Last Updated on February 8, 2011

Arbor Networks, il principale produttore di sensori anti-DDoS, oramai da qualche anno tiene sotto controllo, con l’aiuto dei principali operatori, la madre di tutte le reti al fine di studiare l’andamento degli attacchi DDoS ed i relativi trend di diffusione.

Dal lontano 2005 Arbor Networks pubblica annualmente il Worldwide Infrastructure Security Report che riassume i dati raccolti nei 12 mesi che spaziano da ottobre 2009 a settembre 2010, e consente di capire cosa è accaduto dal punto di vista della sicurezza infrastrutturale nel corso dell’anno appena passato, permettendo nel contempo di gettare le basi per tracciare l’evoluzione dei grandi attacchi geografici nel corso del 2011.

Naturalmente il 2010, uno degli anni più “prolifici” per quanto riguarda gli eventi di sicurezza, non ha fatto mancare le sorprese nemmeno per gli attacchi DDoS. I risultati, sintesi di un questionario di 113 domande posto a 111 operatori appartenenti a Stati Uniti, Canada, America Centro-Meridionale, EMEA, Africa e Asia sono riassunti nei punti sottostanti:

Alcuni Dati Preliminari

Il 68% degli intervistati ha indicato che gli attacchi DDoS verso i propri clienti sono stati una minaccia significativa nei 12 mesi oggetto della survey. Il 61% degli intervistati ha anche identificato corresponsabilità nelle configurazioni errate o nei malfunzionamenti degli apparati. Come si nota in questa poco invidiabile classifica anche le Botnet (e gli effetti collaterali derivanti) occupano posizioni di tutto rispetto.

Per quanto riguarda gli attacchi a livello applicativo ai primi posti si classificano HTTP, DNS e SMTP seguiti da SIP/VoIP e HTTPS. All’interno di “Other” ricadono protocolli quali SSH, FTP, Telnet, RDP, SQL, IRC, etc.

Mentre le maggiori preoccupazioni di sicurezza hanno coinvolto attacchi verso i clienti, attacchi verso i servizi accessori degli operatori, attacchi verso gli apparati di rete, botnet e nuove vulnerabilità. Interessanti soprattutto quest’ultime poiché rilevate , in questo caso, da un produttore di sicurezza infrastrutturale analogamente a quanto fatto da alcuni produttori di sicurezza dell’endpoint.

Andando ad Analizzare i risultati della survey nel suo complesso, ecco i punti di maggior interesse:

Lascia e Raddoppia.

Nel corso del 2010 il volume degli attacchi DDoS è drammaticamente aumentato.. Il respiro lasciato agli amministratori di rete negli anni 2008 e 2009 è stato illusorio e quest’anno per la prima volta è stata superata la barriera dei 100 Gbps in un singolo attacco. Questo volume di fuoco è praticamente raddoppiato rispetto all’analogo evento rilevato nel corso del 2009 (aumento del 102%) ed è addirittura aumentato di un fattore 10 (corrispondente ad un iperbolico 1000%) rispetto al 2005, anno di rilevazione della prima survey

Gli attaccanti si “applicano” sempre di più

I data Center e gli operatori mobili e wireless hanno registrato un incremento del livello di sofisticazione e impatto operativo degli attacchi in quanto gli attaccanti si sono rivolti, nel corso del 2010, con maggiore insistenza verso attacchi DDoS al livello applicativo verso i propri servizi o quelli dei propri clienti.

La disponibilità è sempre più cara

Secondo l’analisi di Arbor Networks, gli operatori di infrastrutture mobili e wireless hanno dovuto sudare le proverbiali sette camicie nel 2010 per mantenere la disponibilità dei servizi. Questo si deve alla scarsa visibilità che gli stessi hanno relativamente al traffico che transita dentro le proprie infrastrutture di rete. Nel corso dell’analisi dei possibili proto-botnet di androidi ho ribadito la necessità di un nuovo modello di sicurezza per gli operatori mobili (una botnet all’interno di una rete mobile sarebbe estremamente difficile da identificare e bloccare), questa evidenza di Arbor Networks tende senza dubbio verso questa direzione, con l’ulteriore aggravante che il produttore afferma, forse provocatoriamente, che, seppur con qualche eccezione, molti operatori mobili o wireless hanno un modello di sicurezza confrontabile a quello che gli operatori fissi avevano 8/10 anni orsono.

Quando si parla di DDoS i muri di fuoco fanno acqua da tutte le parti…

… E gli IPS non sono da meno.  Se (a detta del produttore) gli operatori mobili, i Data Center e gli operatori VoIP stanno adottando un modello di sicurezza obsoleto, parte della responsabilità si deve all’adozione di tecnologie del decennio scorso quali firewall di tipo stateful e sistemi IPS (Intrusion Prevention) che abbassano il livello di sicurezza e rendono la rete più suscettibile ad attacchi DDoS. A mio avviso questa osservazione un po’ forzata. Capisco che un DDoS da 100 Gbps si può mitigare solamente redirigendo il traffico, ma quanti sono i DDoS a 100 Gbps?  Un firewall ben configurato (e qui sta il difficile) è in grado di mitigare la maggior parte dei DDoS da comuni mortali. A parte questa distinzione  non ho potuto fare a meno di notare la sottigliezza nel passaggio sottostante:

In light of the growth in application-layer DDoS attacks, such devices (Firewall e IPS ndr) frequently lower the overall security postures of operators by acting as stateful DDoS chokepoints—rendering networks more susceptible to both deliberate and inadvertent DDoS attacks.

In cui lo stateful chokepoint (ovvero punto di blocco) richiama molto da vicino lo stateful Checkpoint (ovvero il produttore di firewall israeliano inventore della tecnologia di Stateful Inspection).

Gli Attacchi DDoS sono una cosa seria

I media hanno riportato, nel corso del 2010 numerosi esempi di attacchi di DDoS motivati da dispute politiche o ideologiche, il più famoso dei quali ha sicuramente interessato l’arcinota questione di Wikileaks. Il livello e la diffusione di questa tipologia di attacchi è cresciuta talmente che oramai sono diventati un problema per i livelli esecutivi di un’Organizzazione (e fonte di servizi per le aziende di sicurezza). Che siano diventati una cosa seria lo dimostra anche il recente attacco effettuato al sito del Governo Italiano da parte del Gruppo Anonymous.

Il DNS, questo sconosciuto (per la sicurezza)

Purtroppo la scarsa attenzione prestata da molti provider ai problemi di sicurezza del DNS, ha fatto si che il servizio di risoluzione dei nomi, fondamentale per le usuali operazioni di navigazione e di accesso a qualsiasi servizio, sia diventato suo malgrado protagonista degli attacchi DDoS, che consentono, con relativa facilità, di buttare giù un servizio e renderlo indisponibile in maniera relativamente semplice. La conseguenza è che, nel corso del 2010, il servizio DNS è stato protagonista vittima di numerosi attacchi di tipo DNS Reflection o DNS Amplification.

IPv6 Sicurezzav4

L’analisi ha dimostrato una crescente preoccupazione degli operatori che sono passati a IPv6 nell’applicare le stesse precauzioni e misure di sicurezza adottate per il controllo dell’IPv4. Le preoccupazioni sono anche aumentate dalla necessità di inserire dispositivi per la compatibilità dei due protocolli.

Mancanza Cronica di Team di Gestione Organizzati

Uno dei motivi di maggiore rischio nella gestione degli incidenti (e nella conseguente dilatazione relativistica dei tempi di mitigazione degli stessi) è rappresentato dalla mancanza cronica di risorse con le necessarie competenze, da organizzazioni che adottano processi a compartimenti stagni (o a silo come li definiscono gli anglosassoni) e dalla mancanza di responsabilità e policy chiare e definite. Questo punto evidenza, come il contrasto agli eventi DDoS non sia una questione meramente tecnologica ma passa attraverso l’adozione di ben definite procedure di gestione degli incidenti.

La Legge Non è Uguale Per Tutti

A causa della scarsa fiducia nelle istituzioni competenti che dovrebbero investigare gli incidenti di sicurezza e perseguire gli autori (e anche a causa della mancanza di risorse specializzate), diversi operatori preferiscono non denunciare gli incidenti, soprattutto in contesti in cui dovrebbero passare attraverso molteplici giurisdizioni.

Infrastrutture Critiche (di nome ma non di fatto)

Sebbene molti operatori vedano di buon occhio la formazione di Cyber-eserciti nazionali (o sarebbe meglio dire Computer Emergency Response Team Nazionali), durante la survey hanno manifestato scarsa fiducia nelle misure adottate dai governi per proteggere le infrastrutture critiche, misure che ritengono non adeguate al livello di esposizione delle stesse.

Concludendo… Concludendo…

Il DDoS non abbandonerà questi lidi nemmeno nel corso del 2011, ed è  anzi destinato a incrementare i suoi effetti nefasti. Ponendo l’attenzione su un punto specifico, è evidente che la nuova frontiera degli attacchi DDoS diventeranno purtroppo gli operatori mobili, sia come destinazione che (presumibilmente) come sorgenti. Da un lato dal report si evince che le loro infrastrutture non sono all’altezza dei livelli di sicurezza richiesti, dall’altro le minacce (e quindi le botnet) si stanno spostando sempre di più verso gli endpoint mobili. In questo contesto le preoccupazioni ed i grattacapi per gli operatori dovrebbero essere duplici: da un lato le proprie reti potrebbero essere sorgenti di attacchi DDoS (difficilmente tracciabili se è vero, come indicato dal report, che una delle difficoltà per gli operatori mobili e wireless consiste proprio nel controllo del traffico originato dalle loro infrastrutture), dall’altro i dispositivi compromessi potrebbero essere vittime di Data Leackage (ovvero furto di informazioni).