Diciotto mesi fa i primi attacchi massicci mettevano in crisi i siti di Yahoo e Amazon. I DdoS (Distributed Denial of Service) sono al momento forse l’arma più temibile nelle mani degli hacker e posso provocare perdite per milioni di dollari in poche ore. Ma cosa sono, come funzionano e come ci si p
Correva il Febbraio del 2000 ed era un pomeriggio freddo, almeno negli Stati Uniti. I webmaster di www.ebay.com , www.yahoo.com , www.amazon.com e qualche altro notissimo sito stavano osservano le statistiche di traffico, eccezionale quel pomeriggio: analizzando i dati, si resero conto, che stavano arrivando centinaia di migliaia di richieste per il loro URL, anzi milioni. Era ovvio, il freddo pomeriggio invitava sicuramente la gente a navigare sulla Rete. Qualcuno di loro, utilizzando le connessini esterne, decise di dare un’occhiata al comportamento del sito, giusto per verificare i tempi di risposta: fu qui che i nostri eroi provarono un brivido freddo lungo la schiena, “Web Site Not Found”. Altre prove, altri tentativi, altre linee e persino richieste ad amici e parenti. Nulla da fare, i siti erano scomparsi nel nulla. Come inesistenti. Negozi virtuali non solo chiusi ma proprio come se non fossero mai esistiti.
Eravamo di fronte al primo, vero e massiccio DdoS (Distributed Denial of Service), ovvero l’arma più temibile nelle mani degli hackers o dei concorrenti, per i siti Web, specie per quelli che fanno
e-commerce. L’attacco durò qualche ora, con perdite di milioni di dollari di mancato business, banner non pubblicati e perdite di immagine.
In sostanza, durante un attacco DDoS si verifica che colui che attacca il sito, per renderlo inutilizzabile, fa uso di tools disponibili anche in rete (i più famosi sono Trinoo, Tribe Flood Network o TFN ed mstream) per inviare ad un certo numero di computer definiti “Master” un trojan che permette di prendere il controllo di un certo numero di “daemons” installati su PC di ignari utenti della rete: quanto l’intruso lancia l’attacco ad uno specifico sito Web, tutta la catena, che può esssere composta da un numero enorme di macchine collegate in rete, comincia ad inviare al sito vittima, migliaia di richieste di accesso, per lo più inutili. Il risultato è la saturazione della banda passante disponibile sul backbone dell’host vittima e quindi l’impossibilità, per un utente normale, di accedere al sito.
Per l’amministratore c’è poco da fare: l’attacco proviene da miglia di macchine diverse, non danneggia il sistema ma ne blocca semplicemente l’utilizzo.
Da allora ad oggi si sono verificati molti altri attacchi del genere, ne sanno qualcosa alla Telecom in Bulgaria, il più grande ISP di quel paese, che ha avuto uno degli attacchi DdoS più violenti che si siano mai verificati.
Negli Stati Uniti la CIA ha messo in campo le sue menti migliori per studiare e contenere questo genere di attacchi che si configura, a tutti gli effetti, come una nuova forma di terrorismo e di invasione che può, per certi aspetti, paralizzare una parte del sistema economico e produttivo di una nazione.
Per fortuna esistono rimedi, metodi e suggerimenti per risolvere il problema o quanto meno limitare i danni; applicando le giuste procedure è anche possibile tentare di risalire all’intruso per i provvedimenti del caso.
In questo campo ha lavorato intensamente la Carnegie Mellon University con il suo CERT Coordination Center, www.cert.org in collaborazione con il SANS Institute, www.sans.org per identificare le minacce e trovare rimedi.