Mostra tutti

DDoS Attack – Storia ed evoluzione della frontiera del Cybercrimine

DDoS Attack  – Storia ed evoluzione della frontiera del Cybercrimine

DDoS Attack – Locuzione denial of service (in italiano letteralmente negazione del servizio  abbreviato in DoS) nel campo della sicurezza informatica indica un malfunzionamento dovuto ad un attacco informatico in cui si fanno esaurire deliberatamente le risorse di un sistema informatico che fornisce un servizio ai client, ad esempio un sito web su un web server, fino a renderlo non più in grado di erogare il servizio ai client richiedenti.

Oltre al senso primario di denial of service come azione deliberata ci si può riferire ad esso come azione accidentale, in seguito per esempio ad una errata configurazione, o come nel caso dell’effetto Slashdot.

Quindi sta per accadere: l’abbreviazione “DDoS” è entrata così tanto nel lessico che spesso in questi giorni la parola non viene scritta per intero nei giornali di interesse pubblico. Beh, alcuni magari non sanno ancora cosa significa l’abbreviazione, ma tutti, perfino i cani, sanno che un DDoS è pericoloso su vasta scala, che provoca l’improvviso non funzionamento di qualcosa molto importante e allora gli impiegati si girano i pollici dal momento che la rete non funziona e i telefoni del supporto tecnico devono farsi una doccia fredda dal momento che il telefono bolle a causa delle chiamate (e clienti contrariati li riempiono di parolacce). Inoltre, tutti sanno che normalmente un attacco DDoS viene effettuato da cybercriminali sconosciuti, misteriosi e pericolosi.

Gli attacchi DDoS si sono evoluti molto velocemente, come capirete leggendo questo post. Sono più pericolosi e molto più avanzati dal punto di vista tecnico; adottano di volta in volta metodi d’attacco assolutamente insoliti; cercano sempre nuovi obiettivi; stabiliscono nuovi record mondiali dal momento che sono i DDoS più grandi e pericolosi di sempre. Ma poi anche il mondo in cui si sono trovati i DDoS si è evoluto velocemente. Tutto, anche il lavello della cucina, è connesso alla rete: il numero di dispositivi “intelligenti” connessi alla rete supera di gran lunga il numero dei buon vecchi computer fissi e dei portatili.

Il risultato di queste due evoluzioni in parallelo (quella dei DDoS e del panorama digitale in cui questi risiedono) ci ha portato a notizie ugualmente evolute: le botnet formate da telecamere IP e router Wi-Fi di casa che violano i registri DDoS (Mirai) e grandi attacchi DDoS alle banche russe.

Storia ed evoluzione degli attacchi DDos

Ecco una lista dei “Top Attack DDoS” di tutti i tempi. “Top” non in senso positivo del termine ma in senso negativo, capite cosa intendo!!! Tutte e otto hanno causato seri danni ad una buona parte di Internet ed a tutti i servizi ad esso collegati.

Prima di iniziare, faccio una precisazione: non sono tutti e otto “attacchi DDoS” stando al senso che si attribuisce oggi alla parola; ad ogni modo, l’elemento “diffuso” era presente in tutti e otto, dal momento che hanno causato un’interruzione della rete.

Il Morris worm (1988)

Mentre era ancora un laureando, Robert Tappan Morris ha sviluppato il suo worm esclusivamente per scopi di ricerca (“per misurare le dimensioni di Internet”). Ad ogni modo, come sempre, nascosto nel codice c’era un errore, a causa del quale il worm non poteva determinare se un sistema fosse “pulito” o infetto (da sé!). Invece di un attacco una tantum sui computer remoti, il worm si è copiato in uno stesso sistema tantissime volte… Di conseguenza la rete è crollata (tutti i 60.000 nodi della rete). L’ARPANET infetta (un primo prototipo di Internet) aveva realizzato un attacco DDoS su se stessa!

Morris si è dichiarato colpevole, si è pentito e gli sono stati assegnati 400 ore di servizi sociali e una multa di 10.000 dollari.

Melissa (1999)

David Smith, creatore di Melissa, il virus delle mail di massa che ha lasciato Microsoft e Intel senza email. Un semplice macrovirus di posta elettronica che ha colpito i documenti di MS Office. Se un utente apriva un file, il virus inviava questo fino a 50 destinatari dall’elenco degli indirizzi della vittima. Quindi, vi chiederete dove sia il collegamento con i DDoS…

Beh, quelle 50 email inviate da ogni vittima ha causato un’enorme gigantesca epidemia, che ha perso il controllo: l’attacco si è diffuso nel mondo. Non aveva un target particolare, mirava però all’intero sistema di email! Il macrovirus è riuscito ad accrescere il traffico mondiale di mail e ha obbligato molte aziende a disabilitare semplicemente i propri server di posta elettronica. Anche questo programmatore di virus è stato catturato, processato e accusato.

DDoS Attack ad Amazon, eBay, Dell, CNN e altri (2000)

Questo DDoS è forse il più eclatante, ha provocato danni immensi e il colpevole dell’attacco è stato a mala pena punito. Ecco cosa è accaduto: un hacker di 15 anni, conosciuto con il nome di MafiaBoy ha bloccato quasi tutti i principali portali Internet, incluso Yahoo!, poi il principale motore di ricerca (Google era ancora in fasce). Si stima che il danno finanziario causato da MafiaBoy sia di 1,2 miliardi di dollari. Il motivo per cui ha fatto quel che ha fatto era abbastanza comune in quel periodo: voleva solo mostrare al mondo cibernetico quanto fosse bravo. Non era interessato al denaro. Si trattava solo di ego adolescenziale, aiutato dalla vulnerabilità di Internet. Dal momento che era ancora minorenne, il tribunale canadese l’ha condannato a soli otto mesi in riformatorio.

Code Red (2001)

Eccone un altro risalente al periodo precedente all’era del cybercrimine come lo conosciamo oggi; in quanto tale, non era alla ricerca di denaro. Era semplicemente cattiveria per puro piacere. Code Red ha attaccato i computer con il server web Microsoft IIS. Ha lasciato dei messaggi che dicevano “Hackerato dai cinesi” e hanno anche bloccato il sito della Casa Bianca.

Il worm ha fatto tre cose:

a) Ha sostituito il contenuto utile di una pagina con la seguente frase:

DDoS Attack, DDos, Attack, Cybercrime, virus, worm,

b) Si è diffuso tra i nuovi server del web;

c) Ha realizzato gli attacchi DDoS in una serie predefinita di indirizzi web (incluso quello della Casa Bianca, che è crollato in un lasso di tempo predefinito, come previsto dalla voce corrispondente nel codice).

Ha colpito oltre un milione (!) di server web nel mondo, una parte considerevole di tutto Internet. Si trovava solo nella memoria dei computer delle vittime, senza creare alcun file.

Chi ha creato Code Red e perché lo ha fatto resta ancora un mistero.

La cosa particolarmente interessante di Code Red è che la vulnerabilità nel server web utilizzata dal worm era stata risolta da Microsoft un mese prima dell’attacco. La morale: non rimandate mai gli aggiornamenti!

SQL Slammer (2003)

Si tratta di una cattiveria piccola ma MOLTO pericolosa (complessivamente 376 bytes, non mancavano i “kilo”, i “mega” o i “giga”). A gennaio 2003 è riuscito ad infettare centinaia di migliaia di server di tutto il mondo in 15 minuti, ad aumentare il traffico globale del 25% e a lasciare la Corea del Sud senza Internet e telefonia mobile (!) per diverse ore, dal momento che l’attacco DDoS aveva distrutto il paese. Inoltre, il problema di Microsoft SQL Server 2000 era stato già risolto (non una mese ma ben sei mesi prima, proprio come Code Red)!

Estonia (2006)

Nel 2007 il governo dell’Estonia ha deciso di muovere il soldato di bronzo di Tallinn, costruito nel luogo in cui sono avvenute numerose guerre, dalla capitale al vicino Cimitero Militare di Tallinn. La statua è stata costruita in memoria del soldati sovietici morti durante la Seconda Guerra Mondiale mentre combattevano contro le truppe naziste. La comunità estone russofona si è opposta fortemente ed ha continuato a farlo, provocando due notti di sommosse e arresti di massa. Ecco il panorama in breve.

Quando il monumento è stato spostato, è stato lanciato un DDoS storico su varie organizzazioni estoni. Non era il più grande DDoS della storia, ma è stata la prima volta che le botnet di criminali hanno minacciato la sicurezza nazionale di un paese: l’Internet estone era praticamente bloccato. Le banche, i provider di Internet, i giornali, i siti dei governi…erano tutti arrivati a un punto di stallo. Si dice che dietro tutto questo ci fosse lo stato russo, ma non possiamo confermarlo. Sappiamo solo che erano state utilizzate botnet criminali, così come persone eccessivamente entusiaste.

La lezione principale dall’attacco in Estonia: il cybercrimine è diventato una possibile minaccia alla sicurezza nazionale ed internazionale e il mondo digitale che abbiamo costruito risulta essere estremamente vulnerabile.

DDoS nel sud della Russia (2007)

Si tratta di un attacco DDoS meno conosciuto ma non per questo meno importante. Durante l’estate del 2007 nella regione della Krasnodar, nel sud della Russia, le città di Adygea e Astrakhan avevano solo una copertura Internet intermittente (si sconnetteva e si riconnetteva in continuazione). Sembra che il motivo di tutto questo fosse un DDoS che aveva bloccato il provider della rete dell’intera regione.

Ovviamente si è creato il panico, gli ingegneri non si fermavano un attimo, i router (e i cervelli) fumavano, volavano imprecazioni, i clienti (anche i VIP) iniziavano a chiedere quando tornasse la connessione Internet e le forze dell’ordine si chiedevano chi fossero i tizi che dovevano arrestare (e per quale motivo).

Per un intero mese si sono verificate ondate di attacchi, raggiungendo l’incredibile (per quei tempi) cifra di 10 gigabytes al secondo. Gli attacchi erano anche molto strani: utilizzavano botnet, ma facevano più uso di file che scambiavano con i siti peer, che ai tempi non riguardavano i progetti di ricerca. Non si è mai scoperto chi ci fosse dietro questi attacchi.

Questo attacco DDoS è stato un momento cruciale per la Russia. L’intero Internet di un’intera regione veniva acceso e spento come una torcia e nessuno poteva farci niente. Prima di questo incidente nessuno aveva notato le minacce DDoS; poi avvenne il contrario: venivano trattati come minacce gravi che dovevano essere prese sul serio.

DDoS politico in Russia (2011-2012)

Tra dicembre 2011 e marzo 2012 ci sono state molte tensioni politiche in Russia: si sono svolte sia il Duma (il parlamento) che le elezioni presidenziali, accompagnate da tante dimostrazioni politiche. Come se non bastasse era in atto una guerra tra le diverse forze DDoS. Entrambe le opposizioni e i siti pro governo avevano subito un attacco DDoS. La morale: questa è stata la prima volta in Russia in cui i metodi del cybercrimine sono stati ampiamente applicati per scopi politici.

Cosa ci riserva il futuro del cybercrime?

Gli attacchi DDoS non si sono fermati nel 2012. In realtà è avvenuto proprio il contrario: il settore criminale dei DDoS è cresciuto notevolmente. Il motivo è chiaro: denaro. Anche gli attivisti si stanno occupando dei DDoS, cosí come anche i “cyber generali” nel mondo intero.

Oggi è difficile pensare ad un’epidemia come Slammer (ma adesso con così tanti dispositivi “intelligenti” connessi a Internet e con così tanti dati di scambio, tutto può succedere). Ma i cybercriminali non si arrendono e i recenti attacchi DDoS all’Internet delle cose ne sono la prova. La nostra dipendenza da Internet e dai kit intelligenti sta aumentando, così come anche i danni potenziali derivati da qualsiasi interruzione della rete.

Esempi di attacchi DoS

  • Bomba a decompressione –  conosciuta anche come Zip bomb o Zip of Death, è un tipo di attacco denial of service. In particolare, si tratta di un archivio compresso malevolo, studiato per mandare in crash o rendere inutile il programma o il sistema che lo legge. È usato spesso per disabilitare un software antivirus, in maniera tale che un virus tradizionale possa poi inserirsi indisturbato nel sistema.

    Piuttosto che dirottare le normali operazioni del programma, una bomba a decompressione permette al programma di funzionare normalmente, ma l’archivio è fatto in maniera tale che decomprimendolo (ad esempio per la scansione antivirus) esso richieda enormi quantità di tempo, spazio su disco e memoria.

    Una bomba a decompressione è solitamente un file di ridotte dimensioni (poche centinaia di kB), per essere facilmente trasferito e non destare sospetti. Comunque, quando il file viene decompresso il suo contenuto è molto superiore a quanto il sistema possa supportare.

    Il termine Zip bomb è stato probabilmente coniato nel luglio 2001, ma la stessa tecnica è stata usata fin da quando i programmi di compressione dati sono nati.

    Al giorno d’oggi, molti programmi antivirus sono in grado di rilevare le bombe a decompressione ed evitano così di decomprimerle.

    Un esempio di bomba a decompressione era il file 42.zip, che aveva dimensioni pari a 42 KB di dati compressi, contenente gruppi di 16 file zip annidati su sei livelli (contenenti ognuno 4,3 GB di file, per un totale di 4,5 PB di dati non compressi).

  • Rabbit -I bacteria (detti anche rabbit o wabbit) sono un tipo di malware che attacca le risorse del sistema duplicando in continuazione la propria immagine su disco, o attivando nuovi processi a partire dal proprio eseguibile, in modo da consumare tutte le risorse disponibili sul sistema in pochissimo tempo. Entrambi i nomi si riferiscono proprio alla prolificità di questo “infestante” (rabbit è l’inglese per coniglio). Si distinguono dai virus in quanto non “infettano” i file.

    Oltre ad autoriprodursi velocemente, i rabbit possono avere altri effetti malevoli. Un esempio di rabbit è la fork bomb, dal nome del comando Unix sfruttato: fork.

    L’origine probabile del termine è la pronuncia da parte del personaggio dei cartoni animati Elmer Fudd (Taddeo), dell’universo di Bugs Bunny, della parola “rabbit”, in inglese: coniglio. Tale personaggio è un cacciatore che viene ridicolizzato, tra l’altro, per la sua incapacità a pronunciare le “r”: “rabbit” diventa “wabbit”; inoltre i conigli, come Bugs Bunny, possono riprodursi a gran velocità.

Come difendersi dagli attacchi DDos

Soluzioni che rispettano lo standard:

  • Dimensionare dinamicamente la Backlog Queue;
  • Diminuire il TTL per le richieste in attesa (Half Open Connection).

Soluzioni che non rispettano lo standard:

  • Scartare TCP SYN casualmente;
  • Inserire le richieste solo al completamento del 3-Way Handshake (alla ricezione dell’ACK finale).

Protezione da attacchi DoS e DDoS

Implementare i filtri che presiedono all’ingresso, nei propri router e firewall, dei pacchetti contenenti informazioni sulla provenienza dei dati alterati (cioè spoofed); non si otterrà un arresto dell’attacco DoS ma si potrà ricostruire il flusso di traffico qualificato come “malefico” in tempi relativamente brevi, per consentire la reazione difensiva degli Internet service provider (anti spoofing).

  • Limitazione del Traffico
    Molti router consentono, attualmente, di limitare la quantità di banda utilizzata per la fornitura di un servizio attraverso il “campionamento” e l’analisi dei pacchetti che vi transitano. In caso di attacco non resterà attiva una quantità di banda sufficiente a provocare un danno cospicuo o a bloccare il flusso legittimo dei dati. Questa limitazione si otterrà ad esempio con l’utilizzazione di una macchina Linux che funga da Gateway attraverso un’azione CAR (Commited Access Rate); verrà così bloccato un attacco DDoS che usi pacchetti ICMP o TCP, SYN, poiché sarà considerevolmente limitata la banda utilizzabile da questi.
  • Sistemi di riconoscimento delle intrusioni
    Si tratta di sistemi commerciali in grado di individuare Trinoo e TFN. Ad esempio l’FBI fornisce, gratuitamente, un prodotto definito Find DDoS in grado di scoprire i file system visti sopra, risultato dell’attacco Distributed Denial of Service. Attraverso tali sistemi di verifica (Intrusion Detection System) vengono individuati i malintenzionati che comunicano tramite slave, agent e master, scoprendo se alcune delle macchine nella propria rete vengono usate, malignamente, come pedine per sferrare l’attacco. In particolare i Network Auditing Tools sono programmi che consentono la verifica e l’analisi della rete aziendale alla ricerca di eventuali agenti in grado di provocare un attacco di tipo DDoS.

Credits:

libro vita da hacker

Ti potrebbero interessare

5 Febbraio 2024

EU AI ACT: la nuova normativa Europea sull’Intelligenza Artificiale

Continua
29 Gennaio 2024

Essere un imprenditore digitale nel 2024: strategie e sfide

Continua
8 Gennaio 2024

Hacker: mito e realtà nelle profondità della rete

Continua
5 Gennaio 2024

Tesla Optimus Gen 2: un nuovo capitolo nell’Innovazione dei robot umanoidi

Continua
22 Dicembre 2023

Vita da Hacker: Dal Commodore 64 all’Intelligenza Artificiale

Continua
26 Gennaio 2020

Email temporanea senza registrazione: naviga in sicurezza e sfrutta al meglio il Web

Continua
18 Gennaio 2020

Microsoft Browser Edge – Il nuovo aggiornamento basato sul motore Chromium

Continua
14 Gennaio 2020

Vulnerabilità critiche nei sistemi operativi Microsoft Windows – AA20-014A

Continua
10 Ottobre 2019

Cybersecurity Awareness Month 2019 – Più responsabilità individuale per la sicurezza informatica

Continua
9 Ottobre 2019

IOCTA 2019 – Valutazione annuale delle minacce alla criminalità organizzata su Internet

Continua
29 Settembre 2019

Sicurezza e cittadinanza digitale – Come utilizzare la tecnologia con buon senso

Continua
22 Settembre 2019

Come proteggere la tua azienda dai malware gratuitamente

Continua
17 Settembre 2019

Simjacker – Ecco come spiare i telefoni cellulari

Continua
14 Settembre 2019

DIGITAL BODYGUARD SERVICE – Guardia del corpo digitale per la tua privacy e reputazione online

Continua
11 Settembre 2019

Opzioni e valutazione delle impostazioni di sicurezza del browser Web

Continua
11 Settembre 2019

Cosa sono ed a cosa servono i cookie ed il contenuto attivo

Continua
30 Agosto 2019

Come proteggersi dai rischi legati all’uso dei social network

Continua
24 Agosto 2019

Cyber Health Check – Controllo dello stato cibernetico privato ed aziendale

Continua
21 Agosto 2019

Off-Facebook Activity – Il nuovo strumento per la privacy di Facebook

Continua
5 Agosto 2019

Come proteggere la Smart TV dalle minacce della rete

Continua
25 Luglio 2019

Privacy: Stop allo spam per i titolari delle fidelity card

Continua
16 Luglio 2019

Come difendersi dalle truffe online ed acquistare in sicurezza

Continua
2 Maggio 2019

Come mandare messaggi WhastApp multipli a tutti i contatti da pc

Continua
9 Aprile 2019

SMAU | Italy RestartsUp in London – Meet the Made in Italy Innovation

Continua
2 Aprile 2019

Penetration tester su piattaforma Windows – Comando VM Windows Offensive Distribution

Continua
15 Marzo 2019

Android Rogue Adware – Ecco la lista delle applicazioni infette dal codice “Simbad”

Continua
15 Marzo 2019

Educazione civica digitale e alla sicurezza online in Italia

Continua
12 Marzo 2019

Rischi e consigli per i pagamenti “Contactless”

Continua
11 Marzo 2019

Servizio di Scambio File in ambito eBay

Continua
27 Febbraio 2019

Come usare Metasploit Cheat Sheet

Continua
27 Febbraio 2019

Quanto la realtà virtuale influenza la pubblicità e le attività di advertising

Continua
9 Febbraio 2019

Password Checkup – Lo strumento di Google che controlla le credenziali compromesse

Continua
8 Febbraio 2019

Consulenti del lavoro – Quando sono responsabili del trattamento dei dati

Continua
1 Febbraio 2019

Safer Internet Day 2019 (SID) – Insieme per un internet migliore

Continua
7 Gennaio 2019

Cosa sono le BOTNET – Come proteggersi e rimuovere le infezioni

Continua
4 Gennaio 2019

Hackers Leak Personal Data in Germania – Online i dati di politici e personaggi noti

Continua