IT Pro

Attacchi DDoS: le aziende più vulnerabili che mai

Una vera ondata di attacchi DDoS (Distributed Denial of Service) sta sommergendo istituti bancari, enti pubblici, scuole, siti di e-commerce e siti di giochi scatenati contro. Si tratta del punto di arrivo di un trend che prosegue da anni e che nel 2014 ha visto un picco di attività.

Arbor Networks, azienda specializzata nelle soluzioni per la protezione da questo tipo di attacchi, evidenzia tra le cause di questo fenomeno l'utilizzo di tecniche sempre più avanzate di riflessione/amplificazione. Questa tecnica permetta all'attaccante di gonfiare il volume di traffico generato e offuscare le sorgenti originali di tale traffico sfruttando, secondo Arbor, due elementi di vulnerabilità.Il primo elemento è la carenza di filtri capaci di bloccare alla periferia delle proprie reti il traffico che presenta indirizzi IP di origine falsificati ("spoofed"), il secondo è l'esistenza su Internet di tantissimi dispositivi malamente configurati e poco protetti che forniscono servizi UDP sfruttabili come fattore di amplificazione tra una query ricevuta e la risposta generata.

Se storicamente, i server più frequentemente utilizzati per gli attacchi a riflessione/amplificazione erano quelli DNS a partire dalla seconda metà del 2013 è continuato a crescere lo sfruttamento dei server che gestiscono il protocollo NTP (Network Time Protocol) utilizzato per sincronizzare gli orologi dei dispositivi collegati a Internet e che spesso lasciano aperte le proprie funzioni amministrative fornendo agli attaccanti un fattore di amplificazione molto elevato (centinaia di volte).

Diversi tool dedicati capaci di sfruttare il protocollo NTP si sono rapidamente diffusi nella community degli attaccanti insieme con gli elenchi dei server che generano un buon fattore di amplificazione.

La più recente frontiera di attacco punta a sfruttare SSDP (Simple Service Discovery Protocol). Nel secondo trimestre 2014 Arbor Networks, tramite il proprio sistema Arbor Atlas che tiene sotto controllo gli eventi provenienti da oltre 300 operatori di rete di tutto il mondo, ha intercettati quasi 30mila attacchi di questo tipo.