SatUrazione di riSorSe: Un pericolo creScente al creScere del cloUd

Saturazione di risorse:
un pericolo crescente
al crescere del cloud
Gli attacchi DoS e DDoS
risultano ancora
molto diffusi, e costruire
una strategia
di difesa non è banale.
Marco Bozzetti, OAI founder
All’ultima conferenza RSA 2012 negli USA sono stati
presentati i risultati di una recente indagine condotta
da Corero Network Security su un campione di più
di 300 grandi aziende statunitensi e britanniche.
Dalla ricerca emerge che un terzo del campione
ha subito almeno un attacco di Distributed Denial
of Service (DDoS) negli ultimi 12 mesi: ma di queste, due terzi sono statunitensi e un terzo inglesi.
Sempre secondo l’indagine, il medesimo rapporto
vale per il timore di attacchi DDoS: risultano infatti
molto più preoccupati i responsabili dei sistemi informativi statunitensi di quelli britannici. Una delle
principali motivazioni indicate per un attacco DDoS
è, negli USA, rendere non funzionante l’azienda ritenuta concorrente, mentre per i britannici la principale motivazione è ‘hacktivism’, un neologismo che
indica l’insieme di azioni di un attivista con modalità
di hacker: in pratica attacchi informatici (teoricamente dimostrativi e non per frodi) ai sistemi ICT
delle organizzazioni quali appunto la saturazione
di risorse, lo spamming, il cybersquatting. Questa
indagine conferma il riacutizzarsi, soprattutto negli Stati Uniti, degli attacchi volti alla saturazione
delle risorse.
Un attacco ancora ‘popolare’
Nel Rapporto OAI 2011 questo tipo di attacco risultava avere un peso significativo anche in Italia,
88
settembre 2012
posizionandosi al quarto posto tra gli attacchi più
subiti nel 2009 e nel 2010 (1° quadrimestre). Si verificherà l’evolversi della situazione in Italia con il
prossimo Rapporto OAI 2012, che proprio in questi
giorni sta iniziando la campagna per la compilazione del nuovo questionario (si veda box), ma alcuni
segnali sembrano confermare il perdurare, se non
l’aggravarsi del problema.
Il fatto che recentemente se ne parli anche sui quotidiani, come per l’attacco DDoS al blog di Beppe
Grillo degli inizi di giugno 2012, è un chiaro sintomo,
oltre al fatto che i siti cloud sono un ideale bersaglio per la saturazione. Da recenti contatti dell’autore con alcuni responsabili di servizi cloud in Italia
emerge una situazione sintetizzabile in: “Attacchi
dell’ordine di Gbps almeno una volta alla settimana”.
Come già più volte illustrato, un attacco DDoS porta
alla saturazione della risorsa ICT target, per esempio un portale web, un server, un servizio di posta
elettronica, una banca dati, una connessione a Internet, facendo superare il limite delle prestazioni
che quella risorsa è in grado di erogare; la modalità di attacco è tipicamente quella di inondare di
richieste e/o di pagine la risorsa sotto attacco, saturandola e/o mandandola in ‘crash’.
La possibilità di attaccare da più postazioni inconsapevoli (possono essere anche dell’ordine delle migliaia) ma coordinate centralmente dall’attaccante,
la cosiddetta botnet, rende estremamente insidioso
questo attacco, oltre che di difficile prevenzione.
Oltre a tecniche basate su botnet esistono poi quelle
‘peer-to-peer’, tipicamente utilizzate in presenza di
hub per la condivisone di file. L’attaccante in questo
caso forza i client a sconnettersi dal loro interlocutore e a connettersi con l’unica vittima designata.
Un attacco DDoS non modifica, copia o cancella
dati o programmi, ma rende satura e quindi non
più utilizzabile per tutto il periodo dell’attacco la
risorsa obiettivo. Non porta danni al patrimonio
informativo, ma alla disponibilità dei servizi ICT
forniti dalle risorse attaccate.
Per approfondire questa tipologia di attacchi si veda
l’articolo in questa rubrica pubblicato sul numero 5
di Office Automation di maggio 2011 (l’archivio di
tutti gli articoli della Rubrica OAI sono disponibili
alla pagina web http://www.malaboadvisoring.it).
Esempio di uno schema
di difesa predefinito
Ma come difendersi da tali attacchi? È difficile ma
si può con una difesa pre-definita e ben preparata,
articolata su più misure. Come esempio di una buona difesa da DoS/DDoS si illustra quella di Seeweb,
un fornitore italiano di cloud (www.seeweb.it), articolata in tre fasi principali.
1) Individuazione proattiva dell’attacco: viene controllato, in tempo reale, il traffico IP su tutta la loro
rete; quando rilevano scostamenti statistici rilevanti rispetto alle medie è un segnale d’allarme che
comporta un’analisi approfondita per individuare
se si tratta di un attacco, e se sì quali sono le fonti
principali e quale è il target del medesimo.
2) Mitigazione di primo livello del flusso malevolo
senza degrado del servizio sul bersaglio, di solito
i sistemi in cloud di un cliente. L’azione si basa su
un insieme di misure adottate a seconda del tipo di
attacco e dei requisiti di servizio previsti per il cliente. Tra le misure il filtraggio del traffico con ACL sui
border router o in modi più avanzati sui firewall, se
necessario dedicandone uno o più al cliente sotto
attacco in maniera rapida ed automatica. In caso
di attacchi a livello Http attivazione di ‘transparent
proxy’ che lasciano passare verso i server o l’infrastruttura cloud del cliente solo il traffico legittimo.
3) Mitigazione di secondo livello del flusso malevolo con degrado della raggiungibilità del servizio
bersaglio, utilizzando prevalentemente tecniche di
‘blackholing’ e accordi con carrier e ISP di transito
della rete. Un black hole, o buco nero, è un insieme
di indirizzi IP cui vengono destinati i pacchetti dei
flussi informativi malevoli di un DDoS. Un blackhole deve essere attivato e disattivato a fine attacco
Compilare! Compilare! Compilare!
È in corso la raccolta dei dati sugli attacchi subiti da
imprese e altre organizzazioni in Italia. Vi invitiamo a
compilare e far compilare online il Questionario OAI
2012, anonimo, disponibile sui siti web di Soiel (www.
soiel.it), dell’autore (www.malaboadvisoring.it) e di
tutte le Associazioni patrocinanti.
in tempo reale e può essere messo in campo con
gestori fortemente ‘multihomed’ dal punto di vista
dei transiti IP, così da sacrificare solo piccole regioni
della rete Internet.
Per poter attivare e gestire questo tipo di misure,
sono necessari alcuni prerequisiti anche organizzativi, che includono:
• l’attivazione di un piano di interventi e di un team
anti DDoS con procedure e strumenti predefiniti
per riconoscere l’attacco, individuarne le fonti,
mitigarne gli impatti e riprendere poi la situazione normale; importanti gli accordi con i vari provider di rete e l’uso di procedure ‘post attacco’,
per analisi delle vulnerabilità e dei gap tecnici e
organizzative, oltre che per eventuali forensic;
• definizione di un’architettura ICT a elevata affidabilità e sicurezza, che preveda logiche di black
holing e di filtraggi, con utilizzo di router e firewall a elevate prestazioni;
• aggiornamento e documentazione sistematica
e tempestiva di tutte le risorse ICT;
• monitoraggio sistematico dei sistemi e delle loro
prestazioni, con gestione e correlazione degli
eventi per essere proattivi;
• conoscenza e controllo continuo dei trend e delle
tecniche di attacco.
Marco Bozzetti
[email protected]
settembre 2012
89