Internet è il luogo di incontro ideale per chi condivide gli stessi interessi. Lo è sia per chi vuole entrare in contatto con amici, colleghi e sconosciuti per raccogliere denaro a scopi benefici, sia per chi, al contrario, intende pianificare attacchi informatici con motivazioni ideologiche o politiche. Ed è proprio quest'ultima tipologia di utenti, definiti con il nome di hacktivisti, ad avere oggi un sensibile impatto sullo scenario globale della protezione dalle minacce.
Lo studio annuale Worldwide Infrastructure Security Report realizzato da Arbor Networks (una ricerca sulla community dedicata alla sicurezza operativa di Internet pubblicato a febbraio 2012), mette in evidenza esattamente questo tipo di scenario. Per il 66% degli intervistati, gli atti di hacktivismo e vandalismo perpetrati a fini ideologici costituiscono l'elemento motivante degli attacchi DDoS osservati ai danni delle aziende.
Un esempio recente è costituito dall'attacco del mese scorso che ha violato posta elettronica e altri servizi Internet della BBC; i sospetti dell'ente televisivo britannico si sono orientati verso gli hacker iraniani dell'Iran Cyber Army, impegnati probabilmente nel tentativo di interrompere le trasmissioni del servizio della BBC in lingua persiana.
Nelle ultime settimane anche il Ministero degli Interni britannico ha riferito di essere stato oggetto di cyber-attacchi che promettono di essere l'anticipazione di una serie di minacce più estesa destinata a colpire il governo del Regno Unito con cadenza settimanale.
Il rischio non riguarda però solo le organizzazioni di alto profilo o quelle politicamente impegnate. Qualsiasi impresa dotata di una presenza online, e di conseguenza moltissime delle realtà operanti in Europa e anche in Italia a prescindere da dimensioni e tipologia di attività, può infatti diventare un potenziale bersaglio per una serie di motivi: chi è, cosa vende, chi sono i suoi partner, o qualunque altra affiliazione effettiva o percepita. Nessuno è immune.
Una vasta gamma di nuovi tool è immediatamente disponibile e scaricabile in un attimo dalla Rete per lanciare un attacco da chiunque abbia una motivazione e una connessione Internet. Un altro elemento di grande importanza è il fiorire e il prosperare delle reti bot nell'economia sommersa. Le reti botnet offerte in affitto si stanno infatti diffondendo permettendo a utenti non qualificati di sfruttarne i servizi a prezzi di occasione.
Proprio come avviene per un'impresa che intende sottoscrivere i servizi di un provider tecnologico o utilizzare dei servizi di mitigazione DDoS cloud-based, gli hacktivisti possono noleggiare un servizio DDoS per sferrare i loro attacchi. Nulla di più semplice.
Anche se il fenomeno dell'hacktivismo ha recentemente attirato su di sé l'attenzione dei mass media, si continuano a osservare anche casi di attacchi DDoS lanciati per ottenere vantaggi competitivi. Ad esempio, il servizio di sicurezza russo FSB ha arrestato il CEO di ChronoPay, il maggiore gestore nazionale di pagamenti online, per aver presumibilmente ingaggiato un hacker per attaccare la concorrenza; nello specifico sarebbero stati causati danni all'azienda rivale Assist paralizzandone il sistema per la vendita dei biglietti aerei sul sito Aeroflot.
L'ex CEO di You Send It ha invece lanciato per vendetta un attacco denial-of-service sui server della propria società. In entrambi i casi, ciò che emerge è la facilità con la quale oggi è possibile organizzare e portare a termine un attacco.
Le difese devono essere adattabili. Ecco come
Tutti i fattori sopra descritti comportano implicazioni impressionanti
in termini di scenario delle minacce, profilo del rischio, architettura
di rete e deployment di sicurezza per qualsiasi impresa e service
provider. Con la democratizzazione del DDoS si è assistito a un
cambiamento sostanziale degli attacchi stessi. I metodi generalmente
adottati in passato dagli hacker hanno infatti subito un'evoluzione: da
tradizionali minacce di tipo volumetrico si sono trasformati in azioni
furtive come attacchi rivolti contro il layer applicativo o attacchi di
stato contro firewall e IPS, in alcuni casi usando un mix di queste tre
tecniche.
Gli attacchi multi-vettore, ovvero quelli in cui gli hacker si servono
di più minacce contemporaneamente, stanno diventando sempre più diffusi.
Nel 2011 Sony ha subito un attacco di alto profilo che ha violato gli
utenti di PlayStation Network, Qriocity e Sony Online Entertainment
attraverso una serie di attacchi denial of service distribuiti.
Finalizzati a bloccare una rete o come mezzo per distrarre il bersaglio e
sottrargli dati sensibili, le minacce DDoS continuano ad evolvere
assumendo modalità sempre più complesse e sofisticate. Mentre alcuni
attacchi DDoS hanno raggiunto livelli di 100 Gbps, le minacce rivolte
contro il layer applicativo si sono notevolmente diffuse proprio perché
sfruttano la difficoltà di poterle rilevare prima che impattino i
servizi grazie alla loro natura “low-and-slow”.
Secondo quanto emerso dallo studio Worldwide Infrastructure, gli
attacchi DDoS hanno causato problemi a livello di firewall e/o IPS per
il 40% degli intervistati, e malfunzionamenti a livello di load balancer
per il 43% degli aderenti al sondaggio. In entrambi i casi si tratta di
prodotti rilevanti per il sistema di sicurezza IT, ma che non sono
stati pensati per proteggere la disponibilità. Al fine di consentire la
miglior tutela possibile, le imprese devono ricorrere a un approccio
multi-livello che abbini un dispositivo on-premise specifico a un
servizio in-cloud.
La questione dei costi è un altro aspetto primario. Essere offline e non
operativi produce un impatto devastante non solo finanziariamente, a
causa delle perdite di fatturato e di clienti, ma anche in termini di
reputazione aziendale.
L'attacco sferrato contro la rete Sony Playstation si è tradotto in
perdite pari a 171 milioni di dollari; danno che si è riversato anche
sulla pubblicità negativa con miliardi di dollari di erosione in termini
di capitalizzazione di mercato. Se è vero che questo è un caso estremo,
ben poche sono comunque le imprese che possono permettersi una crisi di
disponibilità per un periodo di tempo prolungato.
La mitigazione degli attacchi DDoS non è una soluzione a breve termine.
Arbor Networks ritiene che debba invece essere inserita da parte delle
aziende nelle considerazioni generali per la pianificazione del rischio.
Proprio come i sistemi di sicurezza fisica possono subire le
conseguenze di incendi o condizioni meteo estreme, la sicurezza digitale
deve calcolare e prevedere possibili minacce alla disponibilità, in
particolare gli attacchi DDoS. Per questa ragione è oggi imperativo
sviluppare un piano che permetta di identificare e bloccare le minacce
prima che queste impattino sui servizi – proprio come accade con i
disastri naturali come terremoti o inondazioni.
Le imprese devono pertanto inserire le valutazioni riguardanti le
minacce DDoS all'interno dei loro piani di business continuity; nel caso
in cui non vi provvedano e diventino oggetto di attacchi, i danni e la
mancanza di strumenti mirati determineranno tempi di disservizio
maggiori e costi ingenti sia in termini di perdite finanziarie che di
danni di immagine per il brand.
Ivan Straniero è Territory Manager Italy & SE Europe di Arbor Networks