A pochi giorni dal primo anniversario del grande attacco contro il provider Dyn, sembra che le acque si siano calmate sul fronte degli attacchi DDoS. Del resto, quest’anno non abbiamo assistito a gravi interruzioni della rete di portata intercontinentale con ripercussioni sui più diffusi servizi e le più popolari applicazioni online. Questa è una buona notizia, ma ce n’è anche una cattiva: l’assenza di attacchi non è dovuta a un’assenza di tentativi.
Gli attacchi DDoS sono ormai divenuti alla portata di tutti grazie ai servizi low-cost (booter/stresser) che permettono di lanciare attacchi al costo di un caffè. Esistono inoltre centinaia di strumenti che permettono a qualunque malintenzionato che disponga di una connessione Internet di sferrare un attacco. Questi strumenti hanno rivoluzionato il panorama delle minacce informatiche e hanno anche modificato nettamente le tipologie di aziende che rappresentano i potenziali bersagli degli aggressori informatici. In passato, gli attacchi DDoS si concentravano su determinati settori, tra cui soprattutto quello finanziario, sui siti di gaming e sull’e-commerce. Oggi invece qualsiasi attività, per qualsiasi ragione e qualsiasi offesa o affiliazione reale o percepita, può diventare un bersaglio da colpire.
A fronte di attacchi sempre più frequenti, estesi e complessi, la scelta delle misure di protezione da adottare contro le minacce DDoS è più importante che mai.
I grandi attacchi DDoS non accennano a fermarsi
Mentre la frequenza degli attacchi può essere ricondotta al fiorente mercato di servizi e strumenti DDoS, la crescente grandezza degli attacchi è favorita dalle tecniche di reflection/amplification e dalla comparsa delle botnet IoT.
Queste tecniche incrementano la quantità di traffico a disposizione degli aggressori. Un esempio sono i resolver DNS utilizzati spesso dagli aggressori per effettuare lo spoofing degli indirizzi IP delle vittime. L’invio di una query DNS ai resolver aperti determina infatti la trasmissione al server della vittima di una risposta anche 50 volte più grande della query originale.
I dispositivi IoT integrati sono estremamente vulnerabili e generalmente vengono lasciati sempre accesi; inoltre le reti in cui risiedono offrono connessioni ad alta velocità che consentono un volume di traffico relativamente elevato per gli attacchi DDoS su ogni dispositivo compromesso. Di fronte a uno scenario di questo tipo, è facile capire perché le imponenti dimensioni degli attacchi DDoS rappresentino ormai un tema di scottante attualità.
I principali bersagli degli attacchi DDoS
Qualche numero
Arbor Networks ha analizzato la quantità di attacchi DDoS nel mondo nel corso del 2017 (fino al 30 settembre): nel corso dei 272 giorni di analisi ci sono stati 6,1 milioni di attacchi DDoS, che equivalgono rispettivamente a 22.426 attacchi al giorno, 934 attacchi all’ora e 15 attacchi al minuto.
Arbor ha inoltre condiviso un’infografica legata agli attacchi informatici registrati in Italia nel corso del mese di Settembre, attraverso i dati messi a disposizione da Atlas (Active Threat Level Analysis System), il progetto collaborativo sviluppato dall’azienda insieme a 400 service provider clienti che hanno accettato di condividere anonimamente dati anonimi di traffico.
Tra i dati più significativi:
• Nel solo mese di Settembre ci sono stati 7.900 attacchi informatici in Italia, con una media di circa 263 attacchi al giorno.
• Il 31% di questi è stato sferrato direttamente dall’Italia, stessa percentuale dagli Stati Uniti, il 19% dalla Francia e stesso dato anche dal Regno Unito.
• Il più grande attacco, registrato a fine mese, è stato di 28.7 Gbps
