Il sito della Polizia di Stato italiana è irraggiungibile da stanotte verso le 2.00 ed è un attacco Ddos causato da hacker attivisti filo russi. Il gruppo criminale pro Russia KillNet, infatti, ha rivendicato l’attacco al sito con un Ddos.
Indice degli argomenti
L’attacco alla Polizia di Stato
Ieri invece la Polizia aveva comunicato via Tweet di avere sventato un tentativo di intrusione di Killnet a Eurovision. Il Ddos ora è un evento collegato: Killnet ha dichiarato di non c’entrare nulla con Eurovision e che intende punire la “polizia menzognera”; afferma anche di iniziare così una guerra a dieci Paesi tra cui l’Italia.
Sventati attacchi informatici da #PoliziadiStato a @Eurovision
Gli hacker hanno provato a infiltrarsi ma l’attivazione di una sala operativa h24 dedicata all’evento con personale #CNAIPIC di #PoliziaPostale ha permesso di neutralizzare e respingere gli attacchi #essercisempre pic.twitter.com/t4fKqaUKJH— Polizia di Stato (@poliziadistato) May 15, 2022
Il Ddos
(update ore 15.46)
Il sito web della Polizia risulta non raggiungibile ancora il pomeriggio di oggi). La Polizia ha messo in campo varie misure di mitigazione – tra cui il blocco del traffico dall’estero – ma il DDoS mantiene ancora il server Web saturo di richieste anomale. Il sito riesce a tornare attivo solo per poco tempo e in modo molto erratico.
I Ddos di Killnet, slow http
Ricordiamo che Killnet – russi o almeno filo-russi – sono gli stessi che hanno buttato giù i siti di Difesa, Senato, Aci, ISS e che hanno tentato di mandare fuori uso il sistema di televoto di Eurovision.
Non è chiaro a cosa si riferisca la polizia con “tentativi di intrusione”. Killnet dice di essere specializzato in Ddos. Forse un altro gruppo che non è noto ancora?
Attacco cyber dalla Russia all’Italia: down siti Senato, Difesa, perché è evento grave
Un bollettino di Csirt (del Governo) della scorsa settimana chiarisce che gli attacchi Ddos eseguiti non sono di tipo volumetrico (quelli che mirano a saturare la banda), ma un po’ più sofisticati, mirando a saturare le risorse dell’applicativo server che eroga il servizio.
Usano la tecnica in particolare detta Slow Http, “che, di norma, utilizza richieste HTTP GET per saturare le connessioni disponibili di un server web. In particolare, quando un client effettua una richiesta HTTP ad un server web, lo stesso rilascia la connessione esclusivamente quando l’intestazione (header) della richiesta ricevuta risulta essere completa. Inviando numerose richieste con velocità di trasmissione molto bassa, l’attaccante costringe il server web di destinazione a mantenere la connessione aperta, saturando in tal modo le risorse dedicate dal server alla comunicazione con i client esterni. Tale tipologia di attacco risulta più efficace nel caso di utilizzo di richieste POST, in quanto le stesse vengono utilizzate anche per l’invio di considerevoli quantità di dati verso il server web”.
Contromisure
Lo Csirt consiglia, per determinare la natura dell’attacco, di ispezionare il traffico HTTP registrato nei log del server e trovare elementi in comune tra le richieste malevole. Si può utilizzare il comando tcpdump (se il traffico è crittografato, è necessario decifrare l’acquisizione del traffico per visualizzare i dati in chiaro) oppure i log del server web.
Ci sono noti sistemi di protezione contro attacchi DDOS di tipo volumetrico, mentre per proteggere i propri sistemi da attacchi applicativi di tipo “Slow HTTP”, lo Csirt consiglia queste contromisure.
- rifiutare le connessioni con metodi HTTP non supportati dall’URL;
- limitare l’intestazione e il corpo del messaggio a una lunghezza minima ragionevole. Per URL specifici, impostare limiti più severi e appropriati per ogni risorsa che accetta un body del messaggio;
- impostare un timeout di connessione assoluto, ove possibile, utilizzando le statistiche di connessione (ad es. un timeout leggermente maggiore della durata media delle connessioni dovrebbe soddisfare la maggior parte dei client legittimi);
- utilizzare un backlog di connessioni in sospeso. Esso consente al server di mantenere le connessioni che non è pronto ad accettare, bloccando di conseguenza un attacco Slow HTTP più ampio, oltre a dare agli utenti legittimi la possibilità di essere serviti sotto carico elevato. Se il server supporta un backlog, si consiglia di renderlo ragionevolmente grande in modo che il proprio server web possa gestire un attacco di lieve entità;
- definire la velocità minima dei dati in entrata e bloccare le connessioni che sono più lente della velocità impostata. Si evidenzia di fare attenzione a non impostare il valore minimo troppo basso per non bloccare le connessioni legittime;
- attivare gli strumenti di protezione da questa tipologia di attacco disponibili tramite dispositivi di sicurezza quali Web Application Firewall e Next Generation Firewall L7.
Quanto c’è da preoccuparsi
L’Agenzia cybersecurity nazionale da fine febbraio ha lanciato allerta rossa per possibili attacchi critici ad aziende, PA, infrastrutture critiche italiane dalla Russia come conseguenza della guerra in Ucraina.
La crescente vicinanza dell’Italia all’Ucraina ora attirato l’attenzione diretta della Russia, manifesta; l’Agenzia ha riferito che ci sono stati già nelle scorse settimane attacchi sventati, all’Italia, riconducibili alla Russia, anche se non è mai facile distinguere le motivazioni economiche da quelle politiche dietro una minaccia. Potrebbero insomma essere stati i soliti cybercriminali del ransomware.
Ora lo è per la natura dei nuovi attacchi e per l’esplicita rivendicazione.
Per l’Agenzia l’allerta è in crescita, tanto che ha diramato di recente un nuovo avviso per attacchi sofisticati.
Ed è in crescita non solo perché siamo sempre più visti come alleati dell’Ucraina ma anche perché il conflitto si sta trascinando sfociando in una guerra ibrida, di logoramento, dove la componente ibrida è più importante. E quindi quella degli attacchi cyber e della disinformazione.
Tutto ciò non implica che gli attaccanti avranno gioco facile nell’escalation degli attacchi, fino a paralizzare sanità e rete energetica italiana. Gli attacchi ddos possono essere interpretati sia come un semplice avvertimento sia come un segnale che finora i russi hanno fatto solo questo perché non sono riusciti a fare di peggio.
Molti esperti hanno detto lo stesso per gli attacchi cyber all’Ucraina: sono stati meno critici del previsto anche perché gli ucraini, con l’aiuto degli USA, sono stati bravi a difendersi.
Insomma: non abbassiamo la guardia ma non facciamo nemmeno prenderci dal panico.
Baldoni: “Come stiamo gestendo la crisi Ucraina e i prossimi passi dell’Agenzia cyber”
