L'apocalisse di Internet adesso? gli esperti dicono di no

L'attacco DDoS amplificato del provider di web hosting CyberBunker contro l'antispam SpamHaus Project è una grande novità. Il New York Times pesava, così come la BBC. L'agenzia di protezione Internet CloudFlare ha riferito che l'attacco è aumentato fino ai provider di larghezza di banda di livello 1 e che un attacco DDoS a 300 Gbps ha rallentato le connessioni per molti utenti di Internet. Ma aspetta un minuto. Hai avuto un rallentamento? Nemmeno io. In effetti, alcuni esperti ora riportano che anche questo attacco DDoS più grande di sempre non ha influenzato in modo significativo Internet nel suo complesso.

Solo un blip?

Keynote Systems monitora costantemente i tempi di risposta di 40 "importanti siti Web aziendali con sede negli Stati Uniti", connettendosi con essi da numerose località chiave in tutto il mondo. Il tempo di risposta medio varia, ma tende a rimanere approssimativamente nello stesso intervallo. E il Keynote Performance Index mostra solo un lieve "blip" durante l'attacco.

L'esperto di Keynote Aaron Rudger ha dichiarato: "I numeri non mentono, e questo è un dato di fatto." Riferendosi a un grafico delle prestazioni nelle ultime quattro settimane, ha osservato che "gli agenti europei riportano prestazioni abbastanza coerenti e normali durante… l'evento DDoS. Tuttavia, c'è un piccolo blip che si presenta".

"Vediamo", ha detto Rudger, "che gli agenti europei hanno avuto tempi di risposta più lenti, fino al 40% più lenti della media, tra le 8:30 e le 14:30 (PST) il 26 marzo. È possibile che l'attacco Spamhaus potrebbe essere correlato a questo rallentamento, ma non possiamo esserne certi ". Rudger ha osservato che migliaia di persone che trasmettono in streaming la grande partita di calcio che si sono verificate nello stesso momento potrebbero spiegare il rallentamento. "Rifiuta l'affermazione secondo cui l'attacco ha causato giorni di interruzione, dicendo:" Semplicemente non vediamo dai nostri dati ".

Solo Hype?

In un ampio post sul blog, Sam Biddle di Gizmodo fa un passo avanti, accusando CloudFlare di sopravvalutare il problema a proprio vantaggio. CloudFlare, afferma Biddle, è "responsabile del rapporto meteorologico di Internet che cade in cielo, la parte che trarrà profitto direttamente da te preoccupata che Internet come sappiamo che è sotto assedio".

L'articolo di Biddle mostra grafici da fonti indipendenti (simili a Keynote) che non mostrano picchi di traffico o cali nei tempi di risposta. Un rapporto di Amazon sull'hosting di Netflix ha mostrato zero interruzioni durante la settimana. Un portavoce di NTT, "uno degli operatori di backbone di Internet", ha affermato che mentre un attacco di 300 Gbps è enorme, la maggior parte delle regioni ha capacità nella gamma di Tbps, concludendo "Io mi schierò con te chiedendo se ha scosso Internet globale".

Biddle conclude che CloudFlare stava "cercando di spaventare i residenti di Internet pensando di essere i residenti di Dresda per fare affari". "Se il tuo prodotto vale la pena, " disse Biddle, "non dovresti mentire a Internet per venderlo". Parole forti davvero.

Fare luce sul problema

Adam Wosotowsky, Messaging Data Architect presso McAfee Labs, ha voglia di ridurre il CloudFlare. Anche se hanno riformulato la situazione, "non vi è alcun danno in essa". Sottolinea che attirare l'attenzione sul problema può aiutare "i siti meno preparati là fuori che non sono pronti per questo tipo di situazione semplicemente perché non prendono in giro i nidi dei calabroni tutto il giorno". Spargere la voce significa che quelle società "potrebbero trarre vantaggio dal sapere che il loro problema non è unico e che in realtà ci sono aziende specializzate nell'aiutarle a evitare gli attacchi".

Per quanto riguarda il rallentamento segnalato, Wosotowsky ha confermato che McAfee ha riscontrato che alcuni siti Web sono "colpiti in modo significativo". Ha osservato che a causa delle dimensioni dell'attacco potrebbe benissimo influenzare "i servizi tangenziali che a un certo punto del loro percorso utilizzano la stessa larghezza di banda".

"Il fatto che un colossale impazzire non sia giustificato", ha detto Wosotowsky, "non riduce l'importanza dell'analisi… Dal punto di vista dello sradicamento di rifugi sicuri per autori di malware e maestri del bot, la storia è davvero degna."

Denaro e potere

Il team di ricerca e analisi globale di Kaspersky Lab non ha espresso dubbi sulla gravità dell'attacco, rilevando che "il flusso di dati generato da tale attacco può influire sui nodi di rete intermedi quando li attraversa, impedendo così le operazioni dei normali servizi Web che non hanno alcuna relazione con Spamhaus o Cyberbunker. " Hanno continuato osservando che "gli attacchi DDoS di questo tipo stanno crescendo in termini di quantità e dimensioni".

Perché questo aumento? Il team ha notato due motivazioni principali (e talvolta sovrapposte). "I criminali informatici conducono attacchi DDoS per sconvolgere le aziende nel tentativo di estorcere denaro da loro", ha detto il team. Possono anche "attacchi DDoS come arma per sconvolgere organizzazioni o società alla ricerca dei propri interessi ideologici, politici o personali". Ad ogni modo, enormi attacchi DDoS come questo possono interrompere il servizio per qualcosa di più del solo bersaglio dell'attacco.

Fai attenzione!

L'attacco di CyberBunker ha utilizzato la riflessione DNS, una tecnica che consente loro di inviare un pacchetto di dati minuscolo che a sua volta fa sì che un server DNS emetta un pacchetto molto più grande sulla destinazione. In effetti, amplifica cento volte l'attacco. Sì, ci sono altri modi per implementare un attacco DDoS, ma questo è il BFG9000 del gruppo. Rendere impossibile la riflessione DNS sarebbe una buona cosa.

Il progetto Open DNS Resolver elenca oltre 25 milioni di server che i loro test mostrano "rappresentano una minaccia significativa". Ragazzi, attenzione! I server DNS della tua azienda sono in quell'elenco? Fai una piccola ricerca e proteggili da attacchi come lo spoofing dell'indirizzo IP. Ti ringrazeremo tutti.