Descrizione e protezione da attacco DDoS

Quando gli attacchi DDoS vanno a segno


Gli attacchi informatici tramite DDoS (Distributed Denial of Service) paralizzano interi siti web e sistemi IT. Cosa comporta un tale flusso di dati e in che modo le aziende possono proteggersi da tali attacchi.


Testo: Felix Raymann/Andreas Heer, Immagini: Swisscom, 14 novembre 2018, aggiornato il 11.06.2024




La situazione geopolitica favorisce gli attacchi informatici. Concretamente, in Svizzera si tratta soprattutto di tentativi volti a disturbare la disponibilità delle infrastrutture IT e paralizzare i siti web. Si tratta di una risposta diretta alle attività politiche. Mezzi prescelti per tali azioni: attacchi DDoS (Distributed Denial of Service) per mettere in ginocchio i server con un elevato numero di accessi.

 

È quanto è emerso a giugno 2023, quando per due settimane diversi siti web della Confederazione e delle grandi città sono stati temporaneamente inaccessibili del tutto o in parte a causa degli attacchi. In questo periodo, l’Ufficio federale della cibersicurezza (UFCS) ha ricevuto 85 segnalazioni di attacchi, di cui circa un terzo è stato bloccato.


Attacchi DDoS a sfondo politico

L’attenzione non si è concentrata tanto sulle motivazioni criminali finanziarie quanto su quelle politiche. Gli hacktivisti di «Noname057(16)», responsabili degli attacchi DDoS ai siti web svizzeri, hanno collocato i loro attacchi alle autorità pubbliche nel contesto della guerra di attacco all’Ucraina. Nell’ambito del suo progetto di attacco «DDoSia», NoName beneficia di volontari che mettono a disposizione i loro computer per gli attacchi, presumibilmente dietro pagamento. Secondo il fornitore francese di cibersicurezza Sekoia, il progetto coinvolge circa 10’000 persone.

 

La Svizzera e quindi anche le aziende locali sono colpite dagli attacchi DDoS. Gli esempi mostrano solo quanto siano diverse le ragioni e che il rischio è sempre in agguato. Anche l’attuale Cybersecurity Threat Radar di Swisscom definisce gli attacchi DDoS come una minaccia di cui le aziende dovrebbero tenere conto nelle loro misure di cibersicurezza.


Estorsione con minaccia di DDoS

La maggior parte degli attacchi potrebbe avere motivazioni puramente finanziarie. In primo luogo, per mettere ulteriormente sotto pressione le vittime di un attacco ransomware con una minaccia DDoS affinché paghino un riscatto. Infatti, tali guasti dell’infrastruttura possono comportare danni ingenti per l’azienda. Se i servizi web non sono raggiungibili per un periodo di tempo lungo, il fatturato può risultare pesantemente compromesso. Shop online, banche e tutti gli altri fornitori di servizi che dipendono da una presenza sul web possono subire perdite rilevanti. A questo si aggiunge anche il danno per la reputazione una volta che il sito è percepito come «non sicuro». Ripristinare lo status quo, inoltre, richiede investimenti. Per le aziende colpite, gli attacchi possono comportare anche la perdita di dati.


Attacchi sempre più sofisticati

Gli attacchi DDoS hanno tutti un modello simile: i server internet di un’azienda vengono bombardati con innumerevoli richieste e, non riuscendo a elaborare la grande quantità di dati o l’alto numero di pacchetti IP, collassano per il sovraccarico. Per riuscire ad inviare queste richieste, gli hacker hanno bisogno di un’infrastruttura specifica o devono noleggiare una botnet con dispositivi infetti. Per esempio, possono usare PC con falle di sicurezza, ma anche apparecchi di uso quotidiano in rete come telecamere di sorveglianza, router, elettrodomestici o apparecchi simili collegati a internet.

 

Il problema è che gli attacchi sono sempre più sofisticati. All’inizio interessavano perlopiù i livelli di rete più bassi (livello OSI), ad esempio con attacchi PING o SYN Flood. Filtrare questi tentativi era piuttosto semplice con sistemi di protezione come firewall o IDS/IPS.

 

Alcuni hacker, invece, combinano diversi vettori di attacco con attacchi di riflessione UDP. In questo caso i criminali informatici fanno leva sul fatto che servizi come DNS (Domain Name System) forniscono una risposta completa a un piccolo pacchetto di query. Nelle modalità come la DNS Amplification, quindi, è sufficiente fare numerose richieste con l'indirizzo IP della vittima (IP spoofing) per inondarla con una quantità sproporzionata di dati. In combinazione con altre modalità di attacco al livello applicazione (Layer 7), come ad esempio l’HTTP(S) Flooding, questi attacchi DDoS sono dirompenti e difficili da bloccare sui sistemi presi di mira.


Protezione efficace dagli attacchi DDoS

Gli attacchi DDoS sono all’ordine del giorno e colpiscono tutti gli obiettivi raggiungibili tramite internet. Potenzialmente tutti i fornitori di servizi web e internet, quindi tutti gli indirizzi IP accessibili al pubblico, possono finire nel mirino. Prevenire quindi è fondamentale (vedi elenco di misure qui in basso). Tuttavia questo non basta per essere totalmente immuni. Le aziende possono proteggersi dagli attacchi DDoS solo in misura limitata. Un semplice filtro DoS attivo sul firewall dell’azienda, ad esempio, può analizzare e filtrare il traffico di dati in entrata. Però, quando l'attacco è distribuito e supera la larghezza di banda disponibile del collegamento internet o la prestazione del firewall, non c’è filtro che tenga. La stessa situazione si ha in presenza di un elevato numero di pacchetti IP.

Una protezione DDoS efficace, quindi, parte dalla backbone internet del service provider. È lì che l’attacco distribuito può essere affrontato con un «meccanismo di difesa distribuito». Il DDoS Protection Service di Swisscom raccoglie preziose informazioni sul traffico internet in corso usando sensori installati su diversi router nella backbone internet. I sistemi di protezione riescono così a reagire in tempo reale, attivando i relativi filtri. In questo modo, è possibile tenere testa agli attacchi e allo stesso tempo garantire che sull’infrastruttura del cliente sia diretto solo il traffico dati legittimo.


Prevenzione e misure di protezione contro i DDoS


Se gestiscono un servizio web senza misure di protezione efficaci contro i DDoS nella speranza di restare immuni dagli attacchi dei criminali informatici, le aziende agiscono con dolo e negligenza. Per questo è necessario prendere tutti i provvedimenti per evitare danni da possibili attacchi.


Prevenzione nella backbone internet

Per essere pronti ad affrontare gli attacchi DDoS si può contare su Swisscom DDoS Protection Service. Tutti i servizi rilevanti gestiti su diversi server vengono protetti dallo stesso DDoS Protection Service.


Allerta precoce

I responsabili IT devono conoscere lo stato normale dei sistemi (baseline), in modo da notare subito eventi particolari. La valutazione automatica regolare dei file log è utile per individuare anomalie. Anche il punto di vista esterno è importante nell’attività di monitoraggio: bisogna controllare la disponibilità dei servizi via internet anche da fuori.


Valutazione delle conseguenze

Quali conseguenze può avere un guasto a un sistema a seguito di un attacco DDoS? Le aziende dovrebbero calcolare i danni diretti e indiretti che potrebbero risultare da un’interruzione dei propri sistemi per ore, giorni o persino settimane.


Piano d'emergenza

Un piano d’emergenza per eventuali incidenti, che contempli anche la peggiore delle ipotesi, non dovrebbe mai mancare. Le persone responsabili devono essere appositamente istruite, conoscere le procedure necessarie e i contatti rilevanti (interni ed esterni) da informare rapidamente.


Limitare gli accessi

L’accesso al proprio servizio web può essere circoscritto, limitando gli IP mittente. All’occorrenza, per esempio, è possibile bloccare tutte le richieste al server provenienti da paesi diversi dalla Svizzera o da determinati paesi. Inoltre, la concessione dei diritti per l’intera rete deve essere rigorosamente rispettata in ogni momento.


Firewall basato su cloud con risorse scalabili

Il firewall dovrebbe disporre di risorse sufficienti e poter essere velocemente dotato di regole di blocco aggiuntive in caso di attacco. Un Managed Firewall basato su cloud con risorse scalabili è quindi la soluzione ideale.


Minacce

In caso di minaccia di attacco occorre prepararsi ad affrontarlo adottando misure tecniche insieme all’Internet Service Provider. Cedere alle richieste di riscatto e pagare non è mai consigliabile.



Hand with smartphone

Newsletter

Desiderate ricevere regolarmente articoli e rapporti avvincenti su tematiche ICT di attualità?




Maggiori informazioni