Karine de Ponteves, AV Analyst del FortiGuard di Fortinet, ci riepiloga la storia degli attacchi Distributed Denial of Services, dal 2000 a oggi.
Karine de Ponteves, AV Analyst del FortiGuard di Fortinet, ci dà quella che per alcuni può essere una notizia: Google, Microsoft, Apple, PayPal, Visa, MasterCard, nella loro vita aziendale hanno subito almeno un attacco DDOS.
E spiega: il Distributed Denial of Service viene realizzato facendo in modo che una moltitudine di sistemi attacchino un unico obiettivo nel tentativo di rendere inaccessibili le sue risorse a legittimi utenti.
Nell’ultimo decennio, il numero di attacchi DDOS è aumentato e le motivazioni e gli obiettivi si sono evoluti. Ripercorriamo la storia.
Attacchi per sfida
Karine de Ponteves, ci porta a inizio 2000. «Anche se non è possibile essere certi di quando sia avvenuto il primo vero attacco DDOS, il primo distributed attack su vasta scala è stato rilevato nel 1999, ai danni del server IRC della University of Minnesota».
Furono coinvolti 227 sistemi e l’attacco causò il blocco dei server per due giorni. Va avanti nel ricordo: nel febbraio 2000 molti siti Web, tra cui Yahoo!, eBay, CNN, Amazon e ZdNet, furono paralizzati per ore. Yahoo! subì una perdita di 500mila dollari durante le tre ore di downtime, il volume di attività del sito CNN si ridusse del 95% e ZdNet rimase praticamente irraggiungibile.
La perdita dovuta ai tempi di inattività fu enorme.
Un ragazzo di 15 anni, noto come “Mafiaboy”, fu arrestato e accusato degli attacchi.
La sua motivazione? Una sfida: «voleva solo dimostrare la sua abilità. Aveva analizzato una rete per trovare gli host vulnerabili, compromettendoli sfruttando una vulnerabilità nota, implementato un software per trasformare gli host in zombie e propagato l’attacco in modo che ciascuno degli zombie compromettesse a sua volta nuovi obiettivi seguendo lo stesso processo».
Attacchi per soldi
Karine de Ponteves osserva che nei primi anni 2000 per creare una botnet che lanciasse un attacco DDOS l’hacker avrebbe dovuto seguire le stesse procedure messe in atto da Mafiaboy.
Con la diffusione dei worm su Internet queste procedure vennero automatizzate, consentendo all’hacker di realizzare attacchi su vasta scala.
«Nell’agosto del 2005, il 18enne Farid Essabar, che non aveva mai studiato programmazione informatica, venne arrestato per la diffusione del worm MyTob. Il worm apriva una backdoor nell’host Windows infetto, collegandolo a un server Irc remoto e rimanendo in attesa di comandi. Si propagava automaticamente al riavvio copiando se stesso attraverso le condivisioni di rete, aprendo le porte ad attacchi DDOS con tutti gli host compromessi dal worm ed eseguendo i comandi inviati tramite Irc. L’attacco fu annunciato in diretta dalla CNN poiché vennero infettati gli stessi computer del canale TV».
Quali erano gli obiettivi questa volta? Non di compromettere reti aziendali, ma di estorcere migliaia di dollari minacciando le aziende di colpire le loro reti con attacchi DDOS.
Ben presto, le imprese coinvolte decisero di pagare gli estorsori piuttosto che dover affrontare le conseguenze di un attacco DdoS.
Attacchi e politica
Nel 2010 si chiarirono gli aspetti degli attacchi DDOS di alto profilo motivati da questioni politiche o ideologiche, come Wikileaks e Anonymous.
«In quell’anno i volumi di attacchi aumentarono sensibilmente, lanciando per la prima volta attacchi che hanno infranto la barriera dei 100 GBPS, circa 22mila volte la larghezza di banda media di un utente Internet negli Stati Uniti nel 2010». A dicembre Wikileaks venne sottoposto a una forte pressione affinché interrompesse la pubblicazione di cablogrammi diplomatici segreti degli Stati Uniti.
Per tutta risposta, il gruppo Anonymous annunciò il proprio supporto definendo Operation Payback la serie di DDOS attack sferrati contro Amazon, PayPal, MasterCard e Visa, come rappresaglia per il comportamento anti-Wikileaks.
L’8 dicembre questi attacchi causarono il blocco dei siti Web MasterCard e Visa. «Lo strumento usato per le azioni di Anonymous/Wikileaks – spiega Karine de Ponteves – è denominato Loic, Low Orbit Ion Cannon. Anche se inizialmente era uno strumento di test del carico open source studiato per condurre stress test delle applicazioni Web, in quel caso venne utilizzato come strumento DdoS».
Attacchi basati su application-layer
Sebbene vi siano molteplici metodi di attacco, spiega Karine de Ponteves, gli attacchi DDOS possono essere generalmente classificati in due categorie:
– Attacchi volumetrici: attacchi flood saturano la larghezza di banda e l’infrastruttura della rete (UFP, TCP SYN, ICMP);
– Attacchi application-layer: sono progettati per attaccare servizi specifici ed esaurire le relative risorse (HTTP, DNS). Poiché usano una larghezza di banda inferiore, sono più difficili da rilevare.
La situazione ideale per gli attacchi DDOS application-layer è quella in cui gli altri servizi rimangono intatti mentre il server Web stesso diventa completamente inaccessibile.
Il software Slowloris è nato da questo concetto ed è pertanto relativamente molto furtivo rispetto alla maggior parte degli strumenti di tipo flood.
Secondo Stratecast, il numero di attacchi DDOS sta aumentando del 20-45% ogni anno, mentre gli attacchi DDOS basati su applicazione aumentano a livelli di tre cifre.
«La tendenza verso gli attacchi DDOS application-layer – spiega – è chiara e difficilmente reversibile. Questo trend non indica tuttavia che gli attacchi volumetrici basati sulla rete o sui flussi cesseranno. Al contrario, entrambi i tipi di attacchi si combineranno per diventare più potenti. Il rapporto 2012 Verizon Data Breach Investigations rivela che diversi attacchi DDOS application-layer di alto profilo, nascosti in attacchi volumetrici, sono stati utilizzati per oscurare tentativi di furto di dati, dimostrando che gli attacchi multi-vettore vengono attualmente utilizzati per nascondere il vero obiettivo dell’attacco».
Che fare?
Gli attacchi DDOS sono in crescita, insomma, sia per frequenza che per gravità, mentre al contempo i mezzi per lanciare un attacco vengono semplificati e aumenta la loro disponibilità. Anche la complessità di tali attacchi è in crescita, data la natura polimorfica e lo sviluppo di nuovi tool per oscurarne la reale natura.
«Di conseguenza – osserva – i metodi tradizionali di rilevamento sono spesso inutili e la prevenzione diventa più difficile. Con questa evoluzione, diventa fondamentale per le organizzazioni riesaminare la propria strategia di sicurezza e accertarsi di disporre delle difese appropriate per proteggersi dagli attacchi DDOS. La sfida principale, in questo ambito, è avere una visibilità e un contesto sufficienti per rilevare un ampio spettro di tipi di attacco senza rallentare il flusso e l’elaborazione del traffico regolare, contrastando quindi l’attacco nel modo più efficace possibile. Una strategia di difesa a più livelli è pertanto essenziale per consentire un controllo e una protezione capillari di tutti i componenti che si trovano sul percorso critico delle attività online».