Internet

Cos’è il DDoS e come la ‘Protezione DDoS gratuita’di Cloudflare minaccia l’hacktivismo

I cybercrimini sono stati in aumento negli ultimi tempi, con attacchi ransomware (WannaCry, NotPetya), database hackerati (Equifax, Sony, Yahoo) e backdoor software (Floxif/CCleaner, ShadowPad/NetSarang) che hanno fatto notizia con frequenza. Sebbene la portata e la portata di questi attacchi siano sorprendenti, il fatto è che i cyber-criminali non si limitano a rubare i vostri dati, la vostra identità o il vostro denaro. La portata dei crimini nel mondo virtuale è grande quanto quella del mondo reale, se non di più. Un tipo di cyber-attacco che è stato al centro dell’attenzione negli ultimi tempi è il DDoS, o denial-of-service distribuito che ha spesso diviso la comunità degli hacker bianchi nel corso degli anni. Con il principale fornitore di servizi CDN, Cloudflare, che ora annuncia la protezione DDoS gratuita per tutti i suoi clienti, è ricominciato l’annoso dibattito sul DDoS “etico” o sul DDoS malevolo, con entrambe le parti che si sono espresse a pieno sostegno delle rispettive argomentazioni. Con il dibattito sugli attacchi DDoS che imperversa in tutto il mondo, esaminiamo oggi in dettaglio il fenomeno nel tentativo non solo di saperne di più, ma anche di cercare di capire perché gli hacktivisti e i gruppi di difesa della libertà di parola continuano a fallire nei loro sforzi per raggiungere un consenso in merito:

Cos’è il DDoS e come funziona?

In parole povere, un attacco DDoS (Distributed Denial-of-Service) è un tentativo di perturbare artificialmente il normale funzionamento di un sito o di una rete inondando il server di destinazione con una quantità travolgente di traffico che rallenta o blocca completamente la rete. Questo si ottiene utilizzando sistemi multipli compromessi come parte di quella che è nota come “botnet” che può includere qualsiasi dispositivo connesso alla rete, inclusi, ma non solo, computer, smartphone e dispositivi IoT. Gli hacker black-hat e gli hacktivisti utilizzano vari strumenti sofisticati per portare a termine questi attacchi non solo inondando i server di destinazione con una quantità di traffico eccessiva, ma anche utilizzando tecniche di infiltrazione più sottili e difficili da rilevare che prendono di mira le infrastrutture critiche di sicurezza della rete, come i firewall e gli IDS/IPS (Intrusion Detection/Prevention System).Immagine di cortesia: WccfTech

Che cos’è il DoS e come si differenzia dal DDoS?

Gli attacchi Denial-of-Service (DoS) sono esattamente quello che sembrano, nella misura in cui impedisce agli utenti legittimi di accedere aserver mirati, sistemi o altre risorse di rete. Come nel caso degli attacchi DDoS, una o più persone che effettuano un simile attacco inondano tipicamente l’infrastruttura mirata con un volume straordinariamente elevato di richieste superflue al fine di sopraffare le sue risorse, rendendo così difficile o addirittura impossibile per la rete o il sistema interessato rispondere a vere e proprie richieste di servizio. Per un utente finale, gli effetti del DoS non sono del tutto diversi da quelli del DDoS, ma a differenza del primo che tipicamente utilizza una singola macchina e una singolare connessione Internet per effettuare l’attacco, il secondo utilizza più dispositivi compromessi per inondare il bersaglio previsto, rendendo incredibilmente difficile il rilevamento e la prevenzione.

Quali sono i diversi tipi di attacchi DDoS?

Come accennato in precedenza, sia i cyber-criminali che gli hacktivisti si avvalgono di una miriade di vettori di attacco per portare a termine i loro attacchi DDoS, ma la maggior parte di questi attacchi rientra per lo più in tre grandi categorie: Attacchi volumetrici o di larghezza di banda, attacchi di protocollo o di esaurimento dello Stato, e attacchi di livello applicativo o di livello 7. Tutti questi attacchi mirano a diversi componenti di una connessione di rete che è composta da 7 diversi livelli, come si vede nell’immagine sottostante:Immagine di cortesia: Cloudflare

VEDI ANCHE  L'aggiornamento principale di Gmail è ora in diretta: Porta il supporto offline, la modalità riservata e le funzionalità Smart Inbox

1. Attacchi volumetrici o attacchi di larghezza di banda

Si ritiene che questi tipi di attacchi costituiscano oltre la metà di tutti gli attacchi DDoS effettuati ogni anno in tutto il mondo. Esistono diversi tipi di attacchi volumetrici, il più comune dei quali è User Datagram Protocol (UDP) flood, per cui un aggressore invia un gran numero di pacchetti UDP a porte casuali su un host remoto, facendo sì che il server controlli ripetutamente e risponda ad applicazioni inesistenti, rendendolo così insensibile al traffico legittimo. Risultati simili possono essere ottenuti anche inondando un server vittima con richieste di eco ICMP (Internet Control Message Protocol) da più indirizzi IP che spesso vengono spoofati. Il server di destinazione cerca di rispondere a ciascuna di queste richieste fasulle in buona fede, diventando alla fine sovraccarico e incapace di rispondere alle autentiche richieste di eco ICMP. Gli attacchi volumetrici sono misurati in bit al secondo (Bps).Immagine cortese: Cloudflare

2. 2. Attacchi di protocollo o attacchi di scarico dello Stato

Gli attacchi protocollari, noti anche come attacchi di Stato-Esaurimento dello Stato, consumano la capacità della tabella degli stati di connessione non solo dei server delle applicazioni web, ma anche di altri componenti dell’infrastruttura, comprese le risorse intermedie, come i load-balancer e i firewall. Questi tipi di attacchi sono denominati “attacchi di protocollo” perché mirano ai punti deboli nei livelli 3 e 4 dello stack di protocollo per raggiungere il loro obiettivo. Anche i dispositivi commerciali all’avanguardia, specificamente progettati per mantenere lo stato su milioni di connessioni, possono essere gravemente colpiti da attacchi di protocollo. Uno degli attacchi di protocollo più noti è il “SYN flood” che sfrutta il “meccanismo di handshake a tre vie” nel TCP. Il modo in cui funziona è che l’host invia un flusso di pacchetti TCP/SYN, spesso con un indirizzo di mittente contraffatto, per consumare abbastanza risorse di server da rendere quasi impossibile l’inoltro di richieste legittime. Altri tipi di attacchi protocollari sono il Ping of Death, il Smurf DDoS e gli attacchi a pacchetti frammentati. Questi tipi di attacchi sono misurati in pacchetti al secondo (Pps).Immagine cortesia: Cloudflare

3. 3. Attacchi a livello applicativo o a livello di strato 7

Gli attacchi a livello applicativo, spesso denominati attacchi a livello 7 in riferimento al 7° livello della modalità OSI, si rivolgono al livello in cui vengono generate le pagine web per essere consegnate agli utenti che inviano le richieste HTTP. Diversi tipi di attacchi di livello 7 includono il famigerato attacco ‘Slowloris‘, per cui l’aggressore invia un gran numero di richieste HTTP ‘lentamente’ a un server target, ma senza mai completare alcuna delle richieste. L’attaccante continuerà a inviare ulteriori intestazioni a piccoli intervalli, costringendo così il server a mantenere una connessione aperta per queste richieste HTTP senza fine, eventualmente usurpando risorse sufficienti a rendere il sistema non rispondente alle richieste valide. Un altro attacco popolare di livello 7 è l’attacco HTTP Flood, per cui un gran numero di richieste HTTP, GET o POST fasulle inondano il server target in un breve lasso di tempo, con conseguente negazione del servizio per gli utenti legittimi. Poiché gli attacchi a livello di applicazione includono tipicamente l’invio di una quantità innaturalmente elevata di richieste a un server target, esse sono misurate in richieste al secondo (Rps).Immagine cortese: Cloudflare

Oltre agli attacchi monovettoriali sopra descritti esistono anche attacchi multi-vettoriali che colpiscono contemporaneamente sistemi e reti da più direzioni diverse, rendendo così sempre più difficile per gli ingegneri di rete elaborare strategie globali contro gli attacchi DDoS. Un esempio di attacco multi-vettoriale è quello in cui un aggressore accoppia l’amplificazione DNS, che prende di mira i livelli 3 e 4, con HTTP Flood che prende di mira il livello 7.

Come proteggere la vostra rete da un attacco DDoS

Dal momento che la maggior parte degli attacchi DDoS funziona sovraccaricando di traffico un server o una rete di destinazione, la prima cosa da fare per mitigare gli attacchi DDoS è differenziare tra traffico reale e traffico malevolo. Tuttavia, come ci si aspetterebbe, le cose non sono così semplici, data la varietà, la complessità e i livelli di sofisticazione di questi attacchi. Stando così le cose, per proteggere la vostra rete dagli attacchi DDoS più recenti e sofisticati è necessario che gli ingegneri di rete elaborino strategie attentamente progettate in modo da non gettare via il bambino con l’acqua sporca. Poiché gli aggressori faranno del loro meglio per far sembrare normale il loro traffico malevolo, i tentativi di mitigazione che comportano la limitazione di tutto il traffico limiteranno il traffico onesto, mentre una progettazione più permissiva permetterà agli hacker di aggirare più facilmente le contromisure. Stando così le cose, si dovrà adottare una soluzione a più livelli per ottenere la soluzione più efficace.

VEDI ANCHE  Come fare rete su LinkedIn: Una Guida

Tuttavia, prima di passare ai dettagli tecnici, dobbiamo capire che, poiché la maggior parte degli attacchi DDoS di questi tempi comportava il blocco delle corsie di comunicazione in un modo o nell’altro, una delle cose ovvie da fare è proteggere se stessi e la propria rete è più ridondante: più larghezza di banda e più server distribuiti su più datacenter in diverse geo-località, che funge anche da assicurazione contro le calamità naturali, ecc.

Un’altra cosa importante da fare è seguire alcune delle migliori pratiche del settore quando si tratta di server DNS. Sbarazzarsi dei resolver aperti è uno dei primi passi critici nella vostra difesa contro il DDoS, perché a cosa serve un sito web se nessuno può risolvere il vostro nome di dominio in primo luogo? Stando così le cose, bisogna guardare oltre la consueta configurazione del server dual-DNS che la maggior parte dei registrar di nomi a dominio fornisce di default. Molte aziende, tra cui la maggior parte dei principali fornitori di servizi CDN, offrono anche una protezione DNS migliorata grazie a server DNS ridondanti che sono protetti dietro lo stesso tipo di bilanciamento del carico che il vostro web e altre risorse sono.

Mentre la maggior parte dei siti e dei blog esternalizzano il loro hosting a terzi, alcuni scelgono di servire i propri dati e di gestire le proprie reti. Se si appartiene a quel gruppo, alcune delle pratiche di base ma critiche del settore che è necessario seguire comportano la creazione di un firewall efficace e il blocco di ICMP se non ne avete bisogno. Assicuratevi anche chetutti i vostri router lascino cadere i pacchetti spazzatura. Dovreste anche mettervi in contatto con il vostro ISP per verificare se possono aiutarvi a bloccare il traffico ricercato per voi. I termini e le condizioni variano da un ISP all’altro, quindi è necessario verificare con i loro centri operativi di rete per vedere se offrono servizi di questo tipo per le imprese. In generale, di seguito sono riportati alcuni dei passi che i fornitori di CDN, gli ISP e gli amministratori di rete utilizzano spesso per mitigare gli attacchi DDoS:

Foro nero

Il Black Hole Routing, o Blackholing, è uno dei modi più efficaci per mitigare un attacco DDoS, ma deve essere implementato solo dopo un’adeguata analisi del traffico di rete e la creazione di un rigido criterio di restrizione, poiché altrimenti il “blackhole”, o instrada tutto il traffico in entrata verso una rotta nulla (blackhole), indipendentemente dal fatto che sia genuino o dannoso. Tecnicamente eluderà un DDoS, ma l’aggressore avrà comunque raggiunto l’obiettivo di interrompere il traffico di rete.

Limitazione delle tariffe

Un altro metodo spesso utilizzato per mitigare gli attacchi DDoS è il “Rate Limiting”. Come suggerisce il suo nome, esso comporta la limitazione del numero di richieste che un server accetterà entro un determinato lasso di tempo. È utile per impedire ai web scraper di rubare contenuti e per mitigare i tentativi di accesso con forza bruta, ma deve essere utilizzato in combinazione con altre strategie per poter gestire efficacemente gli attacchi DDoS.

Applicazione web Firewall (WAF)

Anche se non abbastanza di per sé, proxy inversi e WAF sono alcuni dei primi passi da compiere per mitigare una varietà di minacce, non solo DDoS. Le WAF aiutano a proteggere la rete di destinazione dagli attacchi del layer 7 mediante richieste di filtraggio basate su una serie di regole utilizzate per identificare gli strumenti DDoS, ma sono anche molto efficaci nel proteggere i server da SQL injection, scripting cross-site e richieste di falsificazione cross-site.

Diffusione della rete Anycast

Le Content Delivery Networks (CDN) utilizzano spesso le reti Anycast come mezzo efficace per attenuare gli attacchi DDoS. Il sistema funziona reindirizzando tutto il traffico destinato a una rete sotto-attacco verso una serie di server distribuiti in diverse località, diffondendo così l’effetto dirompente di un tentativo di attacco DDoS.

VEDI ANCHE  15 Servizi affidabili che offrono uno storage cloud gratuito

Come Cloudflare propone di porre fine agli attacchi DDoS per il bene con la sua protezione DDoS gratuita?

Una delle reti di distribuzione di contenuti più importanti al mondo, Cloudflare, ha recentemente annunciato che fornirà protezione dagli attacchi DDoS non solo ai suoi clienti a pagamento, ma anche ai suoi clienti liberi, indipendentemente dalle dimensioni e dalla portata dell’attacco. Come previsto, l’annuncio, fatto all’inizio di questa settimana, ha creato un certo scalpore all’interno dell’industria e dei media tecnologici globali, che sono tipicamente abituati ai CDN, incluso Cloudflare, sia cacciando i loro clienti sotto attacco sia chiedendo loro più soldi per una protezione continua. Mentre finora le vittime hanno dovuto cavarsela da sole quando sono state attaccate, la promessa di una protezione DDoS gratuita e non misurata è stata accolta calorosamente da blog e imprese i cui siti web e reti rimangono sotto costante minaccia per la pubblicazione di contenuti controversi.

Mentre l’offerta di Cloudflare è davvero rivoluzionaria, l’unica cosa da menzionare è che l’offerta di gratis, unmetered  la protezione è applicabile solo per gli attacchi di livello 3 e 4, mentre gli attacchi di livello 7 sono ancora disponibili solo per i piani a pagamento che partono da $20 al mese.

Se avrà successo, cosa significherà l’offerta di Cloudflare per l'”hacktivismo”?

Come previsto, l’annuncio di Cloudflare ha riacceso il dibattito tra gli hacktivisti e gli esperti di sicurezza di Internet sull’hacking etico e la libertà di parola. Molti gruppi hacktivisti, come il Chaos Computer Club (CCC) e Anonymous, hanno a lungo sostenuto la necessità di mettere in scena “proteste digitali” contro siti web e blog che diffondono propaganda odiosa e ideologie bigotte, spesso violente. Stando così le cose, questi gruppi di attivisti hacker, o hacktivisti, hanno spesso preso di mira siti web terroristici, blog neo-nazisti e pedofili con attacchi DDoS, e l’ultima vittima è stato il blog di estrema destra “Daily Stormer” che ha elogiato il recente omicidio di un attivista per i diritti umani a Charlottesville, Virginia, da parte di un estremista di destra.

Mentre alcuni, come il CEO di Cloudflare, Mattew Prince, e la EFF (Electronic Frontier Foundation) hanno criticato gli hacktivisti per aver cercato di mettere a tacere la libertà di parola con attacchi DDoS, i sostenitori dell’hacktivismo sostengono che le loro proteste digitali contro ideologie abominevoli non sono diverse dal riempire una piazza cittadina o dal tenere un sit-in sulla falsariga del movimento ‘Occupy’ iniziato con la famosa protesta di Occupy Wall Street il 17 settembre 2011, portando l’attenzione globale sulla crescente disuguaglianza socio-economica nel mondo.

Mentre alcuni possono sostenere che il DDoS è uno strumento di vera e propria protesta, che permette agli hacker etici di agire rapidamente contro terroristi, bigotti e pedofili in modo da togliere definitivamente i loro contenuti immorali (e spesso illegali) dalla rete, tali attacchi hanno anche un lato oscuro. Giornalisti investigativi e informatori sono stati spesso bersaglio di tali attacchi in passato, e solo l’anno scorso il sito web del giornalista della sicurezza informatica Brian Krebs è stato abbattuto da un massiccio attacco DDoS che ha misurato un folle 665 Gbps al suo massimo. Krebs aveva precedentemente segnalato un servizio israeliano DDoS a noleggio chiamato vDOS, che aveva portato all’arresto di due cittadini israeliani, e si è ritenuto che l’attacco fosse una punizione.

VEDERE ANCHE: 7 Migliori alternative per il tuo sito web

Gli attacchi DDoS e il piano di Cloudflare per renderli una cosa del passato

Nonostante le audaci affermazioni di Cloudflare di rendere gli attacchi DDoS una cosa se il passato è passato, molti esperti sostengono che non è tecnologicamente possibile rendere gli attacchi DDoS del tutto obsoleti in questa fase. Mentre gigantesche corporazioni come Facebook o Google hanno le necessarie ridondanze infrastrutturali per assicurarsi di non subire mai tali attacchi, l’estensione di tale protezione a ogni singolo sito sotto il sole può rappresentare una sfida anche per il più grande dei CDN. Tuttavia, Prince ha sostenuto che Cloudflare è in grado di assorbire “tutto ciò che Internet ci lancia contro”, quindi solo il tempo ci dirà se gli attacchi DDoS saranno consegnati agli annali della storia per sempre, o se i gruppi hacktivisti saranno in grado di aggirare alcune contromisure per portare avanti la loro crociata morale contro la violenza, l’odio e l’ingiustizia.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *