro versione distribuita, i DDoS (Distributed DoS).
La spiacevole popolarità degli attacchi DoS e DDoS è dovuta al fatto che sono attacchi poco sofisticati, a forza bruta, che è facile mettere in atto. Basta genericamente inviare una grande quantità di traffico al dispositivo da colpire, agendo da un unico punto oppure, come sempre più spesso accade, coordinando l’azione di più device assemblati loro malgrado in una botnet.
La semplicità concettuale e tecnica degli attacchi DoS e DDoS fa sì che siano facili da scatenare anche per chi non ha alcuna competenza tecnica. Nel Dark Web si trovano facilmente botnet da “noleggiare” per attaccare risorse specifiche, come anche servizi a pagamento già pronti per mettere offline – ad esempio – il sito del nostro principale concorrente. Non sorprende quindi che le imprese più legate al mondo web siano spesso oggetto di attacchi DoS e DDoS, anche più volte nel tempo. Un terzo delle aziende attaccate, ad esempio, segnala di esserlo stato per più di dieci volte in un anno.
Tre tipi di attacchi
Ci sono tre tipi principali di attacchi DoS e DDoS. Gli attacchi cosiddetti volumetrici sono i più semplici e cercano di far crollare il bersaglio sotto il peso di talmente tante richieste di connessione che diventa impossibile operare normalmente. Concettualmente è molto semplice: si satura la banda in ingresso al bersaglio e si impedisce ai contatti leciti di completarsi. Il sito/servizio di per sé è attivo, ma è come se fosse offline.
I cosiddetti protocol attack sono simili nella concezione ma riguardano in modo mirato un determinato protocollo, di solito TCP. L’attacco non mira a saturare tutta la banda del sito/servizio bersagliato ma solo le risorse legate a quel determinato protocollo.
Salendo di livello troviamo gli application attack, che sono focalizzati a livello applicativo e possono insistere sia su particolari vulnerabilità delle applicazioni o dei protocolli (HTTP, DNS, SSL…) a questo livello sia su punti deboli nel loro funzionamento corretto. Si tratta di attacchi più sofisticati rispetto ai primi due tipi ma che richiedono meno risorse, potendo agire su elementi molto specifici nel funzionamento di applicazioni e protocolli.
Come ci si difende dagli attacchi DoS e DDoS
Un adeguato livello di protezione dagli attacchi DoS e DDoS si può raggiungere implementando tre tipi di soluzioni più o meno tradizionali. Secondo diversi osservatori, innanzitutto, l’ordine di grandezza degli attacchi DDoS più pericolosi è diventato tale che il mezzo migliore per difendersi è passare attraverso il cloud usando servizi di protezione ad hoc, i cosiddetti scrubbing center.
Con questo tipo di soluzioni il traffico in entrata alla rete dell’impresa utente viene dirottato verso la rete del loro provider, che lo esamina ed elimina tutto quello che sembra essere collegato a un attacco DDoS. Il traffico “pulito” risultante viene effettivamente trasferito alla rete d’impresa, che quindi è (quasi) irraggiungibile direttamente dall’esterno. Questa architettura di rete è ovviamente complessa e può avere effetti negativi sul flusso di alcuni servizi.
Concettualmente complementari ai servizi di scrubbing sono le CDN (Content Delivery Network), che invece di proteggere il traffico in entrata verso l’azienda tutelano quello in uscita. Più precisamente, tutelano la distribuzione dei contenuti. Le CDN sono gestite da provider internazionali che operano reti globali su cui viene distribuito ciò che l’azienda vuole far arrivare ai propri utenti. Anche in questo caso si aggiunge complessità alla gestione della rete d’impresa, ma è ragionevolmente impossibile che un attacco DDoS blocchi la distribuzione dei nostri contenuti.
Ma la forma di difesa più usata contro gli attacchi DoS e DDoS è la classica installazione nella propria rete di dispositivi hardware nati (anche) per fermarli. Si tratta di firewall, IPS e appliance più specifiche, che vengono gestiti direttamente. Di norma la scelta migliore è adottare un approccio ibrido e installare prodotti diversi, per coprire tutti i potenziali punti di vulnerabilità.