Gli attacchi DDoS sono oramai da anni una delle “piaghe” di tutti i team IT e di cyber security aziendali: recentemente, sembra che il fenomeno abbia trovato una seconda vita con una vera e propria evoluzione tecnologica e con un conseguente aumento degli attacchi registrati negli ultimi mesi.
Indice degli argomenti
Attacchi DDoS: di cosa parliamo
Molto semplicemente, un attacco Distributed Denial of Service (DDoS) si concretizza quando un aggressore (o un gruppo di criminal hacker) rende impossibile l’esecuzione di un servizio virtuale. Ciò può essere realizzato bloccando l’accesso a server, dispositivi, reti, app e anche specifiche transazioni nel contesto di una applicazione. In un attacco DoS, è un solo sistema che invia i dati o le richieste dannose, nell’attacco DDoS la richiesta proviene da diversi sistemi.
Generalmente, questi attacchi bloccano il sistema informatico “target”, inondandolo di richieste. Per esempio, nel caso di un server internet, potrebbe trattarsi di innumerevoli richieste di mostrare una pagina, con il risultato di mandare in crash la pagina stessa, oppure nel caso di un database, travolgerlo con un alto volume di query.
Il risultato è una saturazione immediata della banda di connessione, del potere di calcolo o della RAM disponibile.
L’effetto pratico può variare dal semplice blocco temporaneo di servizi secondari alla disconnessione totale di siti interi.
Le tre tipologie di attacchi DDoS
Alla lice di quanto detto, si possono identificare tre tipologie principali di attacco DDoS:
- Attacchi volumetrici: fanno convergere quantità di traffico enormi verso una risorsa web o un server al fine di bloccarlo. Le dimensioni di tali attacchi vengono misurate in bit al secondo (bps).
- Attacchi “protocol” (mirati verso la rete): inviano un gran numero di pacchetti a infrastrutture di rete specifiche o ai relativi strumenti gestionali. Questi attacchi includono i SYN Flood e gli Smurf DDoS e vengono misurati in pacchetti al secondo o Packet per second (PPS).
- Attacchi a livello applicativo: prevedono l’invio di richieste dannose verso applicazioni. Le dimensioni di tale attacco vengono misurate in richieste al secondo o Request per second (RPS).
Qualunque sia la tipologia d’attacco, l’obiettivo è sempre lo stesso: rallentare le risorse online colpite o renderle del tutto incapaci di rispondere.
Gli attacchi DDoS possono essere difficili da distinguere da problematiche non legate a un attacco intenzionale, come la presenza di un server offline, la ricezione di troppe richieste da utenti legittimi o il danneggiamento di un cavo all’interno della rete. Per determinare precisamente la natura del problema, è spesso necessaria un’analisi sul traffico.
Le origini “storiche”
All’inizio degli anni 2000, lo studente liceale canadese Michael Calce, a.k.a. MafiaBoy, mise in ginocchio Yahoo! con un attacco (DDoS) che riuscì a bloccare del tutto uno dei principali siti web dell’epoca.
Nella settimana successiva, il giovane canadese prese di mira e riuscì a bloccare altri siti come Amazon, CNN ed eBay.
Non si trattò del primo attacco DDoS, ma quella serie di offensive fece molto scalpore e le trasformò da semplice concetto riservato agli addetti ai lavori a vera e propria minaccia per le principali entità digitali.
Da allora, gli attacchi DDoS si sono fatti sempre più frequenti, utilizzati per vendetta, estorcere denaro, per svolgere campagne politiche o attiviste online o, infine, come atto di cyber warfare.
Negli ultimi anni, questi attacchi hanno anche aumentato il proprio volume di fuoco.
A metà Anni 90 la dimensione media di un attacco era di 150 richieste al secondo, mentre oggi supera i 1.000 Gbps. Tutto questo soprattutto in forza delle botnet, reti di dispositivi compromessi in grado di generare enormi quantità di traffico per unità di tempo.
Gli attacchi DDoS oggi
Pur richiedendo un volume di fuoco ben superiore rispetto a pochi anni fa, gli attacchi DDoS sono ancora una minaccia concreta. Secondo i report di Kaspersky Labs, il numero complessivo di questo tipo di offensiva è aumentato del 32% dal 2018 al 2019. Tale tendenza si sarebbe confermata anche nel 2020, con aumenti costanti da un trimestre all’altro (fatta eccezione per il Q4).
Un altro trend allarmante è rappresentato dalla pronta disponibilità di piattaforme di lancio per attacchi DDoS come 0x-booter. In gergo tecnico, si tratta di “DDos-as-a-service” ovvero attacchi DDoS a richiesta (o chiavi in mano) in grado di attivare circa 16.000 dispositivi IoT infettati dal malware Bushido.
Un’altra dimostrazione di come la servitizzazione del cyber crime sia ormai un fenomeno concreto e affermato.
L’evoluzione degli attacchi DDoS
Come detto brevemente in precedenza, sta diventando circostanza sempre più comune che gli attacchi vengano sferrati da botnet terze, pagate per questo preciso scopo. E il trend sembra destinato a rafforzarsi.
Un’altra tendenza è l’uso di diversi vettori d’attacco all’interno della stessa offensiva, seguendo l’approccio chiamato Advanced Persistent Denial-of-Service APDoS. Ad esempio, un attacco APDoS potrebbe puntare una rete o il livello applicativo, con un approccio che va dalla semplice “inondazione”, concentrando gli sforzi contro microtarget strategici specifici.
Si evolvono anche le tattiche difensive
Con l’affinarsi delle armi dei gruppi criminali e di fronte all’evoluzione degli attacchi DDoS, la tecnologia e le tattiche difensive non devono rimanere a guardare. L’ascesa del machine learning e l’avvento massivo dell’AI potrebbe giocare un ruolo cruciale in questi attacchi e nel lato difensivo.
L’invito è sempre quello di prevedere misure di cyber security preventive e predittive sia con servizi capaci di deviare e assorbire il traffico dannoso in entrata, oltre all’allocamento di risorse proporzionate (in termini, ad esempio, di banda internet) ai propri fabbisogni; sia con servizi di Threat Intelligence per cercare di preventivare un attacco in arrivo.
