A cura di Ivan Straniero, Territory Manager Arbor Networks
L’incessante richiesta da parte degli abbonati di contenuti multimediali e dispositivi mobili sempre più intelligenti ha portato gli operatori di reti mobili (MNO, Mobile Network Operator) a registrare un incredibile aumento dei picchi di traffico sulle loro reti. Crescita che va ad affiancarsi a un’altra recente sfida per gli MNO costituita dalla garanzia di disponibilità e performance a livello di rete e di servizi proposti, al fine di ottimizzare la qualità dell’esperienza utente. Fallire in questa missione significa disattendere i parametri SLA (Service Level Agreement), danneggiare la reputazione del marchio e perdere clienti — tutti elementi che influiscono sul business nella sua totalità. È pertanto essenziale che gli MNO implementino soluzioni capaci di riconoscere proattivamente i modelli di traffico che minacciano la disponibilità e le performance dell’infrastruttura e dei servizi di rete.
Le minacce dirette contro le reti mobili
L’avvento dell’accesso wireless a Internet dai dispositivi mobili è stato naturalmente visto dai malintenzionati come un’opportunità per veicolare i loro attacchi. Generalmente i principali punti di impatto di queste attività sono due:
• I dispositivi mobili degli utenti finali: frodi basate su SMS a tariffazione premium, phishing SMS (SMSishing) e malware mobile sono alcuni esempi di come possano essere sfruttati per scopi illeciti i dispositivi mobili più avanzati (come smartphone e tablet) o gli utenti finali stessi che vengono dirottati verso siti o servizi Web fasulli che provvedono a ingannarli a fini di lucro.
• Infrastrutture e/o servizi MNO: gli attacchi Distributed Denial of Service (DDoS) sono in grado di influire in maniera diretta sull’infrastruttura bersaglio, oppure possono avere un impatto su di essa (e sulla capacità disponibile) semplicemente per via dell’aumento dei volumi di traffico o dei carichi di sessione. Questi attacchi possono condurre a scarse performance di rete, ripercuotersi sui servizi per gli abbonati, danneggiare la reputazione del marchio e generare perdite di clienti.
Sulle reti mobili gli attacchi DDoS possono scaturire da Internet o dagli utenti di servizi mobili:
• Da Internet: si tratta di attacchi che circolano ormai da anni. Le reti bot ad esempio, costituite da migliaia di PC violati su Internet, sono in grado di lanciare queste minacce ai danni dell’infrastruttura mobile che viene colpita a livello di firewall, performance dei GGSN o disponibilità dei servizi erogati tramite i data center, inclusa l’infrastruttura Domain Name System (DNS), i portali Web e così via.
• Da utenti/dispositivi mobili: gli MNO iniziano a dover fronteggiare minacce provenienti dai loro stessi dispositivi o abbonati. L’aumento degli app store e delle applicazioni mobili – spesso senza alcuna supervisione di sicurezza o alcun controllo – fa sì che i dispositivi compromessi connessi alla rete mobile (smartphone, tablet, M2M, laptop basati su chiavette 3G) entrino a far parte di reti bot e contribuiscano agli attacchi DDoS dal lato wireless della rete mobile. Questo genere di minacce consuma spazio prezioso della banda radio e una notevole capacità dell’infrastruttura RAN (Radio Access Network) condivisa, finendo pertanto con l’influire pesantemente sulle performance della rete in generale.
Le reti mobili e i pericoli inconsapevoli
Non tutte le minacce dirette contro le performance e la disponibilità di reti e servizi di telefonia mobile nascono da cattive intenzioni; le applicazioni mobili sono la ragione per cui i volumi di traffico di dati mobili crescono senza sosta. Gli MNO hanno pochissimo controllo, se non addirittura nullo, sulle tipologie di app installate e utilizzate dai loro abbonati. A peggiorare il quadro vi è il fatto che numerose app mobili non tengono conto della necessità di comunicare su reti che operano in maniera diversa rispetto alle reti IP tradizionali su linea fissa, soprattutto negli scenari di recovery.
Ne derivano problemi non indifferenti nel momento in cui le più comuni app mobili, usate da milioni di utenti, vengono sottoposte a operazioni di manutenzione o incontrano problemi. Ad esempio, se un elemento critico di una applicazione social media (come può essere un server di comunicazione) registra problemi di inaccessibilità, esso innesca un processo di ripristino da parte dei server o dei dispositivi degli utenti in grado di determinare elevati picchi di dati mobili e di traffico sul control-plane. Avvenimento che, per quanto innocuo in natura, rischia di somigliare in tutto e per tutto a un attacco DDoS in quanto coinvolge tutti gli abbonati alla rete mobile e non solo gli utenti di una particolare applicazione.
L’ottava edizione dello studio annuale Worldwide Infrastructure Security Report (WISR) realizzato da Arbor Networks sulla base di dati raccolti presso 130 operatori specializzati e service provider di tutto il mondo, mette in evidenza le minacce, consapevoli e non, registrate dai Mobile Network Operator intervistati. La maggior parte degli operatori colpiti da incidenti causati da applicazioni poco performanti ha adottato un atteggiamento di reazione nei confronti delle azioni di rilevamento e mitigazione: oltre il 30% ha dichiarato di aver dovuto intraprendere un’analisi reattiva nei confronti della problematica riscontrata.
Sebbene si tratti di un dato spiacevole, esso resta pur sempre un risultato diretto del modello di business basato sulla banda larga consumer nel quale lavorano i mobile provider. Il singolo abbonato contribuisce a garantire al provider una piccola parte di profitto; ogni volta che l’abbonato contatta l’help desk, tale profitto viene eroso dai costi. Scarseggiano gli incentivi ad attuare misure che portino a ridurre le chiamate dell’abbonato: di conseguenza, ne deriva un approccio di maggiore reattività. Questo modello cambia con ogni probabilità se/quando un attacco impatta sulla stessa rete mobile.
La portata del problema
Il problema è reale sia in termini quantitativi, sia per l’impatto che produce, come testimoniato dai numeri. L’ultima edizione dello studio WISR evidenzia chiaramente quale sia lo scenario:
• 34%: ha riferito un’interruzione di servizio ai danni della clientela dovuto a un incidente di sicurezza, con un aumento del 64% rispetto all’anno precedente.
• 57%: non sa quantificare il numero di dispositivi di abbonati collegato a reti bot o altre attività pericolose.
• 60%: non ha visibilità sul traffico a livello di pacchetti, con minacce che, non potendo essere rilevate, non possono essere nemmeno prevenute o contrastate.
• 45%: non sa se gli attacchi DDoS minaccino la propria infrastruttura Internet Gi.
• 28%: ha registrato attacchi DDoS rivolti alla propria rete wireless, mentre il 25% non sa se questi attacchi siano stati il frutto di una mancanza di visibilità.
• 16%: ha registrato traffico di attacco in uscita dagli abbonati, ma il 25% non è in grado di dire se questi abbiano originato il traffico DDoS a causa di una mancanza di visibilità.
Uno dei maggiori problemi ai quali devono fare fronte oggi gli MNO è dato dalla mancanza di visibilità e da un’assenza generale di proattività, come dimostrato dalle percentuali sopra illustrate. Il 60% degli operatori mobili non ha visibilità sul traffico dei propri pacchetti relativi a servizi mobili/evoluti.
In conclusione
Il rischio corso da questi operatori è evidente: le minacce non rilevate non possono essere né prevenute, né bloccate. Di coloro che hanno invece visibilità sul proprio traffico, la maggioranza utilizza contatori e statistiche provenienti direttamente dalla stessa infrastruttura mobile, mentre un terzo si affida a soluzioni di monitoraggio probe-based fornite da produttori specializzati. La percentuale restante fa leva su prodotti di terze parti come sonde o dispositivi per il monitoraggio del flusso che permettono di visualizzare il traffico.
Oggi moltissimi dispositivi mobili sono potenti tanto quanto i laptop, con CPU dual-core, interi gigabyte di memoria e interfacce wireless ad alta velocità. Nella dimensione mobile il problema del malware è del tutto reale; un’attività malware condotta su larga scala, con migliaia di partecipanti attivi, può avere un impatto devastante sulle risorse di un’infrastruttura wireless. Considerata la velocità con la quale evolvono le tecnologie mobili e la crescente dipendenza dalle reti mobili, gli operatori si trovano costretti ad aggiornare le proprie infrastrutture al fine di restare competitivi. Al contempo, è auspicabile che essi implementino soluzioni per il monitoraggio e il rilevamento delle minacce con l’obiettivo di proteggere se stessi e di conseguenza i loro clienti.
