Video: Black Hat USA 2013 - Lezioni sulla sopravvivenza a un attacco Denial of Service a 300 Gbps (Novembre 2024)
La scorsa primavera, lo spam-watchdog Spamhaus è stato colpito da un attacco distribuito di negazione del servizio (DDoS) che ha portato i suoi server offline e provocando interruzioni temporanee regionali di Internet. CloudFlare, una società di prestazioni Web e sicurezza, ha aiutato Spamhaus a recuperare. Alla conferenza Black Hat di Las Vegas, Matthew Prince, co-fondatore e CEO di CloudFlare, ha riferito proprio di ciò che è stato appreso.
"La cosa bella di Spamhaus è che sono un'organizzazione davvero aperta", ha detto Prince. "Alla maggior parte dei nostri clienti non piace che parliamo di attacchi, ma i ragazzi di Spamhaus hanno detto ehi, raccontano la storia."
Prince ha rivisto le fasi dell'attacco, che ha attraversato alcuni giorni di DDoS di basso livello che non ha causato problemi, ma alla fine è salito a 309 Gbps (gigabit al secondo) senza precedenti. Mentre i media hanno riferito che l'attacco proveniva da un bunker nei Paesi Bassi, Prince ha sottolineato che questa non era la vera mente. "Ehi, ha parlato con il New York Times!" scherzò Prince. Si scopre che il cervello dietro l'attacco apparteneva a un ragazzo londinese di 15 anni, ora in custodia.
Di quali risorse aveva bisogno questo bambino? "Non hai bisogno di una botnet", disse Prince, "e non hai bisogno di molte persone, come Anonymous." Ha continuato dicendo che l'attacco non ha richiesto molta competenza tecnica. "È come un uomo delle caverne che batte la tua rete." Ha continuato a mostrare una linea molto semplice di istruzioni di rete che avrebbero dimostrato il tipo di attacco utilizzato.
Tutto ciò di cui hai bisogno per questo tipo di attacco è un elenco di resolver DNS aperti e l'accesso ad alcuni server che consentono lo spoofing IP di origine. "Questi sono gli ingredienti" disse Prince. "Se hai queste due cose, anche un numero esiguo, puoi lanciare attacchi di grandi dimensioni. E nulla è cambiato dall'attacco di Spamhaus."
Prince ha esortato i partecipanti a ripulire le proprie reti, assicurandosi che non facciano parte del problema. "Controlla il tuo spazio IP su OpenResolver.com", ha detto Prince, "e correggi eventuali dispositivi non configurati correttamente. Potresti essere sorpreso di scoprire che hai un problema." "Una semplice bandiera nei router perimetrali impedisce lo spoofing IP", ha continuato. "Non ci sono scuse per non farlo." Ha concluso con una serie di ulteriori raccomandazioni tecniche per l'igiene della rete.
Purtroppo, Internet nel suo insieme non sta seguendo questo consiglio. Dall'attacco di Spamhaus il numero di risolutori DNS aperti noti è passato da 21 a 28 milioni. Prince ha sottolineato un cambiamento molto semplice che avrebbe potuto moltiplicare il traffico nell'attacco dello Spamhaus per dieci, o addirittura 100. Speriamo che i bravi ragazzi possano rimanere in vantaggio.
Segui SecurityWatch per ulteriori informazioni su Black Hat 2013.