Pubblicato: 28 Luglio 2020  -  Ultimo aggiornamento: 27 Febbraio 2021

DDoS: cos’è un attacco Denial of Service distribuito e come deve evolvere la sicurezza informatica

DDoS: cos’è un attacco Denial of Service distribuito e come deve evolvere la sicurezza informatica

Tempestare un sito o un servizio digitale di richieste fino a metterlo ko. Ecco cos’è un attacco DDoS che letteralmente significa negazione (o interruzione) distribuita del servizio (DDoS – Distributed Denial of Service), un sistema di attacco che inoltra traffico in entrata su una risorsa IT (un sito internet, un web server, ecc.) fino ad esaurirla/intasarla, al punto da non poter più erogare i servizi che funzionano con tale risorsa (per esempio la piattaforma eCommerce, oppure il sistema di ticketing o l’help desk, integrata nel sito web dell’azienda).

Quando parliamo di DDoS, o attacco Denial of Service distribuito, ci riferiamo ad una tipologia di attacco tanto semplice da mettere in atto quanto proporzionalmente efficace dal punto di vista del risultato, al punto da mandare il tilt anche aziende con infrastrutture critiche come ospedali o aeroporti.

Cerchiamo allora di capire di cosa si tratta e come ci si può difendere.

Attacco DDoS (Distributed Denial of Service): cos’è, cosa significa e perché rappresenta una minaccia per le aziende

Un attacco DDos, come accennato, rappresenta un pericolo che tiene le aziende sempre “in guardia” perché è facilmente sferrabile (anche da hacker con poca esperienza) e può provocare danni seri con una certa facilità. Un attacco DDoS, infatti, non è altro che una tempesta di “segnali digitali” – provenienti da più fonti distribuite – “fasulli” che mandano in tilt le risorse informatiche che ricevono tali segnali informatici.

Per capire meglio di cosa si tratta, bisogna fare un passaggio indietro e spiegare cosa sia il DoS, cioè il Denial of Service (un attacco non distribuito ma “semplice”): l’attacco viene sferrato mandando migliaia e migliaia di richieste di accesso ad una risorsa IT (server, reti di distribuzione, siti internet, web server, server di posta, ecc.), da un’unica sorgente di traffico (per esempio un numero consistente di email in arrivo tutte contemporaneamente al punto da mettere ko il server di posta).

Nel caso degli attacchi DDoS, invece, le sorgenti di traffico possono essere molteplici (ecco perché si tratta di un attacco distribuito) ed anche le risorse IT colpite possono essere diverse e subire l’attacco contemporaneamente.

Da questa distinzione si capisce subito cosa significa DDoS e quale minaccia rappresenta concretamente per le aziende che possono subire interruzioni – con conseguenze dirette sul business e, quindi, anche con impatti economici – di differenti livelli di gravità, dipendenti non tanto dall’attacco in sé, quanto dalla capacità di bloccarlo o ripristinare i servizi senza provocare danni o limitarne la portata.

Il perché questo tipo di attacchi rappresenti una minaccia concreta per le aziende lo spiegano, purtroppo, i recentissimi fatti di cronaca: la scorsa settimana (20-24 luglio 2020), l’FBI – Federal Bureau of Investigation ha rilasciato un avviso – di cui ha dato notizia il sito ZDnet – annunciando di aver scoperto nuovi protocolli di rete sfruttati (ma sarebbe meglio dire “abusati”) per lanciare attacchi DDoS (Distributed Denial of Service) su larga scala.

I nuovi protocolli di rete scoperti per gli attacchi DDoS – CoAP (Constrained Application Protocol), WS-DD (Web Services Dynamic Discovery), ARMS (Apple Remote Management Service) e il software di automazione basato sul web Jenkins – sono ritenuti essenziali per molti dei dispositivi in ​​cui vengono utilizzati, in particolare dispositivi IoT e smartphone; secondo l’FBI è dunque improbabile che vengano rimossi o modificati. Questo significa che ci dobbiamo attendere una nuova ondata di attacchi DDoS nell’immediato futuro.

Botnet, il “vettore” degli attacchi DDoS

Lo strumento principale con il quale i cybercriminali sferranno attacchi DDoS è rappresentato dalle cosiddette botnet, reti di computer e dispositivi connessi a Internet (tra i quali anche i più recenti dispositivi IoT) che vengono infettati con un malware – per esempio un trojan, un tipo di malware che si “nasconde” all’interno di un’applicazione o un servizio IT “regolare” che viene infettata con del codice malevolo – per consentirne l’accesso e la gestione da remoto (nonché per renderli parte attiva di questa rete di dispositivi).

Botnet concept
Botnet: reti di computer e dispositivi connessi a Internet (tra i quali anche i più recenti dispositivi IoT) vengono infettati con un malware per prenderne il controllo da remoto

Gli hacker sfruttano le botent per utilizzare la potenza di calcolo e le risorse dei dispositivi connessi per avviare processi ed attività automatizzate – che gli utenti e gli stessi dispositivi infetti non vedono – come per esempio per sferrare un attacco DDoS.

Un esempio tristemente noto di botnet sfruttata per diversi attacchi DDoS che ha “messo in ginocchio” molte realtà a livello globale è Mirai. Installato su un gran numero di dispositivi IoT, la botnet ha fatto da vettore per svariati attacchi DDoS che hanno provocato l’inaccessibilità di diversi siti web di alto profilo come GitHub, Twitter, Reddit, Netflix, Airbnb, Amazon, New York Times e molti altri, bloccato il traffico del maggior cloud provider della Liberia, messo ko le connessioni Internet e telefoniche di circa un milione di persone in Germania.  

Tipologie di un attacco Denial of Service distribuito

Gli attacchi DDoS possono essere di tipologie differenti, a seconda dei metodi utilizzati dai cybercriminali per perpetrare gli attacchi:

  • attacchi alle connessioni TCP, in questo caso si mira ad intasare il sistema di comunicazione dati rendendo così impossibile l’accesso alle risorse digitali che sfruttano questi protocolli di rete (i cybercriminali agiscono per saturare velocemente le risorse di rete);
  • attacchi volumetrici, in questo caso l’obiettivo è sviluppare un volume di traffico verso le risorse IT così elevato da risultare ingestibile. Gli hacker mirano a saturare la banda di comunicazione facendo arrivare su di essa, contemporaneamente, un numero elevato di richieste di accesso ai servizi e alle risorse IT sviluppando un traffico di dati/richieste così elevato da congestionare i server o la rete di distribuzione che bloccano tutti i nuovi tentativi di connessione;
  • attacchi applicativi, sono quelli che mirano a specifiche risorse IT, in particolare soluzioni software che vengono attaccate fino a renderle inutilizzabili nei consueti processi aziendali;
  • attacchi di frammentazione, in questo caso i cybercriminali non intasano la rete di comunicazione e distribuzione ma inviano enormi quantità di richieste incomplete (inviando pacchetti di dati incompleti perché possa avvenire una transazione), al punto da bloccare i server o la rete di distribuzione che continuano a lavorare ininterrottamente nel tentativo di ricostruire tali richieste incomplete.

Come difendersi: ascoltare i sintomi

Per capire se si sta subendo un attacco DDoS, prima che si “blocchi tutto”, è importante “ascoltare i sintomi”. Secondo il United States Computer Emergency Readiness Team (US-CERT) i sintomi di un attacco DDoS sono i seguenti:

  • prestazioni di rete insolitamente lente (apertura di file o accesso a siti Web);
  • indisponibilità di un determinato sito web;
  • incapacità di accedere a qualsiasi sito web;
  • drammatico aumento del numero di e-mail di spam ricevute (questo tipo di attacco DoS viene detto “mail bomb”);
  • disconnessione di una connessione internet wireless o cablata;
  • negazione a lungo termine dell’accesso al web o di qualsiasi servizio Internet.