IT Pro

Radware mette in guardia dall’evoluzione del botnet Mirai

Gli attacchi portati nel corso del 2016 a società di livello mondiale quali Brian Krebs, OVH e DynDNS impongono di porre una crescente attenzione a come si implementa l’IoT.

Gli attacchi hanno semplicemente messo a fattor comune la potenza di  migliaia di dispositivi IoT  e per la legge dei grandi numero hanno finito con  il portare a volumi di traffico  diretti verso il sito attaccato che hanno superato  il terabyte Il problema si prospetta critico perché i codici sorgenti usati per gli attacchi  sono sul mercato e quindi  c’è da spettarsi nel prossimo futuro un intensificarsi dei medesimi.

La situazione va quindi tenuta strettamente sotto  controllo e  le società  potenziali target, osserva Nicola Cavallina, channel manager della società,  dovranno quanto prima correre ai ripari.

Nicola Cavallina Radware
Nicola Cavallina

La cosa è  ancor più grave, osserva Radware, perché tramite i suoi esperti ha individuato negli ultimi mesi  miglioramenti apportati  dagli hacker alla versione originale  del botnet Mirai,  il grimaldello usato per  portare l’attacco tramite i dispositivi IoT e la loro rete di connessione.

IoT vulnerabile

Uno dei motivi  della vulnerabilità dei dispositivi IoT, evidenzia Radware, è la loro semplicità. Ciò rende facile asservirli perché  equipaggiano un sistema operativo ridotto all’osso e dispongono di  una sicurezza  di livello elementare o poco più.

D’altro canto,  deve essere obiettivamente considerato, per favorirne la diffusione su larghissima scala anche su dispositivi a basso costo, quella della semplicità appare in molti casi una scelta obbligata pe run reale uso di dispositivi IoT.

Ciò però permette agli hacker di individuare facilmente  delle falle  e  usare gli exploit  nei dispositivi per portare  attacchi DDoS di massa di fronte ai quali anche il sistema più potente può soccombere.

Il  problema è che una cosa che ha successo, e in questo caso i media hanno di certo dato il loro contributo amplificando la cosa, si autoalimenta e solleva l’interesse di altri hacker che a loro volta danno origine a varianti ancor più pericolose.

La disponibilità di strumenti  “DDoS as a Service”   è poi un ulteriore invito  per i malintenzionati, che non devono nemmeno investire tempo e denaro per lo sviluppo  partendo da un green field di soluzioni Botnet ma se le trovano già in buona parte preconfezionate e fruibili con l’approccio tipico del Cloud e un investimento di poche migliaia o decine di migliaia di euro..

L’ampiezza che può assumere un attacco  è stupefacente. Quello portato a Deutsche Telekom ha avuto come target  e obiettivo il prendere il controllo di circa 900.000 router, il tutto con del codice semplice  che sfruttava  una vulnerabilità SOAP, un protocollo di comunicazione applicativo,  dei modem DSL.

Vari sono poi i possibili vettori usati per gli attacchi: UDP, VSE, DNS, SYN, http.

Radware  mirai botnet
Aggiornare e proteggere la rete

Cosa attendersi e come reagire

I dispositivi IoT saranno sempre più oggetto di tentativi di attacco, e questo non solo per  ricatti economici ma, evidenzia Radware, anche per motivi politici. La protezione può essere attuata a diversi livelli e con diverse modalità. Tra queste, suggerisce l’azienda  focalizzata sulla sicurezza:

  • Hybrid DDoS Protection: sono soluzioni  per la protezione in real time  di tipo on-premise o basate sul cloud atte a proteggere da attacchi ad alto volume di traffico e che prevengono la saturazione delle pipe.
  • Behavioral-Based Detection:  identificano e bloccano rapidamente e accuratamente  le anomalie nel traffico e nel comportamento mentre allo stesso tempo lasciano fluire normalmente il traffico usuale.
  • Real-Time Signature Creation: sono soluzioni che proteggono  da minacce sconosciute  o da attacchi zero-day.
  • Cyber-Security Emergency Response Plan: sono soluzioni e servizi che includono il supporto di  un team di emergenza di esperti.

Poiché ci si muove in un campo ancora non bene esplorato Radware suggerisce di intervenire in modo preventivo sulla propria rete e apportare quanto prima le modifiche atte a prevenire  gli attacchi.

Per chi non dispone di un team in grado di analizzare la situazione nella dovuta profondità o si trova già sotto attacco Radware  ha sviluppato un servizio  per far fronte a situazioni di emergenza che stiano portando alla congestione o al blocco della propria rete.

Il servizio ha l’obiettivo  di neutralizzare i rischi e salvaguardare  le normali operazioni prima che l’attacco causi danni  difficili da  riparare.  

“Contattateci con il codice Red Button”, ha dichiarato Radware, e un suo team è pronto ad intervenire.