Due record di DDoS divulgati questa settimana sottolineano la loro crescente minaccia

259

Aurich Lawson/Getty

Gli attacchi denial-of-service distribuiti, quelle inondazioni di traffico spazzatura che i criminali utilizzano per interrompere o eliminare completamente siti Web e servizi, sono stati a lungo una piaga di Internet, con eventi che paralizzano regolarmente testate giornalistiche e repository di software e in alcuni casi portano enormi parti su Internet fermo per ore. Ora ci sono prove che i DDoS, come vengono solitamente chiamati, stanno diventando più potenti con due attacchi da record venuti alla luce la scorsa settimana.

Gli operatori DDoS hackerano migliaia, centinaia di migliaia e, in alcuni casi, milioni di dispositivi connessi a Internet e sfruttano la loro larghezza di banda e la loro potenza di elaborazione. Gli aggressori utilizzano queste risorse illecite per bombardare i siti con torrenti di pacchetti di dati con l’obiettivo di abbattere gli obiettivi. Gli aggressori più avanzati amplificano la loro potenza di fuoco rimbalzando il traffico dannoso su servizi di terze parti che in alcuni casi possono amplificarlo di un fattore 51.000, un’impresa che, almeno in teoria, consente un singolo computer di casa con 100 megabit per seconda capacità di caricamento per fornire 5 terabit al secondo inimmaginabili di traffico.

Questi tipi di DDoSe sono noti come attacchi volumetrici. L’obiettivo è utilizzare macchine distribuite su Internet per inviare ordini di grandezza più volume di traffico a un circuito di quanto possa gestire. Una seconda classe, nota come attacchi focalizzati sui pacchetti al secondo, costringe le macchine a bombardare le apparecchiature di rete o le applicazioni all’interno del data center dell’obiettivo con più pacchetti di dati di quanti possano elaborare. L’obiettivo in entrambi i tipi di attacchi è lo stesso. Con la rete o la capacità di elaborazione completamente consumata, gli utenti legittimi non possono più accedere alle risorse della destinazione, con conseguente negazione del servizio.

Impatti negativi estremamente sproporzionati

Gli attacchi DDoS negli ultimi due decenni sono diventati sempre più potenti. Quelli che un canadese di 15 anni ha usato nel 2000 per eliminare Yahoo ETrade e Buy.com misuravano in centinaia di megabit al secondo, più o meno paragonabili a molte delle odierne connessioni domestiche a banda larga ma sufficienti a intasare le condutture dei siti con abbastanza traffico per bloccare completamente le connessioni legittime.

Nel 2011, gli aggressori avevano aumentato i DDoSe a decine di gigabit al secondo. Gli attacchi record hanno raggiunto 300 Gbps, 1,1 terabit al secondo e 1,7 Tbps rispettivamente nel 2013, 2016 e 2018. Sebbene meno comuni, gli attacchi a pacchetto al secondo hanno seguito una traiettoria ascendente simile.

La corsa al rialzo non mostra segni di rallentamento. La scorsa settimana, Amazon ha riferito che il suo servizio di mitigazione DDoS di AWS Shield è andato testa a testa con un attacco di 2,3 Tbps, un aumento del 35% rispetto al record del 2018. Nel frattempo, il provider di rete Akamai ha dichiarato giovedì che il suo servizio Prolexic ha respinto un DDoS che generava 809 milioni di pacchetti al secondo. Si tratta di un aumento del 35 percento rispetto a quello che si ritiene essere il precedente high water mark del DDoS da 600 Mpps che Roland Dobbins, ingegnere principale del servizio di mitigazione concorrente Netscout Arbor, ha affermato che la sua azienda ha gestito.

“Prevediamo una continua innovazione nell’area dei vettori di attacco DDoS a causa delle varie motivazioni finanziarie, ideologiche e sociali degli aggressori”, mi ha detto Dobbins. “Gli attacchi DDoS consentono agli aggressori di avere un impatto negativo estremamente sproporzionato sia sui bersagli previsti degli attacchi, sia sugli astanti non coinvolti”.

L’attacco, che secondo Akamai ha colpito una banca europea senza nome, è stato notevole per la rapidità con cui si è intensificato. Come mostra l’immagine qui sotto, gli aggressori hanno impiegato meno di tre minuti per raggiungere il picco di 809 Mpps.

Akamai

Amplificazione della potenza di fuoco

Una delle innovazioni più recenti su cui i DDoS si sono imbattuti è lo sfruttamento di server configurati in modo errato che eseguono CLDAP, abbreviazione di Connectionless Lightweight Directory Access Protocol. Una derivazione Microsoft dello standard LDAP, il meccanismo utilizza i pacchetti User Datagram Protocol per interrogare e recuperare i dati dai server Microsoft.

Mentre CLDAP dovrebbe essere disponibile solo dall’interno di una rete, Dobbins ha affermato che Netscout ha identificato circa 330.000 server che hanno il meccanismo esposto a Internet in generale. Gli aggressori hanno colto questo errore di massa. Inviando richieste CLDAP ai server configurati in modo errato con indirizzi IP falsificati, i server bombardano inconsapevolmente gli obiettivi con risposte 50 o più volte più grandi.

“Spesso è la negligenza amministrativa che consente a questo attacco di esistere”, ha affermato Roger Barranco, vicepresidente delle operazioni di sicurezza globale di Akamai. Ha aggiunto che il blocco delle porte di rete come 389 e l’installazione di patch generalmente impediscono che un server venga abusato in questo modo.

In passato, i DDoSer hanno abusato dei server che eseguivano altri protocolli ampiamente utilizzati che erano stati configurati in modo errato. Se non impostato correttamente, memcached, un sistema di memorizzazione nella cache del database per velocizzare siti Web e reti, può amplificare i DDoSe di un fattore impensabile di 51.000, un’innovazione che ha alimentato il record del 2018 di 1,7 Tbps. Quattro anni prima, gli aggressori hanno abusato del Network Time Protocol su cui i server fanno affidamento per mantenere sincronizzati gli orologi su Internet. La tecnica, che ingrandisce il traffico spazzatura di circa 19 volte, ha portato ai DDoses del 2014 che hanno bloccato i server di League of Legends, EA.com e altri servizi di giochi online.

Di solito, quando si abusa in massa di configurazioni errate di protocolli o servizi ampiamente utilizzati, i watchdog di Internet spingono gli amministratori a ripulirli. Quando finalmente gli amministratori lo fanno, gli aggressori trovano nuovi modi per aumentare la loro potenza di fuoco. Il ciclo continua.

La crescita dei robot minaccia i giocatori, le banche e te

Oltre a sfruttare i metodi di amplificazione, la dimensione crescente degli attacchi DDoSe è il risultato del controllo di un numero sempre crescente di dispositivi da parte degli aggressori. Mentre i computer Windows e successivi Linux erano un tempo l’unico dominio delle botnet che inviavano traffico spazzatura agli obiettivi, anche il numero crescente di router, telecamere connesse a Internet e altri cosiddetti dispositivi Internet delle cose sono diventati partecipanti attivi.

Nel rapporto di giovedì, Akamai ha affermato che il 96% degli indirizzi IP utilizzati per fornire il record di DDoS di 809 milioni di pacchetti al secondo durante il fine settimana non era mai stato osservato prima. Il numero crescente di dispositivi IoT compromessi sta probabilmente alimentando tale aumento.

Tra gli obiettivi DDoS più comuni ci sono i giocatori di giochi online e le aziende, le piattaforme e gli ISP a banda larga che utilizzano. Le rivalità tra i giocatori sono una motivazione. Un altro obiettivo è interrompere il flusso di grandi quantità di denaro spesso scommesse nei giochi.

Anche le istituzioni finanziarie, le agenzie governative, le organizzazioni di difesa politica e i rivenditori sono marchi frequenti, spesso da attivisti informatici motivati ​​dall’ideologia. I DDoS a volte colpiscono in modo da poter chiedere riscatti per fermare gli attacchi. Altre volte, i DDoSer attaccano per pura meschinità.

Gli obiettivi previsti non sono gli unici a subire gli effetti negativi degli attacchi DDoSe. Tempeste di dati un tempo inimmaginabili possono sopraffare le connessioni peering degli ISP, i server DNS e altre infrastrutture su cui le persone e le aziende comuni fanno affidamento per fare acquisti, inviare e-mail e svolgere altre attività importanti.

“L’impronta del danno collaterale degli attacchi DDoS è spesso molto maggiore dell’impatto sui bersagli previsti”, ha affermato Dobbins. “Basta dire che molte più persone e organizzazioni non coinvolte hanno spesso le loro attività interrotte dai danni collaterali degli attacchi DDoS rispetto a coloro che sono i veri bersagli di questi attacchi”.