Gli attacchi Ddos sono anche di natura politica

MalwareSicurezzaSoluzioni per la sicurezza

Gli attacchi Ddos negli ultimi dieci anni sono cresciuti per intensità e diffusione grazie all’affermarsi delle botnet

Gli attacchi di Distributed Denial of Service (Ddos) sono mirati a sovraccaricare la rete bersagliata con richieste di risorse, lasciando la vittima impotente a gestire le richieste legittime. Questo tipo di attacco si verifica sotto forme diverse, ma in genere si tratta di flussi di traffico che consumano larghezza di banda e non risorse applicative.

Gli attacchi Ddos negli ultimi dieci anni sono cresciuti per intensità e diffusione grazie all’affermarsi delle botnet. Le botnet, forniscono la “potenza di fuoco” – larghezza di banda e computer – necessaria a supportare le campagne di Ddos e l’infrastruttura di supporto per questo genere di attacchi. Nelle misurazioni realizzate nel 2006 abbiamo scoperto che circa la metà delle reti bot da noi monitorate avevano lanciato almeno un attacco Ddos. Gran parte di questi attacchi era diretto a obiettivi piccoli e su base locale, senza conseguenze su vasta scala.

Le misurazioni degli attacchi Ddos che eseguiamo in Arbor Networks avvengono principalmente in due modi. Il primo si realizza attraverso Atlas, il nostro sistema che raccoglie tutte le statistiche globali misurate dal traffico in transito sulle dorsali di rete. Il secondo metodo riguarda il monitoraggio delle botnet attive.

Le motivazioni degli attacchi Ddos sono sovente l’espressione di una vendetta o di rancore nei confronti della vittima, e talvolta prevedono addirittura casi di estorsione o attacchi punitivi. Gli attacchi possono essere perpetrati da parte di spammer o da veri e propri team di phishing online ai danni di ricercatori, nel tentativo di vanificare il loro operato; più verosimilmente si assiste però a piccoli attacchi contro abbonati a servizi di banda larga o piccoli siti di commercio elettronico. Gli episodi più sofisticati e di dimensioni più estese includono addirittura casi di estorsione nei confronti di importanti realtà business online. In alcune situazioni le aziende coinvolte sono andate in bancarotta per via della mancata capacità di gestire i clienti o per i costi accumulati per la larghezza di banda indebitamente consumata.

Le ricerche che abbiamo condotto nel corso degli anni hanno dimostrato un netto incremento della pericolosità di questo tipo di attacchi. Grazie a sondaggi effettuati presso Isp tier-1 abbiamo scoperto che i maggiori attacchi di Ddos arrivano oltre i 40 Gbps. 40 Gbps è una capacità superiore a qualsiasi core tranne quelli dei maggiori Isp mondiali. Attualmente ci stiamo occupando del rilevamento di una serie di azioni ai danni dei siti di scommesse online; queste attività vengono gestite da un piccolo gruppo di cybercriminali e possono presupporre un legame con modelli di estorsione, nonostante non vi siano prove concrete a riguardo. Durante questo tipo di eventi, alcuni casino e servizi di poker online sono stati colpiti da attacchi durati più giorni, in alcuni casi anche intere settimane. Il sito colpito viene letteralmente danneggiato con pesanti conseguenze dal punto di vista delle attività di business, fino ad arrivare a consistenti perdite finanziarie.

Esistono anche casi di attacchi mossi da scopi politici, laddove si ritiene che la vittima abbia in qualche modo danneggiato qualcuno dalla parte di chi sferra l’attacco. È di qualche tempo fa un caso che ha visto colpire per diverse settimane l’Estonia con attacchi diretti al governo e alle infrastrutture nazionali. Si è trattato di una serie di eventi avvenuti in coincidenza con episodi di protesta nei confronti dei rapporti storici tra Russia ed Estonia. Sono molti a pensare che siano state le stesse autorità russe a orchestrare tali attacchi, nonostante non siano mai state prodotte prove a supporto di questa ipotesi. Abbiamo i scoperto che alla base degli attacchi vi sono state reti bot e azioni di coordinamento manuali, con forum in lingua russa utilizzati per parte dell’organizzazione responsabile della campagna. Questi attacchi sono ripresi nell’inverno del 2007 contro un quotidiano estone, in occasione di articoli che raccontavano dei processi a carico di cittadini russi coinvolti in crimini da strada durante le proteste avvenute nei mesi precedenti.

Fra i più recenti attacchi di Ddos mossi da motivi politici troviamo quello contro il politico russo Gary Kasparov e il suo partito nel corso della campagna per le elezioni russe . In questo caso, il sito è stato disattivato per un breve periodo di tempo, sufficiente però a impedirne l’uso da parte degli utenti interessati. Si è trattato di un attacco che non ha provocato danni significativi al partito politico, anche se ha voluto significare una rivolta e una protesta più che un tentativo di danneggiamento vero e proprio. Gli attacchi di stampo politico non si limitano alle reti russe ed europee. La maggior parte degli episodi che misuriamo con il nostro sistema Atlas proviene infatti dagli Stati Uniti ed è diretta a vittime statunitensi. In passato abbiamo assistito anche ad attacchi correlati ai conflitti indiani e pakistani, e di recente contro obiettivi iraniani.

Con l’aumento delle tensioni internazionali e con la sempre maggiore diffusione delle reti bot, prevediamo che la motivazione politica continuerà ad essere ampiamente utilizzata. Non crediamo che dietro a questo tipo di attacchi vi siano attività sponsorizzate da singoli governi, ma piuttosto semplici individui intenzionati a servirsi di Internet per esprimere le loro frustrazioni. Sarà a questo punto interessante vedere come gli eventi geopolitici si ripercuoteranno online nei prossimi mesi e anni.

Intervento di José Nazario, Senior Security Researcher di Arbor Networks

Autore: ITespresso
Clicca per leggere la biografia dell'autore  Clicca per nascondere la biografia dell'autore