Con la diffusione dei servizi cloud, il web diventa centrale nelle strategie di business. Aumenta l’impatto che l’inaccessibilità ai servizi può avere in termini di introiti, produttività e immagine aziendale. La disponibilità di connessioni sempre più performanti unita a tecniche d’attacco in continua evoluzione hanno determinato l’ascesa della negazione del servizio quale causa d’inaccessibilità ai servizi cloud. Le difese perimetrali non sempre si dimostrano all’altezza quando si tratta di contrastare gli attacchi DDoS più evoluti per i quali servono soluzioni specifiche e tecniche efficaci
Bank of America: Tango down. È il segnale, impossibile accedere al sito. Tutti i servizi sono bloccati. Nessuna possibilità di effettuare qualsiasi transazione online. L’attacco DDoS ha avuto successo. Qualcosa di simile potrebbe essere avvenuto lo scorso dicembre quando i siti web di una serie di istituzioni finanziarie USA sono stati presi di mira. A questo punto, potrebbe scattare la fase due, cioè prendere possesso del maggior numero possibile di computer infettandoli con “Zeus”, uno dei trojan più efficaci per rubare dai conti dei clienti delle banche. Se – invece – si è trattata di una manovra diversiva per distogliere l’attenzione sui reali obiettivi dell’attacco, la prima fase è completata. Gli attacchi – almeno quelli rivendicati dallo stesso gruppo – per la verità erano iniziati un paio di mesi prima, rendendo inaccessibili i servizi bancari via web e mobile per alcune ore. Una seconda ondata di attacchi più violenti avrebbe colpito U.S. Bancorp, JPMorgan Chase. E così è stato. Anche in Italia, si sono verificati numerosi attacchi “distributed denial of service” (DDoS), alcuni dei quali saliti agli onori della cronaca come quello ai danni di Trenitalia, oppure al blog di Beppe Grillo. L’attacco ai danni di Bank of America – però – è significativo perché in quel frangente i criminali sono stati in grado di agire con un’intensità che – stando a quanto afferma Arbor Networks – vendor di soluzioni specializzato, ha superato la soglia dei 60 gigabit per secondo, con picchi di 63,3 Gbps, uno dei più alti degli ultimi mesi. La potenza di questi attacchi in continua ascesa non può non preoccupare. Nel recente passato se ne sono registrati altri che hanno raggiunto intensità anche maggiori. La potenza di fuoco – però – è solo uno degli aspetti da considerare. A fare la differenza sono anche la determinazione, la reiterazione delle azioni, la scelta del canale di contagio e dell’obiettivo, come l’attacco denunciato dal NYT, preso di mira per le sue inchieste sulle fortune accumulate dal premier cinese Wen Jiabao. Gran parte degli esperti contattati concorda nel ritenere questi ultimi attacchi sostanzialmente simili a quelli verificatisi nei mesi di settembre e ottobre. Sono cambiati – semmai – i tool impiegati e la tecnica, con l’impiego di pacchetti forgiati per colpire i DNS, per inondare i server web presi di mira con risposte fasulle. «L’attacco che utilizzano l’IP spoofing, tecnica che consente di cambiare i dati nell’header di un pacchetto di rete, innesca l’invio di pacchetti con l’IP della vittima a milioni di server chiamati riflessori» – spiega Elio Molteni, solution strategist security di CA Technologies (www.ca.com/it). Questo attacco si chiama “distributed reflection denial of service” o DRDoS e i “server riflessori” restituiscono milioni di pacchetti all’IP della vittima stessa. «Praticamente – fa notare Molteni – un attacco DRDoS è in grado di quadruplicare la banda della macchina attaccante saturando quella della vittima». Questa tecnica – sebbene consenta la virtuale non identificabilità e sia utilizzabile contro qualsiasi server – non è difficile da contrastare. «Si tratta di una tecnica datata e poco utilizzata dai gruppi di punta dell’hacktivism, che privilegiano tool di grande diffusione come LOIC, HOIC, DoSHTTP» – come conferma Pierpaolo Alì, regional sales director HP enterprise security di Hewlett-Packard Italia (www.hp.com/it).
PREVENTION E ANCORA PREVENTION
Per la sua natura distribuita, un attacco DDoS è difficoltoso sia da parare, sia da tracciare per ricostruirne la dinamica. Il flusso di dati che precede il crash di un servizio o di un appliance non ha in sé caratteristiche tali che consentano di individuarne in anticipo le potenzialità distruttive. In molti casi, questi attacchi fungono da apripista per altri più mirati. Non è un segreto che il vero fine di molte minacce è di distogliere l’attenzione dai veri obiettivi. In seguito a queste incursioni – infatti – emergono frodi e furti di credenziali. L’importante è infettare il maggior numero possibile di computer, secondo una strategia vista all’opera già in molte occasioni, le cui dinamiche non sono sempre del tutto chiare agli investigatori, anche perché raramente le banche rendono noti i dettagli degli incidenti, a meno che non siano costrette. Questo non significa che non si possano adottare – con buone probabilità di successo – misure di prevenzione in grado di contrastarne gli effetti. Bloccare tutti i protocolli e le porte di destinazione non necessari è il primo passo da mettere in pratica in tema di misure minime di sicurezza e di prevenzione. Poi è necessario disporre di adeguate ACL (access list) sui router di frontiera, ossia di un insieme di regole alle quali i dispositivi di sicurezza devono attenersi per filtrare il traffico diretto alla rete o in uscita. In questo modo – almeno in teoria – diventa possibile identificare i tentativi di DDoS che sfruttano tecniche conosciute, gli attacchi ICMP, tanto per fare un esempio. Tuttavia, l’ACL agisce solo sui layer 3 e 4 ed è inservibile in caso di attacchi a livello applicativo, che scaturiscono da richieste HTTP sintatticamente lecite, oppure per mitigare la dinamicità di un DDoS generato da migliaia di sorgenti diverse. La presenza di ACL sui router di frontiera – per quanto opportune – non sono certo uno strumento cui ricorrere in modalità “on demand”. L’utilizzo combinato di firewall e IPS è da sempre il primo baluardo contro gli attacchi DDoS. L’esperienza ha dimostrato che, quando questi dispositivi falliscono, essi stessi diventano parte del problema, rallentando la rete e – nei casi peggiori – paralizzandola. Il volume di dati da gestire in concomitanza con le risorse computazionali necessarie per far girare questi dispositivi è tale da rendere impraticabile il loro utilizzo. Così quando firewall e/o IDS vanno in crash – in alcuni casi, addirittura prima dei server che dovrebbero proteggere – il flusso di pacchetti in transito sulla rete non può essere interrotto e con conseguenze immaginabili. Meglio diffidare da chi sostiene che i firewall siano una protezione “avanzata” contro i DDoS. Nella stragrande maggioranza dei casi ci si rende conto di essere sotto attacco proprio perché il firewall è finito a gambe all’aria, messo knock-out dal tentativo di gestire, tramite un’ispezione stateful, un flusso di dati costituito da un numero spropositato di connessioni in apparenza legittime. Analoghe considerazioni valgono per gli IDS: il loro compito è l’ispezione stateful a livello applicativo e la detection del traffico anomalo proveniente da protocolli sospetti. Di fronte a pacchetti forgiati ad hoc e del tutto anonimi, la loro efficacia è nulla. Detto questo, Alan Brill, senior managing director di Kroll Advisory Solutions (www.kroll.com) suggerisce di rifiutare interpretazioni eccessivamente polarizzate. «In estrema sintesi, i passaggi principali per fronteggiare un attacco sono: prevenzione del problema, riconoscimento, reazione e risposta. Se si condivide questo modello, credo che tutte le difese – e dunque anche firewall/IDS e IPS – diventano importanti ai fini della detection. Semmai – conclude Brill – è dal modo in cui si pianifica una risposta che si decidono le sorti dell’attacco». La regola dunque è di attivare tutte le funzionalità di auto-protezione e di ottimizzazione della performance su tutti gli apparati di rete e sicurezza a presidio dei sistemi da proteggere. Bisogna anche completare le misure preventive con la configurazione dei servizi che si intendono difendere, in modo da non offrire il fianco ad attacchi del tutto evitabili. Quando è possibile – quindi – è bene centralizzare tutti i servizi quali DNS, Windows Update e simili. Ancora in troppi casi, le reti sono prese d’assalto da un flusso di pacchetti basati su protocolli, cui dovrebbe essere negato assolutamente l’accesso.
TECNICHE DI CONTENIMENTO
Tutti riconoscono nella prevenzione la prima e la più efficace arma di difesa. Le solite Cassandre lamenteranno la sostanziale inefficacia di queste misure di fronte a un attacco DDoS ben congegnato, adducendo la facilità con cui è possibile riuscire a saturare le capacità di CPU, RAM e banda di qualunque azienda. Senza dubbio in molte situazioni la DDoS Mitigation richiede esperienza e capacità per fare del troubleshooting efficace a livello applicativo e in termini volumetrici, così come per riuscire a distinguere il traffico lecito da quello malevolo. Disporre di strumenti in grado di rilevare un comportamento anomalo – prima della fatidica telefonata del cliente disperato – oltre che auspicabile è un indubbio vantaggio. Per individuare in anticipo un attacco ci si avvale di numerose tecniche: dal controllo in tempo reale del traffico IP sulla rete (blocco della modifica degli IP della vittima e disabilitazione del broadcasting) alla rilevazione degli scostamenti statistici, passando per le tecniche di load balancing (modulazione della banda) da parte del network provider a seconda delle proprie esigenze. Qualora uno qualsiasi di questi comportamenti anomali si dovesse verificare, la risposta non potrà che essere una sola: innalzare il livello di attenzione e cercare di stabilire se ci si trova di fronte a un attacco e – in caso affermativo – capire da dove proviene e su quali obiettivi si sta dirigendo. Una strategia di difesa volta a prevenire azioni preparatorie all’attacco come quella suggerita da RSA è in questo senso esemplificativa: «Questo genere di attacchi deve essere riconosciuto subito se si desidera mettere in atto delle contromisure» – afferma Giovanni Napoli, pre-sales manager EMEA South Region di RSA (www.italy.emc.com). «L’approccio corretto – suggerisce Napoli – dovrebbe aumentare il livello di allerta su quelle azioni di preparazione all’attacco alle infrastrutture di difesa perimetrale e, al tempo stesso, dovrebbe essere in grado di identificare quei pattern tipici di un attacco DDoS». Quello che si chiede a queste appliance è di adattarsi in modo dinamico ai mutamenti che avvengono nella rete utilizzando tutte le tecniche di mitigation più efficaci. In questa direzione, Check Point propone DDoS Protector, un’appliance dedicata alla mitigazione di DDoS, che si avvale di un software specifico su piattaforma hardware con architettura multi-layered. «Per garantire una difesa efficace, DDoS Protector fa leva su tre tecniche di protezione» – dice David Gubiani, technical manager di Check Point Software Technologies Italia (www.checkpoint.com). «Network Flood Protection – prosegue Gubiani – è un algoritmo che sfruttando campioni di traffico intercetta SPiKE e anomalie di flusso derivanti da attacchi di tipo network flood. Server Flood Protection è, invece, una pubblicazione “on the fly” di signature volte a mitigare attacchi sospetti, mentre l’Application Layer Protection è un engine che blocca i tool automatici, filtra l’attacco e ridirige in modo trasparente gli utenti autorizzati alla destinazione richiesta». In commercio, le appliance anti-DDoS si possono trovare anche integrate in altre tipologie di soluzioni. Per esempio, l’offerta di CA Technologies è focalizzata nell’area dell’identity & access management. «Queste soluzioni – conferma Elio Molteni di CA Technologies – sono complementari a quelle preposte a fronteggiare gli attacchi di DDoS, anche di ultima generazione». Oppure – come nel caso di Panda Security – sono integrate nel firewall. «Il client del servizio Panda Cloud Office Protection integra nel suo modulo firewall GateDefender un IPS in grado di bloccare gli attacchi più comuni garantendo sicurezza anche alle PMI e ai clienti SOHO che non dispongono di una protezione perimetrale avanzata» – afferma Alessandro Peruzzo, amministratore unico di Panda Security Italia (www.pandasecurity.com). Non solo. «I firewall della serie GateDefender (utilizzabili anche in modalità bridge) forniscono una protezione contro gli attacchi DoS e DDoS grazie all’IPS integrato e sono disponibili in diverse versioni hardware per soddisfare le necessità di aziende di ogni dimensione». Per Alessandro Peruzzo «mediante la tecnologia è possibile sfruttare peculiarità e vulnerabilità di applicazioni e protocolli per compiere azioni DoS non più “a tappeto” ma sempre più mirate. Non si colpisce la massa, ma si attacca con precisione un concorrente sia esso politico, finanziario o economico. Se attraverso una botnet ben strutturata si può effettuare un attacco contro chiunque, bisognerebbe chiedersi quali scopi voglia perseguire colui che la utilizza per colpire un solo concorrente. I potenziali bersagli dovrebbero verificare che il loro perimetro sia sufficientemente sicuro per contrastare un attacco e garantire la protezione di dati sensibili». Naturalmente per chi non ha la necessità di disporre fisicamente di appliance ad hoc, l’accesso a un servizio gestito di sicurezza è l’alternativa più indicata. «Non tutte le organizzazioni però – ricorda Pierpaolo Alì di Hewlett-Packard Italia – possono dotarsi di questi prodotti, caratterizzati da alte prestazioni e da costi elevati». Per fronteggiare al meglio questo scenario, HP ha sviluppato un approccio di Intelligent Security basato sull’interazione di soluzioni leader come l’NGIPS TippingPoint, il SIEM ArcSight e l’application security scanner Fortify. «Per identificare le sorgenti degli attacchi – spiega Alì – queste tre tecnologie dialogano tra loro garantendo protezione e controllo, grazie alla creazione di un ambiente in cui le informazioni legate agli eventi di sicurezza sono aggiornate in tempo reale». Anche BT ha strutturato un servizio indirizzato per proteggere la propria clientela da attacchi DDoS. Il servizio si basa su un sistema di SOC distribuiti a livello mondiale, dedicati unicamente alla protezione da DDoS. «BT è in grado di prendere in carico tutto il traffico destinato a un determinato cliente, pulirlo e inoltrare soltanto il contenuto desiderato» – racconta Marco Pacchiardo, Italy leader di BT Advise Assure (www.globalservices.bt.com/it). Per “pulire” il traffico, BT utilizza un mix di appliance commerciali e proprietari gestito da esperti in grado di analizzare il traffico, comprendere quale tipo di attacco sia in atto e scrivere le firme (signature) ad hoc. «Questo tipo di servizio – afferma Pacchiardo – non richiede l’introduzione di nuovo hardware e non richiede complesse operazioni di setup, tanto che in caso di emergenza può essere attivato nell’arco di poche ore ed è indipendente dai carrier utilizzati». A tutte queste funzionalità va aggiunto un ulteriore tassello. Posto che le capacità di mitigation utilizzabili da una azienda sono limitate dalla quantità massima di banda a disposizione, (in Italia al massimo si raggiungono le centinaia di Mbps) e che gli attacchi raggiungono decine di gigabit per secondo, è chiaro che questa sproporzione di forze in campo può essere colmata solo dall’intervento degli internet service provider. «Personalmente, quando si tratta di scegliere un network providers, raccomando sempre ai miei clienti di testarne la capacità proprio in relazione a un attacco DDoS» – dichiara Dave Chronister, professional ethical hacker e fondatore di Parameter Security (www.parametersecurity.com). «I provider – spiega Chronister – devono essere in grado di offrire servizi di mitigation cloud in grado di intervenire quando la dimensione degli attacchi supera le capacità di risposta in locale di chi subisce l’attacco», filtrando il traffico malevolo “a monte”, come afferma anche Marc Gaffan, co-founder e VP marketing and business development di Incapsula (www.incapsula.com). Per questa ragione, sono soprattutto i grandi carrier gli acquirenti elettivi di queste soluzioni. Non fa meraviglia che «le appliance FortiDDoS sono progettate per proteggersi dagli attacchi più sofisticati e sono rivolte proprio ad aziende e provider di servizi cloud e di hosting web» – afferma Joe Sarno, VP regional sales di Fortinet (www.fortinet.it). Soprattutto in questi ambiti, queste soluzioni devono essere in grado di fornire tutta quella reportistica essenziale (analisi a livello di singolo pacchetto, report storici e statistici…) per un troubleshooting efficace. Ogni operazione deve essere supportata da una interfaccia in grado di visualizzare graficamente e in tempo reale lo stato della rete. La protezione deve essere implementata su tutte le piattaforme anche virtuali. «In ambito cloud, le nostre soluzioni consentono di proteggere tutta l’infrastruttura che eroga i servizi, garantendo quindi che questi si mantengano nei parametri stabiliti» – conferma Gastone Nencini, senior technical manager di Trend Micro Italia (www.trendmicro.it). «In particolare – spiega Nencini – TM Deep Security prevede una protezione avanzata negli ambienti fisici, virtuali e in-the-cloud attraverso una struttura modulare integrata pensata anche per prevenire gli attacchi DDoS».
CONCLUSIONI
Gli attacchi DDoS? «Non esistono. Al massimo si tratta di una forma di protesta, un sit-in digitale. Niente di molto diverso dall’occupazione fisica di uno spazio. Non si può parlare di reato. E non siamo in presenza né di malware, né di troiani». Parola di Jay Leiderman, uno degli avvocati che negli USA difende il gruppo Anonymous. Sarà, ma il loro impatto è stato ampiamente dimostrato. È ragionevole considerare il fenomeno senza esagerarne gli effetti, ma la loro portata è sotto gli occhi di tutti. Difficile prevenire e contenere questo tipo di attacchi perché sono in continua evoluzione. Già si hanno prove di attacchi indirizzati contro il protocollo IPv6 ed è molto probabile che si amplificheranno quelli contro le web applications. E in futuro? Meno attacchi che sfruttano le capacità in termini di banda e maggiore diffusione dei cosiddetti attacchi multivettore che potrebbero prendere di mira anche i dispositivi mobili, smartphone e tablet per intenderci. Sebbene non ci siano soluzioni semplici o scorciatoie per debellare questo problema, esiste una serie di contromisure per specifiche vulnerabilità in grado di rispondere efficacemente a questa minaccia. Fermarsi alla sola tecnologia però non basta. Occorre intraprendere altre azioni, a partire dall’integrazione delle strategie volte a contenere gli effetti dannosi di un attacco DDoS nel piano più generale di disaster recovery e business continuity. In questa strategia, dovrebbero essere previste azioni specifiche volte a comunicare al pubblico gli effetti di un attacco e le azioni di risposta adottate. Comunicare con la propria clientela consente di riguadagnare il terreno perduto in termini di reputazione. Troppo spesso accade il contrario. Assistiamo a comportamenti contradditori come ritardi nelle denunce alle autorità di controllo oppure a tentativi di celare gli effetti di un disservizio per timore delle conseguenze. Inutile nascondersi, bisogna – invece – essere pronti a comunicare ai propri partner tutti gli sforzi sostenuti, coinvolgendo anche i clienti.
