TECH
Intervista di Rainews.it al Consulting Engineer di Arbor Networks
Attacchi DDoS, la protesta virtuale
In un'epoca neanche tanto lontana, il 2004, gli attacchi informatici erano quasi inoffensivi e facilmente individuabili. Oggi sono cresciuti in maniera esponenziale e di pari passo diventati devastanti per le aziende (basti pensare al recente caso Sony). Su internet, poi, l'attacco degli hacker diventa l'eco 'virtuale' delle proteste geopolitiche. Ecco il rapporto su quanto è cambiata la sicurezza sul web in questo decennio.
di Celia GuimaraesMilano
Nel 2004 si combattevano worm autoreplicanti come Slammer e Blaster; le violazioni dei dati partivano spesso da dipendenti con accesso diretto ai file. Oggi le aziende devono badare a un ventaglio di minacce ben più ampio e sofisticato. L'impatto economico di un attacco o di una violazione può essere devastante.
“Tra gli attacchi informatici, i DDoS non sono quelli più gravi ma sono la prima preoccupazione delle aziende, delle Telco, degli Isp. Rispetto ad altri tipi di attacchi, ai quali manca la visibilità, il DDoS è misurabile sia per dimensioni che per provenienza e destinazione”. Lo afferma l’ingegnere Marco Gioanola, Senior Consulting Engineer di Arbor Networks, intervistato da Rainews.it
Ai dieci anni di attacchi DDoS è infatti dedicata decima edizione dello studio Worldwide Infrastructure Security Report (WISR) della società di sicurezza informatica, realizzato grazie alla collaborazione di circa 300 provider in tutto il mondo.
Servizio negato
Che cosa è un attacco Denial-of-Service (DoS)? Lo scopo di questo tipo di attacco è quello di rallentare o bloccare le attività di un server e di fare in modo da negare l'accesso alle informazioni ed ai servizi agli utenti legittimi. Un malintenzionato può essere in grado di impedirci ad esempio di aver accesso alla nostra casella di posta o ad alcuni siti web. In un attacco DoS distribuito (DDoS), un malintenzionato potrebbe usare il vostro computer o tutti i computer della vostra rete per attaccare altri computer o altre reti. Così il sito del ministero della Difesa italiano definisce gli attacchi DoS e DDoS.
C’era una volta il 2004
Un decennio fa gli attacchi DDoS erano soprattutto un fastidio composto da eventi indipendenti. Oggi invece sono una seria minaccia alla continuità operativa e alle attività delle aziende. Gli attacchi DDoS sono oramai i componenti di campagne complesse,che spesso durano per lungo tempo. Marco Gioanola ha commentato l’evoluzione di questi attacchi negli ultimi dieci anni per Rainews.it:
“Evolvono continuamente e sono un passo avanti alla tecnologia per contrastarli e spesso vanno a buon fine perché le aziende non dispongono di servizi ad alto livello per difendersi. Nel nostro rapporto c’è un dato significativo: un terzo degli operatori di data center ha rilevato almeno un attacco DDoS superiore alla banda complessiva disponibile. E se la banda complessiva è fuori uso, anche gli utenti di quel data center lo saranno. Il 15% delle aziende ha dichiarato di trovarsi impreparata per fronteggiare gli attacchi”.
Escalation geometrica
Il più grande attacco DDoS registrato nel 2014 è stato di 400Gbps; dieci anni fa l'attacco più grande osservato era stato di soli 8Gbps. “E’ un elemento che ha destato sorpresa tra gli analisti di sicurezza, la crescita esponenziale degli attacchi DDoS, che è passata dagli 8 gigabit del 2004 ai 400 gigabit del 2014. Ma ha colpito soprattutto il fatto che questo aumento non sia stato graduale: c’è stato un picco negli ultimi 2/3 anni con una progressione geometrica, uno scatto verso l’alto, che coincide con la diffusione della banda larga e della fibra ottica”, ha osservato l’ingegner Gioanola.
DDoS, la protesta virtuale di piazza
Il 15 gennaio il capo della cybersicurezza francese, l’Ammiraglio Arnaud Coustilliere, ha annunciato un improvviso incremento negli attacchi online condotti contro i siti Web transalpini: 19 mila i siti web francesi colpiti.
Ecco i dati relativi agli attacchi rilevati da Arbor: Fra il 3 e il 18 gennaio sono stati registrati 11.342 attacchi univoci contro bersagli francesi, ovvero una media di 708 attacchi al giorno. Nel periodo successivo l'11 gennaio possiamo osservare un aumento del 26% nel numero di attacchi DDoS. Il picco registrato il 9 gennaio era stato di 40,96 Gbps, mentre l'11 gennaio il valore più alto riportato è stato di 63,02 Gbps, ovvero il 54% in più rispetto al picco di due giorni prima.
“Nella settimana successiva all’attentato alla sede di Charlie Hebdo abbiamo rilevato un incremento di attacchi DDoS verso la Francia. Si è trattato di azioni non coordinate, partite da piccoli gruppi, un tipo di azione che, abbiamo notato, segue per potenza e dimensioni gli eventi geopolitici. Quando ci sono grandi movimenti di massa, manifestazioni di protesta, atti di vandalismo, di pari passo aumentano gli attacchi DDoS, come se si trattasse della ‘protesta virtuale’ che rispecchia quella fisica, nelle piazze”, ha commentato l’ingener Gioanola.
Attacchi DDoS e politica
Si saprà mai invece cosa è accaduto veramente nel caso Sony/Corea del Nord? Secondo l’Fbi, è stata Pyongyang ad architettare l'attacco hacker contro la Sony Pictures il 24 novembre scorso, ma la Corea del Nord ha negato il suo coinvolgimento. La questione ha avuto sviluppi ed è diventata un ‘caso’ di cyber sicurezza internazionale.
E’ quasi impossibile stabilire esattamente cosa è accaduto, ci spiega l’ingegner Gioanola: “E’ molto difficile risalire ai ‘mandanti politici’ di un attacco, però dal punto di vista tecnologico si può risalire all’origine dell’azione mettendo insieme conoscenza tecnologica e azione investigativa, per esempio con agenti infiltrati tra gli hacker. E’ possibile ottenere delle indicazioni sulle motivazioni di un certo tipo di attacco e anche l’interesse economico che può determinarlo. Grandi attacchi richiedono molti soldi, per il settaggio delle macchine, per l’utilizzo di infrastrutture altrui come nel caso dell’attacco ad un concorrente commerciale. Nel caso della Sony sicuramente l’attacco è costato molti soldi ed è stato portato avanti da soggetti molto organizzati”.
Alla fiera dell’hacker
Da chi partono gli attacchi DDoS? C’è un fiorente mercato. “Ormai sono gestiti come un vero e proprio servizio in abbonamento. Si può ‘contrattare’ un attacco DDoS - ad esempio contro un concorrente commerciale-, azione ovviamente illegale ma la complessità per risalire alla sorgente aiuta la sua diffusione. E poi è molto difficile da perseguire per le vie legali”.
E, a proposito di attacchi informatici, dieci anni fa (a Davos, era il 2004) Bill Gates, il fondatore della Microsoft, disse che lo spam (i messaggi-spazzatura che continuano ancora oggi ad intasarci la posta elettronica) sarebbe finito nel giro di pochi anni… una previsione azzardata? La risposta di Gioanola arriva dopo una risata: “Il problema non è tanto fare delle previsioni ma il mancato coordinamento per porre un freno agli attacchi, che siano DDoS o spam. Purtroppo ancora oggi è molto bassa la percentuale di service provider che hanno messo a punto soluzioni per mitigare i problemi di sicurezza. Come si può migliorarla? C’è un solo modo, attraverso la collaborazione globale e la condivisione di informazioni”.
“Tra gli attacchi informatici, i DDoS non sono quelli più gravi ma sono la prima preoccupazione delle aziende, delle Telco, degli Isp. Rispetto ad altri tipi di attacchi, ai quali manca la visibilità, il DDoS è misurabile sia per dimensioni che per provenienza e destinazione”. Lo afferma l’ingegnere Marco Gioanola, Senior Consulting Engineer di Arbor Networks, intervistato da Rainews.it
Ai dieci anni di attacchi DDoS è infatti dedicata decima edizione dello studio Worldwide Infrastructure Security Report (WISR) della società di sicurezza informatica, realizzato grazie alla collaborazione di circa 300 provider in tutto il mondo.
Servizio negato
Che cosa è un attacco Denial-of-Service (DoS)? Lo scopo di questo tipo di attacco è quello di rallentare o bloccare le attività di un server e di fare in modo da negare l'accesso alle informazioni ed ai servizi agli utenti legittimi. Un malintenzionato può essere in grado di impedirci ad esempio di aver accesso alla nostra casella di posta o ad alcuni siti web. In un attacco DoS distribuito (DDoS), un malintenzionato potrebbe usare il vostro computer o tutti i computer della vostra rete per attaccare altri computer o altre reti. Così il sito del ministero della Difesa italiano definisce gli attacchi DoS e DDoS.
C’era una volta il 2004
Un decennio fa gli attacchi DDoS erano soprattutto un fastidio composto da eventi indipendenti. Oggi invece sono una seria minaccia alla continuità operativa e alle attività delle aziende. Gli attacchi DDoS sono oramai i componenti di campagne complesse,che spesso durano per lungo tempo. Marco Gioanola ha commentato l’evoluzione di questi attacchi negli ultimi dieci anni per Rainews.it:
“Evolvono continuamente e sono un passo avanti alla tecnologia per contrastarli e spesso vanno a buon fine perché le aziende non dispongono di servizi ad alto livello per difendersi. Nel nostro rapporto c’è un dato significativo: un terzo degli operatori di data center ha rilevato almeno un attacco DDoS superiore alla banda complessiva disponibile. E se la banda complessiva è fuori uso, anche gli utenti di quel data center lo saranno. Il 15% delle aziende ha dichiarato di trovarsi impreparata per fronteggiare gli attacchi”.
Escalation geometrica
Il più grande attacco DDoS registrato nel 2014 è stato di 400Gbps; dieci anni fa l'attacco più grande osservato era stato di soli 8Gbps. “E’ un elemento che ha destato sorpresa tra gli analisti di sicurezza, la crescita esponenziale degli attacchi DDoS, che è passata dagli 8 gigabit del 2004 ai 400 gigabit del 2014. Ma ha colpito soprattutto il fatto che questo aumento non sia stato graduale: c’è stato un picco negli ultimi 2/3 anni con una progressione geometrica, uno scatto verso l’alto, che coincide con la diffusione della banda larga e della fibra ottica”, ha osservato l’ingegner Gioanola.
DDoS, la protesta virtuale di piazza
Il 15 gennaio il capo della cybersicurezza francese, l’Ammiraglio Arnaud Coustilliere, ha annunciato un improvviso incremento negli attacchi online condotti contro i siti Web transalpini: 19 mila i siti web francesi colpiti.
Ecco i dati relativi agli attacchi rilevati da Arbor: Fra il 3 e il 18 gennaio sono stati registrati 11.342 attacchi univoci contro bersagli francesi, ovvero una media di 708 attacchi al giorno. Nel periodo successivo l'11 gennaio possiamo osservare un aumento del 26% nel numero di attacchi DDoS. Il picco registrato il 9 gennaio era stato di 40,96 Gbps, mentre l'11 gennaio il valore più alto riportato è stato di 63,02 Gbps, ovvero il 54% in più rispetto al picco di due giorni prima.
“Nella settimana successiva all’attentato alla sede di Charlie Hebdo abbiamo rilevato un incremento di attacchi DDoS verso la Francia. Si è trattato di azioni non coordinate, partite da piccoli gruppi, un tipo di azione che, abbiamo notato, segue per potenza e dimensioni gli eventi geopolitici. Quando ci sono grandi movimenti di massa, manifestazioni di protesta, atti di vandalismo, di pari passo aumentano gli attacchi DDoS, come se si trattasse della ‘protesta virtuale’ che rispecchia quella fisica, nelle piazze”, ha commentato l’ingener Gioanola.
Attacchi DDoS e politica
Si saprà mai invece cosa è accaduto veramente nel caso Sony/Corea del Nord? Secondo l’Fbi, è stata Pyongyang ad architettare l'attacco hacker contro la Sony Pictures il 24 novembre scorso, ma la Corea del Nord ha negato il suo coinvolgimento. La questione ha avuto sviluppi ed è diventata un ‘caso’ di cyber sicurezza internazionale.
E’ quasi impossibile stabilire esattamente cosa è accaduto, ci spiega l’ingegner Gioanola: “E’ molto difficile risalire ai ‘mandanti politici’ di un attacco, però dal punto di vista tecnologico si può risalire all’origine dell’azione mettendo insieme conoscenza tecnologica e azione investigativa, per esempio con agenti infiltrati tra gli hacker. E’ possibile ottenere delle indicazioni sulle motivazioni di un certo tipo di attacco e anche l’interesse economico che può determinarlo. Grandi attacchi richiedono molti soldi, per il settaggio delle macchine, per l’utilizzo di infrastrutture altrui come nel caso dell’attacco ad un concorrente commerciale. Nel caso della Sony sicuramente l’attacco è costato molti soldi ed è stato portato avanti da soggetti molto organizzati”.
Alla fiera dell’hacker
Da chi partono gli attacchi DDoS? C’è un fiorente mercato. “Ormai sono gestiti come un vero e proprio servizio in abbonamento. Si può ‘contrattare’ un attacco DDoS - ad esempio contro un concorrente commerciale-, azione ovviamente illegale ma la complessità per risalire alla sorgente aiuta la sua diffusione. E poi è molto difficile da perseguire per le vie legali”.
E, a proposito di attacchi informatici, dieci anni fa (a Davos, era il 2004) Bill Gates, il fondatore della Microsoft, disse che lo spam (i messaggi-spazzatura che continuano ancora oggi ad intasarci la posta elettronica) sarebbe finito nel giro di pochi anni… una previsione azzardata? La risposta di Gioanola arriva dopo una risata: “Il problema non è tanto fare delle previsioni ma il mancato coordinamento per porre un freno agli attacchi, che siano DDoS o spam. Purtroppo ancora oggi è molto bassa la percentuale di service provider che hanno messo a punto soluzioni per mitigare i problemi di sicurezza. Come si può migliorarla? C’è un solo modo, attraverso la collaborazione globale e la condivisione di informazioni”.