Queste tipologie di attacco su vasta scala continueranno anche nel 2015. A rischio la continuità operativa

Ultimamente abbiamo assistito a un flusso pressoché costante di notizie riguardanti attacchi DDoS (Distributed Denial of Service) scatenati contro istituti bancari, enti pubblici, scuole, siti di e-commerce e siti di giochi. La minaccia DDoS si è evoluta considerevolmente negli ultimi anni facendo registrare notevoli cambiamenti in termini di frequenza e scala degli attacchi, oltre che nelle motivazioni dei cybercriminali. Nello stesso arco di tempo molte aziende sono diventate fortemente dipendenti dalla disponibilità di servizi Internet per la propria continuità operativa.

L’inizio del 2014 ha visto un deciso incremento delle attività legate agli attacchi DDoS con quella che è stata probabilmente la tempesta di attacchi su vasta scala più concentrata mai osservata su Internet. La maggioranza di questi attacchi ha sfruttato una tecnica di riflessione/amplificazione basata su NTP (Network Time Protocol), con un enorme numero di casi significativi di questo genere rilevati in tutto il mondo.

La tecnica di amplificazione e riflessione permette ad un attaccante di gonfiare il volume di traffico generato e offuscare le sorgenti originali di tale traffico. Questa tecnica si avvale di due elementi sfortunatamente esistenti a livello pratico: in primo luogo, circa metà dei service provider non implementa alla periferia delle proprie reti filtri capaci di bloccare il traffico che presenta indirizzi IP di origine falsificati (“spoofed”); in secondo luogo, su Internet esistono tantissimi dispositivi malamente configurati e poco protetti che forniscono servizi UDP sfruttabili come fattore di amplificazione tra una query ricevuta e la risposta generata.

Storicamente, i server DNS sono stati quelli più frequentemente utilizzati per gli attacchi a riflessione/amplificazione, e in effetti il più grande attacco mai registrato su Internet prima del 2014 (309 Gbps contro Spamhaus nel marzo 2013) era stato generato in questo modo. Tuttavia, nell’ultima parte del 2013 e per la maggior parte del 2014, NTP ha visto un impiego significativo con grandi quantità di attacchi nei mesi di febbraio e marzo 2014.

Il protocollo NTP viene normalmente utilizzato per sincronizzare gli orologi dei dispositivi collegati a Internet: un’operazione che viene compiuta scambiando pochissimo traffico, se non fosse che alcuni server NTP lasciano aperte le proprie funzioni amministrative su Internet e queste offrono agli attaccanti un fattore di amplificazione molto elevato (centinaia di volte). Attacchi che sfruttano NTP sono circolati per anni su piccola scala, ma si sono imposti all’attenzione di tutti verso la fine del 2013 quando è stato colpito un certo numero di siti di giochi e la notizia si è diffusa rapidamente con una copertura completa da parte dei mezzi di informazione che si sono soffermati anche sulla metodologia adoperata. Tool dedicati si sono rapidamente diffusi nella community degli attaccanti insieme con gli elenchi dei server che generano un buon fattore di amplificazione, e persino i servizi DDoS hanno iniziato a proporre la riflessione e amplificazione in opzione.

Il sistema Arbor ATLAS, che tiene sotto controllo gli eventi provenienti da oltre 300 operatori di rete di tutto il mondo, ha rilevato un nuovo attacco DDoS ancora più grande – 325Gbps contro un sito di giochi nel febbraio 2014 – ma quel che è interessante è il numero di attacchi di grandi dimensioni. Nei primi nove mesi del 2013 Arbor aveva tracciato 11 eventi superiori ai 100Gbps; nello stesso periodo del 2014 il loro numero è salito a 133. Considerando poi gli attacchi di dimensioni inferiori, la crescita è stata stupefacente: ATLAS ha rilevato nel primo trimestre del 2014 una volta e mezzo il totale degli attacchi superiori ai 20Gbps dell’intero 2013.

Gli attacchi a riflessione/amplificazione NTP hanno tuttavia iniziato a ridursi nell’aprile 2014 e, sebbene siano ancora significativi, non sono più ai livelli precedenti. Sembra comunque che gli attaccanti siano passati a sfruttare SSDP (Simple Service Discovery Protocol). Nel secondo trimestre era stato rilevato solo un piccolo numero di eventi che utilizzavano SSDP a scopo di riflessione e amplificazione; nel terzo trimestre Arbor ATLAS ne ha intercettati quasi 30.000.

Il ricorso ad attacchi DDoS di grandi dimensioni per saturare la connettività Internet di un bersaglio è stato tra le principali tendenze del 2013 e del 2014, e tutto fa pensare che continuerà anche nel 2015. Gli attacchi continueranno facilmente a crescere in dimensioni e frequenza, e sfortunatamente molte aziende sono ancora impreparate a gestirli. Qualsiasi azienda che dipenda in qualsiasi modo da Internet per le proprie attività quotidiane è a rischio di attacco, sia che tragga il proprio fatturato da Internet piuttosto che lo utilizzi per accedere a servizi informativi o applicativi basati su Cloud, a servizi finanziari ecc. La varietà di motivazioni degli attacchi e la facilità con cui questi possono essere generati è divenuto un problema universale.

La risposta da parte delle aziende è quella di implementare soluzioni per la protezione DDoS multi-layered utilizzando apparati on-premise abbinati a servizi basati su cloud. Le soluzioni per la protezione DDoS on-premise sono in grado di intercettare e mitigare preventivamente ogni genere di attacco compresi quelli ben più difficili da rilevare diretti contro il layer applicativo (che rappresentano circa un quinto della casistica totale), ma non riescono a gestire i grandi attacchi volumetrici che saturano la connettività Internet. Per affrontare problemi di questa portata è necessario un servizio Internet, che spesso però risulta troppo lento nel reagire agli attacchi a esaurimento di stato e di applicazioni per i quali occorre un componente on-premise. Questi due layer dovrebbero idealmente funzionare insieme, e solo allora le aziende disporrebbero di una protezione completa dalle minacce DDoS.

A cura di Ivan Straniero, Territory Manager, Italy & SE Europe Arbor Networks

Ivan Straniero2_Arbor