Facebook Messenger condividere la posizione in tempo reale con Live Location
27 marzo 2017
Apple security – Autenticazione a due fattori per ID Apple
28 marzo 2017
Mostra tutti

DDoS Attack – Storia ed evoluzione della frontiera del Cybercrimine

DDoS Attack  – Storia ed evoluzione della frontiera del Cybercrimine

DDoS Attack – Locuzione denial of service (in italiano letteralmente negazione del servizio  abbreviato in DoS) nel campo della sicurezza informatica indica un malfunzionamento dovuto ad un attacco informatico in cui si fanno esaurire deliberatamente le risorse di un sistema informatico che fornisce un servizio ai client, ad esempio un sito web su un web server, fino a renderlo non più in grado di erogare il servizio ai client richiedenti.

Oltre al senso primario di denial of service come azione deliberata ci si può riferire ad esso come azione accidentale, in seguito per esempio ad una errata configurazione, o come nel caso dell’effetto Slashdot.

Quindi sta per accadere: l’abbreviazione “DDoS” è entrata così tanto nel lessico che spesso in questi giorni la parola non viene scritta per intero nei giornali di interesse pubblico. Beh, alcuni magari non sanno ancora cosa significa l’abbreviazione, ma tutti, perfino i cani, sanno che un DDoS è pericoloso su vasta scala, che provoca l’improvviso non funzionamento di qualcosa molto importante e allora gli impiegati si girano i pollici dal momento che la rete non funziona e i telefoni del supporto tecnico devono farsi una doccia fredda dal momento che il telefono bolle a causa delle chiamate (e clienti contrariati li riempiono di parolacce). Inoltre, tutti sanno che normalmente un attacco DDoS viene effettuato da cybercriminali sconosciuti, misteriosi e pericolosi.

Gli attacchi DDoS si sono evoluti molto velocemente, come capirete leggendo questo post. Sono più pericolosi e molto più avanzati dal punto di vista tecnico; adottano di volta in volta metodi d’attacco assolutamente insoliti; cercano sempre nuovi obiettivi; stabiliscono nuovi record mondiali dal momento che sono i DDoS più grandi e pericolosi di sempre. Ma poi anche il mondo in cui si sono trovati i DDoS si è evoluto velocemente. Tutto, anche il lavello della cucina, è connesso alla rete: il numero di dispositivi “intelligenti” connessi alla rete supera di gran lunga il numero dei buon vecchi computer fissi e dei portatili.

Il risultato di queste due evoluzioni in parallelo (quella dei DDoS e del panorama digitale in cui questi risiedono) ci ha portato a notizie ugualmente evolute: le botnet formate da telecamere IP e router Wi-Fi di casa che violano i registri DDoS (Mirai) e grandi attacchi DDoS alle banche russe.

Storia ed evoluzione degli attacchi DDos

Ecco una lista dei “Top Attack DDoS” di tutti i tempi. “Top” non in senso positivo del termine ma in senso negativo, capite cosa intendo!!! Tutte e otto hanno causato seri danni ad una buona parte di Internet ed a tutti i servizi ad esso collegati.

Prima di iniziare, faccio una precisazione: non sono tutti e otto “attacchi DDoS” stando al senso che si attribuisce oggi alla parola; ad ogni modo, l’elemento “diffuso” era presente in tutti e otto, dal momento che hanno causato un’interruzione della rete.

Il Morris worm (1988)

Mentre era ancora un laureando, Robert Tappan Morris ha sviluppato il suo worm esclusivamente per scopi di ricerca (“per misurare le dimensioni di Internet”). Ad ogni modo, come sempre, nascosto nel codice c’era un errore, a causa del quale il worm non poteva determinare se un sistema fosse “pulito” o infetto (da sé!). Invece di un attacco una tantum sui computer remoti, il worm si è copiato in uno stesso sistema tantissime volte… Di conseguenza la rete è crollata (tutti i 60.000 nodi della rete). L’ARPANET infetta (un primo prototipo di Internet) aveva realizzato un attacco DDoS su se stessa!

Morris si è dichiarato colpevole, si è pentito e gli sono stati assegnati 400 ore di servizi sociali e una multa di 10.000 dollari.

Melissa (1999)

David Smith, creatore di Melissa, il virus delle mail di massa che ha lasciato Microsoft e Intel senza email. Un semplice macrovirus di posta elettronica che ha colpito i documenti di MS Office. Se un utente apriva un file, il virus inviava questo fino a 50 destinatari dall’elenco degli indirizzi della vittima. Quindi, vi chiederete dove sia il collegamento con i DDoS…

Beh, quelle 50 email inviate da ogni vittima ha causato un’enorme gigantesca epidemia, che ha perso il controllo: l’attacco si è diffuso nel mondo. Non aveva un target particolare, mirava però all’intero sistema di email! Il macrovirus è riuscito ad accrescere il traffico mondiale di mail e ha obbligato molte aziende a disabilitare semplicemente i propri server di posta elettronica. Anche questo programmatore di virus è stato catturato, processato e accusato.

DDoS Attack ad Amazon, eBay, Dell, CNN e altri (2000)

Questo DDoS è forse il più eclatante, ha provocato danni immensi e il colpevole dell’attacco è stato a mala pena punito. Ecco cosa è accaduto: un hacker di 15 anni, conosciuto con il nome di MafiaBoy ha bloccato quasi tutti i principali portali Internet, incluso Yahoo!, poi il principale motore di ricerca (Google era ancora in fasce). Si stima che il danno finanziario causato da MafiaBoy sia di 1,2 miliardi di dollari. Il motivo per cui ha fatto quel che ha fatto era abbastanza comune in quel periodo: voleva solo mostrare al mondo cibernetico quanto fosse bravo. Non era interessato al denaro. Si trattava solo di ego adolescenziale, aiutato dalla vulnerabilità di Internet. Dal momento che era ancora minorenne, il tribunale canadese l’ha condannato a soli otto mesi in riformatorio.

Code Red(2001)

Eccone un altro risalente al periodo precedente all’era del cybercrimine come lo conosciamo oggi; in quanto tale, non era alla ricerca di denaro. Era semplicemente cattiveria per puro piacere. Code Red ha attaccato i computer con il server web Microsoft IIS. Ha lasciato dei messaggi che dicevano “Hackerato dai cinesi” e hanno anche bloccato il sito della Casa Bianca.

Il worm ha fatto tre cose:

a) Ha sostituito il contenuto utile di una pagina con la seguente frase:

DDoS Attack, DDos, Attack, Cybercrime, virus, worm,

b) Si è diffuso tra i nuovi server del web;

c) Ha realizzato gli attacchi DDoS in una serie predefinita di indirizzi web (incluso quello della Casa Bianca, che è crollato in un lasso di tempo predefinito, come previsto dalla voce corrispondente nel codice).

Ha colpito oltre un milione (!) di server web nel mondo, una parte considerevole di tutto Internet. Si trovava solo nella memoria dei computer delle vittime, senza creare alcun file.

Chi ha creato Code Red e perché lo ha fatto resta ancora un mistero.

La cosa particolarmente interessante di Code Red è che la vulnerabilità nel server web utilizzata dal worm era stata risolta da Microsoft un mese prima dell’attacco. La morale: non rimandate mai gli aggiornamenti!

SQL Slammer (2003)

Si tratta di una cattiveria piccola ma MOLTO pericolosa (complessivamente 376 bytes, non mancavano i “kilo”, i “mega” o i “giga”). A gennaio 2003 è riuscito ad infettare centinaia di migliaia di server di tutto il mondo in 15 minuti, ad aumentare il traffico globale del 25% e a lasciare la Corea del Sud senza Internet e telefonia mobile (!) per diverse ore, dal momento che l’attacco DDoS aveva distrutto il paese. Inoltre, il problema di Microsoft SQL Server 2000 era stato già risolto (non una mese ma ben sei mesi prima, proprio come Code Red)!

Estonia(2006)

Nel 2007 il governo dell’Estonia ha deciso di muovere il soldato di bronzo di Tallinn, costruito nel luogo in cui sono avvenute numerose guerre, dalla capitale al vicino Cimitero Militare di Tallinn. La statua è stata costruita in memoria del soldati sovietici morti durante la Seconda Guerra Mondiale mentre combattevano contro le truppe naziste. La comunità estone russofona si è opposta fortemente ed ha continuato a farlo, provocando due notti di sommosse e arresti di massa. Ecco il panorama in breve.

Quando il monumento è stato spostato, è stato lanciato un DDoS storico su varie organizzazioni estoni. Non era il più grande DDoS della storia, ma è stata la prima volta che le botnet di criminali hanno minacciato la sicurezza nazionale di un paese: l’Internet estone era praticamente bloccato. Le banche, i provider di Internet, i giornali, i siti dei governi…erano tutti arrivati a un punto di stallo. Si dice che dietro tutto questo ci fosse lo stato russo, ma non possiamo confermarlo. Sappiamo solo che erano state utilizzate botnet criminali, così come persone eccessivamente entusiaste.

La lezione principale dall’attacco in Estonia: il cybercrimine è diventato una possibile minaccia alla sicurezza nazionale ed internazionale e il mondo digitale che abbiamo costruito risulta essere estremamente vulnerabile.

DDoS nel sud della Russia (2007)

Si tratta di un attacco DDoS meno conosciuto ma non per questo meno importante. Durante l’estate del 2007 nella regione della Krasnodar, nel sud della Russia, le città di Adygea e Astrakhan avevano solo una copertura Internet intermittente (si sconnetteva e si riconnetteva in continuazione). Sembra che il motivo di tutto questo fosse un DDoS che aveva bloccato il provider della rete dell’intera regione.

Ovviamente si è creato il panico, gli ingegneri non si fermavano un attimo, i router (e i cervelli) fumavano, volavano imprecazioni, i clienti (anche i VIP) iniziavano a chiedere quando tornasse la connessione Internet e le forze dell’ordine si chiedevano chi fossero i tizi che dovevano arrestare (e per quale motivo).

Per un intero mese si sono verificate ondate di attacchi, raggiungendo l’incredibile (per quei tempi) cifra di 10 gigabytes al secondo. Gli attacchi erano anche molto strani: utilizzavano botnet, ma facevano più uso di file che scambiavano con i siti peer, che ai tempi non riguardavano i progetti di ricerca. Non si è mai scoperto chi ci fosse dietro questi attacchi.

Questo attacco DDoS è stato un momento cruciale per la Russia. L’intero Internet di un’intera regione veniva acceso e spento come una torcia e nessuno poteva farci niente. Prima di questo incidente nessuno aveva notato le minacce DDoS; poi avvenne il contrario: venivano trattati come minacce gravi che dovevano essere prese sul serio.

DDoS politico in Russia(2011-2012)

Tra dicembre 2011 e marzo 2012 ci sono state molte tensioni politiche in Russia: si sono svolte sia il Duma (il parlamento) che le elezioni presidenziali, accompagnate da tante dimostrazioni politiche. Come se non bastasse era in atto una guerra tra le diverse forze DDoS. Entrambe le opposizioni e i siti pro governo avevano subito un attacco DDoS. La morale: questa è stata la prima volta in Russia in cui i metodi del cybercrimine sono stati ampiamente applicati per scopi politici.

Cosa ci riserva il futuro del cybercrime?

Gli attacchi DDoS non si sono fermati nel 2012. In realtà è avvenuto proprio il contrario: il settore criminale dei DDoS è cresciuto notevolmente. Il motivo è chiaro: denaro. Anche gli attivisti si stanno occupando dei DDoS, cosí come anche i “cyber generali” nel mondo intero.

Oggi è difficile pensare ad un’epidemia come Slammer (ma adesso con così tanti dispositivi “intelligenti” connessi a Internet e con così tanti dati di scambio, tutto può succedere). Ma i cybercriminali non si arrendono e i recenti attacchi DDoS all’Internet delle cose ne sono la prova. La nostra dipendenza da Internet e dai kit intelligenti sta aumentando, così come anche i danni potenziali derivati da qualsiasi interruzione della rete.

Esempi di attacchi DoS

  • Bomba a decompressione –  conosciuta anche come Zip bomb o Zip of Death , è un tipo di attacco denial of service. In particolare, si tratta di un archivio compresso malevolo, studiato per mandare in crash o rendere inutile il programma o il sistema che lo legge. È usato spesso per disabilitare un software antivirus, in maniera tale che un virus tradizionale possa poi inserirsi indisturbato nel sistema.

    Piuttosto che dirottare le normali operazioni del programma, una bomba a decompressione permette al programma di funzionare normalmente, ma l’archivio è fatto in maniera tale che decomprimendolo (ad esempio per la scansione antivirus) esso richieda enormi quantità di tempo, spazio su disco e memoria.

    Una bomba a decompressione è solitamente un file di ridotte dimensioni (poche centinaia di kB), per essere facilmente trasferito e non destare sospetti. Comunque, quando il file viene decompresso il suo contenuto è molto superiore a quanto il sistema possa supportare.

    Il termine Zip bomb è stato probabilmente coniato nel luglio 2001, ma la stessa tecnica è stata usata fin da quando i programmi di compressione dati sono nati.

    Al giorno d’oggi, molti programmi antivirus sono in grado di rilevare le bombe a decompressione ed evitano così di decomprimerle.

    Un esempio di bomba a decompressione era il file 42.zip, che aveva dimensioni pari a 42 KB di dati compressi, contenente gruppi di 16 file zip annidati su sei livelli (contenenti ognuno 4,3 GB di file, per un totale di 4,5 PB di dati non compressi).

  • Rabbit -I bacteria (detti anche rabbit o wabbit) sono un tipo di malware che attacca le risorse del sistema duplicando in continuazione la propria immagine su disco, o attivando nuovi processi a partire dal proprio eseguibile, in modo da consumare tutte le risorse disponibili sul sistema in pochissimo tempo. Entrambi i nomi si riferiscono proprio alla prolificità di questo “infestante” (rabbit è l’inglese per coniglio). Si distinguono dai virus in quanto non “infettano” i file.

    Oltre ad autoriprodursi velocemente, i rabbit possono avere altri effetti malevoli. Un esempio di rabbit è la fork bomb, dal nome del comando Unix sfruttato: fork.

    L’origine probabile del termine è la pronuncia da parte del personaggio dei cartoni animati Elmer Fudd (Taddeo), dell’universo di Bugs Bunny, della parola “rabbit”, in inglese: coniglio. Tale personaggio è un cacciatore che viene ridicolizzato, tra l’altro, per la sua incapacità a pronunciare le “r”: “rabbit” diventa “wabbit”; inoltre i conigli, come Bugs Bunny, possono riprodursi a gran velocità.

Come difendersi dagli attacchi DDos

Soluzioni che rispettano lo standard:

  • Dimensionare dinamicamente la Backlog Queue;
  • Diminuire il TTL per le richieste in attesa (Half Open Connection).

Soluzioni che non rispettano lo standard:

  • Scartare TCP SYN casualmente;
  • Inserire le richieste solo al completamento del 3-Way Handshake (alla ricezione dell’ACK finale).

Protezione da attacchi DoS e DDoS

Implementare i filtri che presiedono all’ingresso, nei propri router e firewall, dei pacchetti contenenti informazioni sulla provenienza dei dati alterati (cioè spoofed); non si otterrà un arresto dell’attacco DoS ma si potrà ricostruire il flusso di traffico qualificato come “malefico” in tempi relativamente brevi, per consentire la reazione difensiva degli Internet service provider (anti spoofing).

  • Limitazione del Traffico
    Molti router consentono, attualmente, di limitare la quantità di banda utilizzata per la fornitura di un servizio attraverso il “campionamento” e l’analisi dei pacchetti che vi transitano. In caso di attacco non resterà attiva una quantità di banda sufficiente a provocare un danno cospicuo o a bloccare il flusso legittimo dei dati. Questa limitazione si otterrà ad esempio con l’utilizzazione di una macchina Linux che funga da Gateway attraverso un’azione CAR (Commited Access Rate); verrà così bloccato un attacco DDoS che usi pacchetti ICMP o TCP, SYN, poiché sarà considerevolmente limitata la banda utilizzabile da questi.
  • Sistemi di riconoscimento delle intrusioni
    Si tratta di sistemi commerciali in grado di individuare Trinoo e TFN. Ad esempio l’FBI fornisce, gratuitamente, un prodotto definito Find DDoS in grado di scoprire i file system visti sopra, risultato dell’attacco Distributed Denial of Service. Attraverso tali sistemi di verifica (Intrusion Detection System) vengono individuati i malintenzionati che comunicano tramite slave, agent e master, scoprendo se alcune delle macchine nella propria rete vengono usate, malignamente, come pedine per sferrare l’attacco. In particolare i Network Auditing Tools sono programmi che consentono la verifica e l’analisi della rete aziendale alla ricerca di eventuali agenti in grado di provocare un attacco di tipo DDoS.

Credits:

Valutazione Media
Last Reviewer
Reviewed Item
DDoS Attack - Storia ed evoluzione della frontiera del Cybercrimine
Rating
51star1star1star1star1star
Rocco Balzamà

Rocco Balzamà

Admin & CEO Rocco Balzamà Studio & Agency at ErreBi Group S.r.l.
Ethical Hacker | Blogger | Developer | Graphic & Web Designer | Consulente d'Immagine | Social Media Marketing Manager | Copywriter | SEO Specialist | Digital Influencer
Scarica APP