Gli attacchi
Distributed Denial of Service (DDoS) sono mirati a sovraccaricare la rete bersagliata con richieste di risorse, lasciando la vittima impotente a gestire le richieste legittime. Questo tipo di attacco si verifica sotto forme diverse, ma in genere si assiste a flussi di traffico che consumano larghezza di banda e non risorse applicative. Gli
attacchi DDoS non sono nuovi, e negli ultimi dieci anni sono cresciuti per intensità e diffusione grazie all'affermarsi delle reti bot.
Le reti bot, o botnet, forniscono la "potenza di fuoco" - larghezza di banda e computer - necessaria a supportare le campagne DDoS, oltre all'infrastruttura
di supporto per questo genere di attacchi. La maggior parte delle basi di codice bot implementa alcune forme di capacità DDoS.
"Nelle misurazioni realizzate nel 2006 abbiamo scoperto che circa la metà delle reti bot da noi monitorate avevano lanciato almeno un attacco DDoS", puntualizza Jose Nazario, Senior Security Researcher di Arbor Networks
Gran parte di questi attacchi era diretto a obiettivi piccoli e su base locale, senza conseguenze su vasta scala. Le reti bot tradizionali non costituiscono però l'unica fonte di tali attacchi: si registra infatti un incremento di kit specializzati utilizzati proprio per sferrare e controllare le campagne DDoS. Le misurazioni degli attacchi DDoS che eseguiamo avvengono principalmente in due modi. Il primo si realizza attraverso ATLAS, il nostro sistema che raccoglie tutte le statistiche globali di DDoS misurate dal traffico in transito sulle dorsali di rete. Il secondo metodo riguarda il monitoraggio delle reti bot attive, che presuppone l'osservazione dei comandi passati a queste reti e il filtraggio delle informazioni relative agli attacchi. Entrambi i metodi sono necessari per riuscire ad avere un quadro più ampio ed esaustivo delle attività DDoS, nonostante nessuna delle due pratiche risulti completa. Sappiamo inoltre, sempre grazie alle nostre misurazioni, che si tratta di serie scollegate di attacchi, a indicare che mai riusciremo a risalire ai comandi di tutti gli attacchi DDoS che osserviamo su Internet. Comprendere la portata degli obiettivi che risiedono alla base di un'azione di questo tipo è solitamente questione di congetture, spesso in base al profilo esterno della vittima.
[tit:Quali motivazioni]
Le motivazioni degli attacchi DDoS sono sovente l'espressione di una vendetta o di rancore nei confronti della vittima, e talvolta prevedono addirittura casi di estorsione o attacchi punitivi.Negli ultimi anni siamo riusciti a tracciare decine di migliaia di queste azioni in tutto il mondo, scoprendo che nessuna rete è immune dalla "natura business" dello scopo ultimo di un simile evento. Gli attacchi possono essere perpetrati da parte di spammer o da veri e propri team di phishing online ai danni di ricercatori, nel tentativo di vanificare il loro operato; più verosimilmente si assiste però a piccoli attacchi contro abbonati a servizi di banda larga o piccoli siti di commercio elettronico. Gli episodi più sofisticati e di dimensioni più estese includono addirittura casi di estorsione nei confronti di importanti realtà business online. In alcune situazioni le aziende coinvolte sono andate in bancarotta per via della mancata capacità di gestire i clienti o per i costi accumulati per la larghezza di banda indebitamente consumata. Le ricerche che abbiamo ininterrottamente condotto nel corso degli anni hanno dimostrato un netto incremento della pericolosità degli attacchi DDoS.
[tit:Quali impatti e modalità ]
Grazie a sondaggi effettuati presso
operatori ISP tier-1 abbiamo scoperto che i maggiori attacchi DDoS osservati in-the-wild arrivano oltre i 40 Gbps. Per capirci meglio, 40 Gbps è una capacità superiore a qualsiasi core tranne quelli dei maggiori ISP mondiali, a significare che un simile attacco può potenzialmente produrre un effetto significativo sulle dorsali Internet. Attualmente ci stiamo occupando del rilevamento di una serie di azioni DDoS ai danni dei siti di scommesse online; queste attività vengono gestite da un piccolo gruppo di cybercriminali e possono presupporre un legame con modelli di estorsione, nonostante non vi siano prove concrete a riguardo. Durante questo tipo di eventi, alcuni casino e servizi di poker online sono stati colpiti da attacchi durati più giorni, in alcuni casi anche intere settimane. Il sito colpito viene letteralmente danneggiato con pesanti conseguenze dal punto di vista delle attività di business, fino ad arrivare a consistenti perdite finanziarie.
Esistono anche casi di DDoS mossi da scopi politici, laddove si ritiene che la vittima abbia in qualche modo danneggiato qualcuno dalla parte di chi sferra l'attacco. àˆ recente un caso eclatante che ha visto colpire per diverse settimane l'Estonia con attacchi diretti al governo e alle infrastrutture nazionali. Si è trattato di una serie di eventi avvenuti in coincidenza con episodi di protesta nei confronti dei rapporti storici tra Russia ed Estonia. Sono molti a pensare che siano state le stesse autorità russe a orchestrare tali attacchi, nonostante non siano mai state prodotte prove a supporto di questa ipotesi. Abbiamo inoltre scoperto che alla base degli attacchi DDoS vi sono state reti bot e azioni di coordinamento manuali, con forum in lingua russa utilizzati per parte dell'organizzazione responsabile della campagna.
Questi attacchi sono ripresi contro un quotidiano estone, DELFI, in occasione di articoli che raccontavano dei processi a carico di cittadini russi coinvolti in crimini da strada durante le proteste avvenute nei mesi precedenti. Fra i più recenti attacchi DDoS mossi da motivi politici troviamo quello contro il politico russo Gary Kasparov e il suo partito nel corso della campagna per le elezioni. In questo caso, il sito Web è stato disattivato per un breve periodo di tempo, sufficiente però a impedirne l'uso da parte degli utenti interessati. Si è trattato di un attacco che non ha provocato danni significativi al partito politico, anche se ha voluto significare una rivolta e una protesta più che un tentativo di danneggiamento vero e proprio.
[tit: Un fenomeno in espansione]
Gli attacchi DDoS di stampo politico non si limitano alle reti russe ed europee. La maggior parte degli episodi che misuriamo con il nostro sistema ATLAS proviene infatti dagli Stati Uniti ed è diretta a vittime statunitensi. Una tendenza che ha senso se si pensa alla quantità di indirizzi situati negli Stati Uniti. In passato abbiamo assistito anche ad attacchi correlati ai conflitti indiani e pakistani, e di recente contro obiettivi iraniani. Con l'aumento delle tensioni internazionali e con la sempre maggiore diffusione delle reti bot, prevediamo che la motivazione politica continuerà ad essere ampiamente utilizzata. Non crediamo che dietro a questo tipo di attacchi DDoS vi siano attività sponsorizzate da singoli governi, ma piuttosto semplici individui intenzionati a servirsi di Internet per esprimere le loro frustrazioni. Sarà a questo punto interessante vedere come gli eventi geopolitici si ripercuoteranno online nei prossimi mesi e anni.