Gli attacchi DoS: cosa sono
Un DoS (Denial of Service) è un attacco che mira ad impedire l’erogazione o la fruizione di un servizio, rendendolo indisponibile o inutilizzabile ai legittimi utilizzatori.
Esistono vari tipi di attacchi DoS:
- Alcuni attacchi hacker sfruttano una vulnerabilità nota su un dato sistema, per mandarlo in crash e renderlo non utilizzabile (il Ping of Death è un attacco di questo tipo).
- Gli attacchi DoS sono più diffusi e mirano a saturare le risorse disponibili (per esempio: spazio sul file system, bandwidth, memoria). Si tratta, quindi, di attacchi volumetrici, nel senso che l’attaccante cerca di generare tanti dati per saturare le strutture dati del target. Per aumentarne l’efficacia e la potenza, gli attaccanti sfruttano più macchine contemporaneamente (per esempio una botnet). Nasce, così, il DDoS (Distributed Denial of Service).
- Gli attacchi più comuni possono essere applicativi o effettuati al network layer.
- Oggi sono molto pericolosi i cosiddetti Multivector DDoS che alternano diverse tipologie di attacchi in uno schema studiato ad hoc per massimizzare gli effetti negativi.
Come evitare e bloccare un attacco DDoS?
Nota dolente. Dipende dal tipo di attacco che si subisce. Non sempre è possibile o facile difendersi o mitigare un attacco DDoS. Per alcuni tipi sono possibili difese tecniche (SYN COOKIES ad esempio) o strumenti come firewall e IPS. Se l’attacco è volumetrico e diretto alla bandwidth, spesso si ricorre a tecniche di QoS per tentare di mitigarlo o renderlo meno efficace. Esistono poi servizi messi a disposizione da vari vendor come Imperva, Akamai o Cloudflare che sono specializzati nel proteggere le risorse web da attacchi DDoS.
Attacchi DoS e DDoS breve storia
Il primo attacco DoS della storia risale addirittura al 1974 per opera di David Dennis, uno studente adolescente che aveva scoperto un comando da poter eseguire sui terminali PLATO (una sorta di primo network, di prima piattaforma multiutente) di CERL. Il comando scoperto da Dennis (chiamato “external” o “ext”) consentiva l’interazione con dispositivi esterni collegati ai terminali, ma se il terminale non prevedeva dispositivi collegati, il risultato era il blocco del terminale che doveva essere spento e riacceso per ripristinarne la funzionalità.
Uno dei primi attacchi DDoS, invece, risale all’agosto 1999. In questo caso un hacker, utilizzando uno strumento chiamato “Trinoo”, disattivò per 2 giorni la rete di computer dell’Università del Minnesota. Trinoo era una rete di macchine compromesse (definite “Masters” e “Daemons”), l’hacker inviava un’istruzione DoS ad alcuni Masters che a loro volta trasmettevano le istruzioni alle centinaia di macchine Daemons per dare inizio ad un’inondazione UDP contro gli indirizzi IP di destinazione.
Gli attacchi DDoS cominciarono ad essere più consistenti verso gli anni 2000 quando riguardarono molte attività commerciali, istituzioni finanziarie ed agenzie governative.
A qualche anno dopo risale l’inizio degli attacchi ai server DNS (Domain Name Service, il servizio che traduce i nomi dei nodi della rete (host) in indirizzi IP).
Attacchi DoS e DDoS famosi
Di attacchi DoS e DDoS famosi se ne sono registrati moltissimi. Riportarli tutti in questo articolo è impossibile, ne citiamo, però, alcuni:
Morris worm
E’ il novembre 1988 quando lo studente universitario Robert Tappan Morris, per misurare le dimensioni di Internet, lanciò un worm che infettò ben 60.000 nodi della rete Arpanet. Il lancio di questo worm, però, fu uno sbaglio, infatti nel codice era presente un errore che non era in grado di capire se il sistema fosse pulito o infetto e così facendo il virus si andò copiando ripetutamente su migliaia di sistemi.
Robert Tappan Morris è stata la prima persona ad essere condannata per pirateria informatica negli Stati Uniti d’America.
Code Red
Code Red è un virus che risale a luglio del 2001 e che in appena 14 ore infettò 359.104 server. Code Red riuscì ad attaccare perfino il sito web della Casa Bianca, anche se in questo caso non ci furono ingenti danni perché l’indirizzo IP del sito, all’ultimo momento, fu spostato momentaneamente.
Code Red attaccò i computer che usavano il sistema Microsoft IIS web server. Quando si giungeva su un sito web ospitato su un server vittima di Code Red, appariva il messaggio: “Welcome to http://www.worm.com! Hacked by Chinese”.
Code Red sfruttava un errore di programmazione di Microsoft nel Microsoft Internet Information Server (che contribuiva all’indicizzazione delle pagine web).
SQL Slammer
Anche questo attacco sfruttò una vulnerabilità dei sistemi Microsoft nonostante Microsoft avesse rilasciato 6 mesi prima la patch per correggere questo bug, aggiornamento che non fu fatto da tutti gli utenti sottovalutandone i rischi.
SQL Slammer fu lanciato nel gennaio del 2003 ed in appena 15 minuti infettò migliaia di server in tutto il mondo. La Corea del Sud rimase senza internet e comunicazioni mobili per diverse ore. Bank of America fu vittima del worm: gli utenti non poterono usare i suoi bancomat per molte ore. SQL Slammer fu anche responsabile di voli cancellati e di interferenze con le chiamate al 911.
GitHub
Tra i più recenti attacchi DDoS abbiamo quello a GitHub, un servizio di hosting per progetti software. Oltre ad essere uno dei più recenti – risale alla fine di febbraio 2018 – sembra essere anche il più grande attacco DDoS di sempre. L’attacco a GitHub sfruttò una falla di sicurezza nei server memcached. L’attacco durò 8 minuti e raggiunse un picco di 1,35 Tbps di traffico tramite l’invio di 126,9 milioni di pacchetti al secondo.
DynDNS
Altro attacco DDoS famoso risale all’ottobre del 2016 quando il provider DynDNS (collega l’utente al sito richiesto, tra cui Amazon, Skype, Spotify, Netflix e Twitter) fu messo in ginocchio da un attacco DDoS. L’attacco inizialmente riguardò gli utenti della costa est degli Stati Uniti, ma due successivi attacchi coinvolsero più zone, lasciando migliaia di utenti senza la possibilità di collegarsi per una decina d’ore ai loro siti preferiti. Protagonista dell’attacco fu il malware Mirai che infettò vari dispositivi dell’Internet of Things, in particolare videoregistratori e videocamere con componenti dell’azienda cinese “XiongMai Technology”. Il malware Mirai, grazie ad un software open source, riesce a trovare in rete dispositivi non sicuri ed a collegarvisi prendendone il controllo utilizzando una delle 68 credenziali di default dei produttori. Mirai può contare anche sul protocollo Universal Plug and Play (UPnP) che per i prodotti più recenti è impostato di default privo di autenticazione, così facendo ci si può introdurre senza problemi e senza il bisogno degli indirizzi IP alla rete locale a cui sono connessi i dispositivi.
Redatto da Lucia D’Adamo, in collaborazione con Alberto Fiore, supervisionato da Marco Pirrone