Gli attacchi DDoS in breve
Nonostante siano più brevi e meno intensi, gli attacchi DDoS continuano a rappresentare un rischio significativo per la sicurezza cloud. Ad affermarlo è l’ultimo Rapporto sulla Sicurezza (https://www.stateoftheinternet.com/resources-cloud-security-2015-q3-web-security-report.html) relativo al terzo trimestre 2015 pubblicato da Akamai, secondo cui questa minaccia è cresciuta del 23% negli ultimi 3 mesi rispetto a un livello già record di 1.510 attacchi, con un incremento del 180% sul terzo trimestre 2014. A fronte dell’aumento numerico, gli attacchi sono però stati più brevi con banda media di picco e volumi minori. I mega attacchi (quelli da più di 100 Gbps) sono stati solo 8, contro i 12 del trimestre precedente e i 17 del Q3 2014. Nel trimestre l’attacco DDoS più intenso – basato sullo sfruttamento della botnet XOR – ha toccato i 149 Gbps, in calo rispetto ai 250 Gbps del trimestre precedente. I settori più colpiti dai mega attacchi sono stati i media e l’intrattenimento, con 3 attacchi ciascuno.
Pur essendo diminuita la banda utilizzata, il Q3 ha segnato un nuovo record considerando una diversa misura della portata degli attacchi. Un’azienda del settore media e intrattenimento è stata colpita da un numero record di 222 milioni di pacchetti per secondo (Mpps) con un leggero incremento rispetto ai 214 Mpps registrati nel secondo trimestre. Si consideri che il volume di picco medio per tutti gli attacchi osservati da Akamai nel trimestre è stato di 1,57 Mpps. Un attacco di queste proporzioni potrebbe mettere fuori uso un router tier 1 come quelli utilizzati dagli Internet Service Provider.
Il settore del gaming online è stato colpito in modo particolarmente pesante, con circa il 50% di tutti gli attacchi. A seguire, il settore del software e tecnologia (25%). Il settore dei giochi online è stato quello più colpito durante l’ultimo anno.
Nuova tecnica di attacco
Gli attacchi DDoS reflection-based sono risultati più popolari di quelli infection-based. Anziché investire tempo ed energie per costruire e manutenere botnet DDoS come avveniva in passato, gli autori degli attacchi hanno iniziato a sfruttare il panorama esistente di dispositivi di rete esposti e di protocolli non sicuri. Gli attacchi di tipo reflection, infatti, che rappresentavano solo il 5,9% del traffico DDoS nel terzo trimestre 2014, sono cresciuti fino al 33,19% nell’ultimo trimestre.
Metriche DDoS
Rispetto al Q3 2014
- +179,66% di attacchi DDoS
- +25,74% di attacchi DDoS al livello applicativo (Layer 7)
- +198,1% di attacchi DDoS al livello infrastrutturale (Layer 3 e 4)
- -15,65% nella durata media degli attacchi: 18.86 vs. 22.36 ore
- -65,58% nella banda di picco
- -88,72% nei volumi di picco
- +462,44% negli attacchi di tipo reflection
- -52,94% di attacchi da oltre 100 Gbps: 8 vs. 17
Rispetto al Q2 2015
- +22,79% di attacchi DDoS
- -42,27% di attacchi DDoS al livello applicativo (Layer 7)
- +30,21% di attacchi DDoS al livello infrastrutturale (Layer 3 e 4)
- -8,87% nella durata media degli attacchi: 18,86 vs. 20,64 ore
- -25,13% nella banda di picco
- -42,67% nei volumi di picco
- +40,14% negli attacchi di tipo reflection
- -33,33% di attacchi da oltre 100 Gbps: 8 vs. 12
Attacchi ad applicazioni Web
Nel secondo trimestre 2015, la vulnerabilità Shellshock ha dominato la scena degli attacchi alle applicazioni web utilizzando HTTPS, cosa che non avvenuta nel Q3. Di conseguenza, la percentuale di attacchi ad applicazioni web lanciati su HTTP rispetto a quelli su HTTPS è ritornata a livelli più consueti (88% via HTTP contro 12% via HTTPS). L’uso degli attacchi ad applicazioni web via HTTPS è destinato probabilmente a crescere poiché sempre più siti scelgono di adottare il traffico TLS capace come livello di sicurezza standard. Gli autori degli attacchi possono anche utilizzare HTTP nel tentativo di penetrare nei database di backend ai quali si accede tipicamente da applicazioni servite via HTTPS.
Come nei trimestri precedenti gli attacchi LFI (local file inclusion) e SQLi (SQL injection) sono stati di gran lunga i principali vettori di attacchi ad applicazioni web. Il settore del retail è quello più colpito, con oltre il 55% degli attacchi, seguito a distanza dal settore dei servizi finanziari col 15%. Gli attacchi ad applicazioni web si basano pesantemente su botnet che sfruttano router e dispositivi domestici non protetti.
Nel terzo trimestre è stato osservato anche un aumento nei tentativi di attacco ai plugin WordPress, non solo per i più popolari ma anche per quelli meno conosciuti.
Nel Q3 2015 gli Stati Uniti sono stati la principale fonte di attacchi ad applicazioni web, con il 59% del traffico, e l’obiettivo del 75% di questi attacchi. I tre principali ASNs (Autonomous System Number) da cui partivano gli attacchi sono risultati associati con VPS (Virtual Private Systems) posseduti da fornitori di servizi cloud molto conosciuti negli USA. Molti dei server virtuali che sono aggiunti al cloud ogni giorno mancano dei requisiti minimi di sicurezza e sono compromessi e utilizzati in botnet o altre piattaforme di attacco.
Uno sguardo ai website scraper
Lo scraper è un particolare tipo di bot il cui scopo è di acquisire dai siti attaccati dati, memorizzarli e analizzarli per venderli o utilizzarli in proprio. Un esempio di scraper non pericoloso è il bot di un motore di ricerca. Altri esempi sono gli aggregatori di prezzi, i servizi di analytics e SEO. Una sezione del rapporto è dedicata agli scraper, indicando un metodo semplice per la loro identificazione.
Metriche attacchi ad applicazioni web
Rispetto al Q2 2015
- + 96.36% in attacchi ad applicazioni web HTTP
- – 79.02% in attacchi ad applicazioni web HTTPS web
- + 21.64% in attacchi SQLi
- + 204.73% in attacchi LFI
- + 57.55% in attacchi RFI
- + 238.98% in attacchi PHPi
