Origini delle minacce di negazione del servizio
Negli attacchi denial of service convenzionali, l'hacker trasmette richieste multiple alla macchina o al servizio bersaglio con indirizzi Internet Protocol (IP) di ritorno fittizi. Quando il server tenta di autenticare questi indirizzi, incontra un'ondata di risposte con codice di errore, innescando una catena ricorrente di traffico SMTP che può saturare rapidamente il server. Allo stesso modo, con un Attacco Smurf, l'hacker trasmette i pacchetti a più host con un indirizzo IP falsificato appartenente a queste macchine target. Quando le macchine host riceventi rispondono, si inondano effettivamente di traffico di pacchetti di risposta.
In un SYN flood, un aggressore sfrutta il processo TCP 3-Way Handshake (SYN, SYN-ACK, ACK) per mettere offline un servizio. Nel 3-Way Handshake, il server A avvia un messaggio di richiesta di sincronizzazione TCP al server B. Alla ricezione della richiesta, l'host B (la macchina target) invia un pacchetto SYNchronize-ACKnowledgement al server A. È a questo punto che si verifica l'attacco di negazione del servizio. In uno scambio legittimo per stabilire una connessione socket TCP, il passo successivo sarebbe che l'host A inviasse un messaggio ACKnowledge all'host B, ma quando l'hacker che controlla l'host A impedisce che ciò avvenga, l'handshake non può essere completato. Il risultato è che l'host B ha una porta collegata che non è disponibile per ulteriori richieste. Quando l'aggressore invia richieste ripetute di questo tipo, tutte le porte disponibili sull'host B possono rapidamente bloccarsi e diventare non disponibili.
Minacce di negazione del servizio in continua evoluzione
Le inondazioni SYN, gli attacchi banana e altri tipi di hack DoS convenzionali sono ancora in uso oggi - e naturalmente, gli attacchi DDoS alimentati da botnet rimangono una minaccia costante. Ma negli ultimi anni gli hacker malintenzionati hanno ampliato il numero di macchine e servizi che prendono di mira e hanno esteso notevolmente la superficie di minaccia. Sempre più spesso, le organizzazioni vengono prese di mira da attacchi di "degradazione del servizio" di minore intensità, che infliggono costosi rallentamenti del servizio senza mettere completamente offline le risorse. Questo metodo di attacco è diventato sempre più comune, dato che sempre più organizzazioni si affidano ad Amazon Web Services (AWS) e a offerte cloud simili per alimentare le loro operazioni web.
Quando un grande rivenditore, un fornitore di servizi finanziari, un marchio di consumo o un'impresa commerciale simile ospita il proprio sito web su AWS, Microsoft Azure o un altro operatore cloud, l'accordo sarà regolato da un Accordo sul livello di servizio. In effetti, l'operatore del cloud, per un determinato prezzo, promette di mettere a disposizione le risorse di elaborazione, la larghezza di banda e l'infrastruttura di supporto necessarie a quel sito web per supportare X quantità di traffico web, dove X viene misurato come gigabyte di dati, numero di transazioni al dettaglio, ore di uptime e metriche correlate. Se il carico di traffico supera i livelli concordati, il che sarebbe positivo se il traffico è legittimo, il proprietario del sito web si vedrà addebitare una tariffa più alta. Questo processo è spesso completamente automatizzato, come nel caso di Amazon CloudWatch, che dispone di funzioni di autoscaling per aumentare o diminuire dinamicamente le risorse di elaborazione in base alle necessità.
Denigrazione costosa del servizio
Come si può immaginare, i cattivi attori possono inserirsi in queste relazioni dirigendo il traffico illegittimo verso un sito web di destinazione e aumentando facilmente il costo degli affari per un'organizzazione di destinazione. I server "zombie" che inviano raffiche di traffico intermittenti sono spesso utilizzati in questo tipo di attacco. Poiché i carichi di traffico in questione sono occasionali e non provengono ovviamente da una fonte dannosa, appaiono molto simili al traffico legittimo, il che significa che può essere estremamente difficile per il personale di Cyber Security scoprirli e bloccarli.
Un altro set di strumenti utilizzati in questo tipo di incidenti di negazione del servizio o di degrado del servizio sono le cosiddette applicazioni "stresser", originariamente progettate per aiutare i proprietari di siti web a identificare i punti deboli della loro infrastruttura web. Facili da ottenere e semplici da usare, queste applicazioni, tra cui WebHive, possono essere installate su più istanze cloud per costruire formidabili capacità DDoS. Coordinati insieme in questo modo, questi strumenti di attacco possono mettere offline grandi siti web commerciali per periodi prolungati.
Principali insegnamenti sul rifiuto del servizio
Gli attacchi di tipo Denial of Service si sono spostati e modificati nel corso degli anni, ma i danni provocati continuano ad aumentare. Un'indagine del Ponemon Institute sulle grandi imprese di diversi settori industriali ha rilevato che l'azienda tipica subisce quattro incidenti di denial-of-service all'anno e che il costo totale medio annuo per affrontare i DoS è di circa 1,5 milioni di dollari. Mettere in atto un'architettura di sicurezza che le consenta di rilevare, prevenire e rispondere agli attacchi DoS è un passo fondamentale in qualsiasi programma efficace Cyber Security.
Feedback