SatUrazione di riSorSe: Un pericolo creScente al creScere del cloUd
Transcript
SatUrazione di riSorSe: Un pericolo creScente al creScere del cloUd
Saturazione di risorse: un pericolo crescente al crescere del cloud Gli attacchi DoS e DDoS risultano ancora molto diffusi, e costruire una strategia di difesa non è banale. Marco Bozzetti, OAI founder All’ultima conferenza RSA 2012 negli USA sono stati presentati i risultati di una recente indagine condotta da Corero Network Security su un campione di più di 300 grandi aziende statunitensi e britanniche. Dalla ricerca emerge che un terzo del campione ha subito almeno un attacco di Distributed Denial of Service (DDoS) negli ultimi 12 mesi: ma di queste, due terzi sono statunitensi e un terzo inglesi. Sempre secondo l’indagine, il medesimo rapporto vale per il timore di attacchi DDoS: risultano infatti molto più preoccupati i responsabili dei sistemi informativi statunitensi di quelli britannici. Una delle principali motivazioni indicate per un attacco DDoS è, negli USA, rendere non funzionante l’azienda ritenuta concorrente, mentre per i britannici la principale motivazione è ‘hacktivism’, un neologismo che indica l’insieme di azioni di un attivista con modalità di hacker: in pratica attacchi informatici (teoricamente dimostrativi e non per frodi) ai sistemi ICT delle organizzazioni quali appunto la saturazione di risorse, lo spamming, il cybersquatting. Questa indagine conferma il riacutizzarsi, soprattutto negli Stati Uniti, degli attacchi volti alla saturazione delle risorse. Un attacco ancora ‘popolare’ Nel Rapporto OAI 2011 questo tipo di attacco risultava avere un peso significativo anche in Italia, 88 settembre 2012 posizionandosi al quarto posto tra gli attacchi più subiti nel 2009 e nel 2010 (1° quadrimestre). Si verificherà l’evolversi della situazione in Italia con il prossimo Rapporto OAI 2012, che proprio in questi giorni sta iniziando la campagna per la compilazione del nuovo questionario (si veda box), ma alcuni segnali sembrano confermare il perdurare, se non l’aggravarsi del problema. Il fatto che recentemente se ne parli anche sui quotidiani, come per l’attacco DDoS al blog di Beppe Grillo degli inizi di giugno 2012, è un chiaro sintomo, oltre al fatto che i siti cloud sono un ideale bersaglio per la saturazione. Da recenti contatti dell’autore con alcuni responsabili di servizi cloud in Italia emerge una situazione sintetizzabile in: “Attacchi dell’ordine di Gbps almeno una volta alla settimana”. Come già più volte illustrato, un attacco DDoS porta alla saturazione della risorsa ICT target, per esempio un portale web, un server, un servizio di posta elettronica, una banca dati, una connessione a Internet, facendo superare il limite delle prestazioni che quella risorsa è in grado di erogare; la modalità di attacco è tipicamente quella di inondare di richieste e/o di pagine la risorsa sotto attacco, saturandola e/o mandandola in ‘crash’. La possibilità di attaccare da più postazioni inconsapevoli (possono essere anche dell’ordine delle migliaia) ma coordinate centralmente dall’attaccante, la cosiddetta botnet, rende estremamente insidioso questo attacco, oltre che di difficile prevenzione. Oltre a tecniche basate su botnet esistono poi quelle ‘peer-to-peer’, tipicamente utilizzate in presenza di hub per la condivisone di file. L’attaccante in questo caso forza i client a sconnettersi dal loro interlocutore e a connettersi con l’unica vittima designata. Un attacco DDoS non modifica, copia o cancella dati o programmi, ma rende satura e quindi non più utilizzabile per tutto il periodo dell’attacco la risorsa obiettivo. Non porta danni al patrimonio informativo, ma alla disponibilità dei servizi ICT forniti dalle risorse attaccate. Per approfondire questa tipologia di attacchi si veda l’articolo in questa rubrica pubblicato sul numero 5 di Office Automation di maggio 2011 (l’archivio di tutti gli articoli della Rubrica OAI sono disponibili alla pagina web http://www.malaboadvisoring.it). Esempio di uno schema di difesa predefinito Ma come difendersi da tali attacchi? È difficile ma si può con una difesa pre-definita e ben preparata, articolata su più misure. Come esempio di una buona difesa da DoS/DDoS si illustra quella di Seeweb, un fornitore italiano di cloud (www.seeweb.it), articolata in tre fasi principali. 1) Individuazione proattiva dell’attacco: viene controllato, in tempo reale, il traffico IP su tutta la loro rete; quando rilevano scostamenti statistici rilevanti rispetto alle medie è un segnale d’allarme che comporta un’analisi approfondita per individuare se si tratta di un attacco, e se sì quali sono le fonti principali e quale è il target del medesimo. 2) Mitigazione di primo livello del flusso malevolo senza degrado del servizio sul bersaglio, di solito i sistemi in cloud di un cliente. L’azione si basa su un insieme di misure adottate a seconda del tipo di attacco e dei requisiti di servizio previsti per il cliente. Tra le misure il filtraggio del traffico con ACL sui border router o in modi più avanzati sui firewall, se necessario dedicandone uno o più al cliente sotto attacco in maniera rapida ed automatica. In caso di attacchi a livello Http attivazione di ‘transparent proxy’ che lasciano passare verso i server o l’infrastruttura cloud del cliente solo il traffico legittimo. 3) Mitigazione di secondo livello del flusso malevolo con degrado della raggiungibilità del servizio bersaglio, utilizzando prevalentemente tecniche di ‘blackholing’ e accordi con carrier e ISP di transito della rete. Un black hole, o buco nero, è un insieme di indirizzi IP cui vengono destinati i pacchetti dei flussi informativi malevoli di un DDoS. Un blackhole deve essere attivato e disattivato a fine attacco Compilare! Compilare! Compilare! È in corso la raccolta dei dati sugli attacchi subiti da imprese e altre organizzazioni in Italia. Vi invitiamo a compilare e far compilare online il Questionario OAI 2012, anonimo, disponibile sui siti web di Soiel (www. soiel.it), dell’autore (www.malaboadvisoring.it) e di tutte le Associazioni patrocinanti. in tempo reale e può essere messo in campo con gestori fortemente ‘multihomed’ dal punto di vista dei transiti IP, così da sacrificare solo piccole regioni della rete Internet. Per poter attivare e gestire questo tipo di misure, sono necessari alcuni prerequisiti anche organizzativi, che includono: • l’attivazione di un piano di interventi e di un team anti DDoS con procedure e strumenti predefiniti per riconoscere l’attacco, individuarne le fonti, mitigarne gli impatti e riprendere poi la situazione normale; importanti gli accordi con i vari provider di rete e l’uso di procedure ‘post attacco’, per analisi delle vulnerabilità e dei gap tecnici e organizzative, oltre che per eventuali forensic; • definizione di un’architettura ICT a elevata affidabilità e sicurezza, che preveda logiche di black holing e di filtraggi, con utilizzo di router e firewall a elevate prestazioni; • aggiornamento e documentazione sistematica e tempestiva di tutte le risorse ICT; • monitoraggio sistematico dei sistemi e delle loro prestazioni, con gestione e correlazione degli eventi per essere proattivi; • conoscenza e controllo continuo dei trend e delle tecniche di attacco. Marco Bozzetti [email protected] settembre 2012 89