Video: Come migliorare la comprensione dell'inglese (Novembre 2024)
Qualunque sia l'effetto su Internet in generale, nessuno nega che questo attacco, con un picco di 300 Gbps, sia stato il più grande attacco DDoS mai registrato. Ma cos'è un attacco DDoS e quali sono le difese disponibili?
Come ha funzionato l'attacco
Un attacco Denial of Service semplicemente sovraccarica i server della vittima inondandoli di dati, più dati di quanti i server possano gestire. Ciò può interrompere l'attività della vittima o mettere offline il suo sito Web. Lanciare un attacco del genere da una singola posizione Web è inefficace, poiché la vittima può bloccare rapidamente quel traffico. Gli aggressori spesso lanciano un attacco Distributed Denial of Service tramite migliaia di sfortunati computer controllati da una botnet.
David Gibson, VP of Strategy per Varonis, società globale per la protezione dei dati, ha spiegato il processo in termini semplici. "Immagina che un utente malintenzionato possa falsificare il tuo numero di telefono in modo che il tuo numero venga visualizzato sui telefoni di altre persone quando l'attaccante chiama", ha detto. "Ora immagina che l'attaccante chiama un gruppo di persone e riattacca prima che rispondano. Probabilmente riceverai un sacco di chiamate da quelle persone… Ora immagina che migliaia di aggressori lo facciano: dovresti sicuramente cambiare telefono numero. Con un numero sufficiente di chiamate, l'intero sistema telefonico sarebbe compromesso."
Ci vuole tempo e fatica per creare una botnet o denaro per noleggiarne una. Piuttosto che andare a quel problema, l'attacco di CyberBunker ha sfruttato il sistema DNS, un componente assolutamente essenziale di Internet di oggi.
CyberBunker ha individuato decine di migliaia di server DNS che erano vulnerabili allo spoofing dell'indirizzo IP, ovvero all'invio di una richiesta Web e alla falsificazione dell'indirizzo di ritorno. Una piccola query dell'attaccante ha provocato una risposta centinaia di volte più grande e tutte quelle risposte importanti hanno colpito i server della vittima. Estendendo l'esempio di Gibson, è come se ogni telefonata dell'aggressore trasformasse il tuo numero in rabbiosi telemarketing.
Cosa si può fare?
Non sarebbe bello se qualcuno inventasse la tecnologia per sventare questi attacchi? In verità lo hanno già fatto, tredici anni fa. Nel maggio del 2000, l'Internet Engineering Task Force ha pubblicato il documento sulle migliori pratiche attuali noto come BCP38. BCP38 definisce il problema e descrive "un metodo semplice, efficace e diretto… per proibire gli attacchi DoS che utilizzano indirizzi IP falsi".
"L'80% dei provider di servizi Internet ha già implementato le raccomandazioni in BCP38", ha osservato Gibson. "È il restante 20 percento che rimane responsabile per consentire il traffico contraffatto". Mettendo il problema in termini semplici, Gibson ha dichiarato: "Immagina se il 20 percento dei conducenti su strada non obbedisse ai segnali stradali: non sarebbe più sicuro guidare".
Lock It Down
I problemi di sicurezza qui descritti si verificano a livello, molto al di sopra del computer di casa o aziendale. Non sei tu quello che può o deve implementare una soluzione; questo è un lavoro per il dipartimento IT. È importante sottolineare che i ragazzi IT devono gestire correttamente la distinzione tra due diversi tipi di server DNS. Spiegazione di Corey Nachreiner, CISSP e Director of Security Strategy della società di sicurezza di rete WatchGuard.
"Un server DNS autorevole è un server che comunica al resto del mondo il dominio della tua azienda o organizzazione", ha affermato Nachreiner. "Il tuo server autorevole dovrebbe essere disponibile a chiunque su Internet, tuttavia, dovrebbe rispondere solo alle domande sul dominio della tua azienda." Oltre al server DNS autorevole rivolto verso l'esterno, le aziende hanno bisogno di un server DNS ricorsivo rivolto verso l'interno. "Un server DNS ricorsivo è destinato a fornire ricerche di dominio a tutti i dipendenti", ha spiegato Nachreiner. "Dovrebbe essere in grado di rispondere alle domande su tutti i siti su Internet, ma dovrebbe rispondere solo alle persone della tua organizzazione."
Il problema è che molti server DNS ricorsivi non limitano correttamente le risposte alla rete interna. Per eseguire un attacco di riflessione DNS, i cattivi devono solo trovare un gruppo di quei server configurati in modo errato. "Mentre le aziende hanno bisogno di server DNS ricorsivi per i loro dipendenti", ha concluso Nachreiner, "NON DOVREBBERO aprire questi server alle richieste di chiunque su Internet."
Rob Kraus, direttore della ricerca presso il gruppo di ricerca ingegneristica di Solutionary (SERT), ha sottolineato che "conoscere l'aspetto della propria architettura DNS sia dall'interno che dall'esterno può aiutare a identificare le lacune nella distribuzione DNS delle organizzazioni". Ha consigliato di assicurarsi che tutti i server DNS siano completamente patchati e protetti su specifica. Per essere sicuro di aver fatto bene, Kraus suggerisce "l'uso di esercizi di hacking etici aiuta a scoprire errori di configurazione".
Sì, ci sono altri modi per lanciare attacchi DDoS, ma la riflessione DNS è particolarmente efficace a causa dell'effetto di amplificazione, in cui una piccola quantità di traffico proveniente dall'attaccante genera una quantità enorme di vittime. La chiusura di questo particolare viale costringerà almeno i cybercriminali a inventare un nuovo tipo di attacco. Questo è un progresso, in un certo senso.