Crescono intensità e costi di ripristino. I dati del Worldwide Infrastructure Security Report di Arbor Networks
«Il dato sulla dimensione degli attacchi DDoS esemplifica bene la gravità della minaccia» afferma Marco Gioanola, Senior Consulting Engineer di Arbor Networks. «Nel 2016 il più distruttivo ha raggiunto un’intensità di 800 gigabit al secondo. 8 volte di più di quel che nel 2012 sembrava un valore eccezionale. Centinaia di migliaia di volte più grande della capacità di connessione di un’azienda media, raramente oltre i 100megabit al secondo. Parliamo di una potenza di fuoco in grado di causare problemi infrastrutturali ad aziende di grandi dimensioni, operatori di data center, cloud provider, ISP regionali. Addirittura a paesi di medie dimensioni come Cipro o l’Estonia. Attacchi DDoS generati dalla cosiddetta reflection amplification. Una tecnica che sfrutta servizi vulnerabili (DNS, NTP, la sincronizzazione del time protocol, ecc.) disponibili ad amplificare i messaggi generati dall’attaccante» spiega Gioanola. «Meccanismi legittimi dei protocolli, non adeguatamente protetti. Gli operatori del servizio DNS per esempio dovrebbero accettare richieste solo dagli utenti della propria rete per non generare quantità di traffico eccessive verso una certa sorgente».
L’altro vettore d’attacco, oggi sempre più utilizzato, è l’impiego di apparati infetti. «Fino a ieri si trattava principalmente di computer. Oggi sono gli oggetti connessi a Internet. Device tutt’altro che smart almeno dal punto di vista della sicurezza. Alla mercè dei cattivi». Un esempio? I danni provocati dalla botnet Mirai, una piattaforma ottimizzata per attacchi DDoS on-demand mirati. Eppure persiste ancora l’idea che si tratti solo di un disservizio temporaneo senza particolari conseguenze. «E’ vero. Se l’accesso a Facebook è temporaneamente bloccato, non sembra a prima vista così grave. Per moltissimi siti di commercio elettronico però dalla raggiungibilità dei servizi dipendono affari e fatturato. Un disservizio prolungato nel tempo provoca danni economici considerevoli» sottolinea Gioanola. Come quelli censiti nel 12esimo Worldwide Infrastructure Security Report condotto annualmente da Arbor Networks presso prospect e clienti. Dal quale emerge per esempio che a fronte del 61% dei data center e cloud provider vittime di attacchi DDoS, quasi un quarto dichiara di aver sostenuto perdite sino a 100.000 dollari. Con una punta del 5% che lamenta danni superiori al milione di dollari. Cifre importanti. Davanti alle quali si riflette l’importanza di un’efficace strategia di difesa. «Anche perchè – sottolinea Gioanola – talvolta un attacco DDoS serve per mascherare intrusioni più complesse, comprensibili solo dopo qualche tempo». Come con il recente attacco ai danni degli uffici alla Commissione europea. Dove motivazioni e responsabili sono tuttora discussi.
«Spesso è difficile risalire a chi ha ordinato l’attacco. L’analisi preliminare, il debriefing interno, non sempre sono sufficienti per identificare autori e moventi». La difficile attribuzione delle responsabilità inoltre non aiuta a rendere più credibile la minaccia. «Ci siamo scontrati a lungo con questo genere di resistenza» ammette Gioanola. «Fortunatamente le cose stanno cambiando. Registriamo una crescente sensibilità rispetto al tema, unita a una maggiore consapevolezza. Le aziende chiedono maggiore protezione ai loro service provider e includono la protezione DDoS nei bandi di gara emessi. La maggior parte degli ISP ci segnala richieste di protezione da parte degli utenti. Anche se naturalmente succede ancora che queste richieste vengano evase solo dopo una perdita. Tuttavia il nostro messaggio è che il fenomeno DDoS è gestibile dagli ISP con adeguati strumenti di mitigation. A patto però di comprenderne appieno i meccanismi. Uno dei principali fraintendimenti – rileva Gioanola – è che firewall e ips possano difendere anche da attacchi DDoS. In realtà spesso si trasformano in colli di bottiglia. Attenzione perciò a utilizzare apparati specifici che consentano però al resto dell’infrastruttura di continuare a svolgere i compiti di cui sicurezza per cui nascono».
