La battaglia agli attacchi di DDoS alle Olimpiadi di Rio ha vinto l’oro
Il grande evento sportivo e mediatico è stato bersagliato da attacchi Distributed Denial-of-Service prolungati e su larga scala, che hanno raggiunto i 540 Gb/sec. Ma i sistemi di difesa hanno funzionato bene, come ci raccontano gli esperti di Arbor Networks.
Pubblicato il 24 settembre 2016 da Redazione
Le Olimpiadi sono un tradizionale bersaglio dei criminali informatici, attratti dalla ghiotta occasione di un evento a grandissima copertura mediatica, di un racconto che per settimane prendere forma nelle piste dell’atletica e nelle piscine, ma anche in Tv e sul Web. Accanto allo spam che propina una variegata offerta di biglietti e offerte fasulle, un metodo molto popolare è quello degli attacchi Distributed Denial-of-Service (DDoS), che certo non hanno risparmiato neppure le Olimpiadi di Rio di quest’estate. Ma con un esito tutt’altro che felice per gli hacker: la trentunesima edizione dei giochi olimpici dell’era moderna è stata un successo per chi ha cercato di difendere le infrastrutture informatiche dell’evento.
Quella combattuta dietro le quinte è stata, infatti la più lunga campagna di attacchi DDoS al di sopra dei 500 Gb/sec mai rilevata fino ad ora. E tuttavia, per chi ha fruito dello spettacolo delle Olimpiadi sui canali digitali tutto ha funzionato alla perfezione. Ce ne parlano due esperti di Arbor Networks, il principal engineer Roland Dobbins e il senior consulting engineer Kleber Carriello (la versione italiana è a cura di Ivan Straniero, regional manager, Southern & Eastern Europe).
Ancor prima dell’inizio della cerimonia di apertura delle Olimpiadi di Rio, Web-property rivolte al pubblico e organizzazioni affiliate alle Olimpiadi stesse sono finite sotto il fuoco incrociato di attacchi DDoS prolungati e sofisticati su larga scala, che hanno raggiunto i 540 gb/sec. Nonostante gli attacchi siano cominciati mesi prima dell’inizio dei Giochi, le raffiche si sono intensificate durante la manifestazione, dando vita alla più lunga campagna di attacchi DDoS al di sopra dei 500 gb/sec mai rilevata fino ad ora. E nessuno se n’è accorto.
Questa è la conditio sine qua non della protezione DDoS: conservare la disponibilità su larga scala, anche in caso di attacco esperto e deciso. E proprio come per i numerosi altri servizi su cui contiamo tutti i giorni, quali elettricità, acqua potabile, trasporti e soccorsi, il parametro ultimo del successo è che la collettività possa continuare la propria attività e occuparsi dei propri interessi senza mai sapere o preoccuparsi delle titaniche lotte virtuali che si scatenano nell’ombra. Come mai prima d’ora, le Olimpiadi di Rio hanno alzato l’asticella di una mitigazione efficace, rapida e professionale degli attacchi DDos con un controllo estremamente attento, assolutamente nuovo per un importante evento internazionale.
Negli ultimi mesi, numerose organizzazioni affiliate alle Olimpiadi sono state prese di mira dagli attacchi volumetrici DDoS su larga scala da decine fino a centinaia di gigabit al secondo. Gran parte del volume di attacco consisteva in vettori di attacco amplificato/riflesso UDP come Dns, Chargen, Ntp e Ssdp, oltre ad attacchi diretti flood con pacchetto Udp, Syn flood e application-layer mirati ai servizi Web e Dns.
Una delle caratteristiche relative alla sicurezza dell’informazione, in generale, e alla difesa DDoS, in particolare, è il rilevamento di nuove metodologie di attacco tentate da esperti e utilizzate sporadicamente per anni prima che vengano trasformate in “armi” e rese disponibili tramite l’automazione ad autori meno esperti o privi di esperienza. Fin dalla fine degli anni Novanta sono stati riscontrati vari tipi di attacchi amplificati/riflessi ad alto impatto o alto volume, poi tre anni e mezzo fa la loro diffusione si è ampliata perché inclusi nell’arsenale di “botnet in affitto” per attacchi DDoS e nei cosiddetti servizi “booter/stresser”. Ciò ha portato a un ambiente di minacce fortemente asimmetrico che favorisce anche i meno esperti per via del fatto che sono ormai sufficienti un semplice click e una manciata di Bitcoin per avere accesso a queste “armi di distruzione di massa” in Internet. È una storia che si ripete continuamente, con gruppi disparati di scellerati, indipendenti fra di loro, che riscoprono meccanismi d’attacco più sofisticati per poi trasformarli in armi con accattivanti interfacce grafiche e perfino con un servizio di “assistenza clienti” online 24 ore su 24 per sette giorni su sette!
A partire dalla fine del Duemila, abbiamo iniziato a rilevare la presenza di autori più esperti che usavano occasionalmente i protocolli meno noti per gli attacchi DDoS, quasi sicuramente nel tentativo di bypassare le Acl sui router, le regole del firewall e le altre forme di difesa DDoS configurate dagli operatori che prendevano in considerazione soltanto i protocolli Tcp, Udp e Icmp. In molti casi, questi attacchi hanno avuto un iniziale successo finché gli addetti alla difesa non hanno finalmente dedotto quanto stava succedendo, di solito con un’analisi telemetrica di NetFlow, con sistemi di raccolta/analisi e di rilevamento delle anomalie come Arbor SP.
E oggi vediamo che le stesse tattiche di attacco sono state riscoperte, trasformate in armi e utilizzate durante le Olimpiadi di Rio. In particolare, gli autori degli attacchi hanno generato notevoli quantità di traffico Gre DDoS; questa “nuova” metodologia di attacco è ormai incorporata nella stessa botnet di IoT. Per quanto riguarda i “nuovi” tipi di attacchi DDoS inventati, ci aspettiamo di vedere entro breve l’aggiunta del protocollo Gre nei repertori degli altri servizi “botnet in affitto” e “booter/stresser”.
Chi si occupava della protezione da attacchi DDoS durante la trasmissione online delle Olimpiadi di Rio sapeva che sarebbe stato un impegno gravoso e si è preparato di conseguenza. Prima dell’inizio dei Giochi è stata svolta un’enorme mole di lavoro: capire tutti i diversi server, i servizi, le applicazioni e le relative politiche di accesso, mettere a punto le metriche di rilevamento delle anomalie in Arbor SP, selezionare e configurare contromisure situazionali DDoS in Arbor TMS, coordinare con il team Arbor Cloud servizi di mitigazione DDoS “cloud” con overlay, istituire team virtuali con adeguato personale operativo dalle organizzazioni pertinenti, garantire l’implementazione adeguata dell’infrastruttura di rete e Dns Bcp, definire i canali di comunicazione e le procedure operative e altro ancora.
Ecco perché le Olimpiadi DDoS 2016 sono state un successo senza precedenti per gli addetti alla difesa. Gran parte degli attacchi DDoS va a buon fine semplicemente per la mancanza di personale preposto ad arginarli, ma questo sicuramente non è stato il caso di Rio. La sorprendente vittoria dell’estesa squadra di difesa DDoS per le Olimpiadi di Rio 2016 dimostra che mantenere la disponibilità nonostante attacchi sofisticati, persistenti e su larga scala rientra perfettamente nelle capacità delle organizzazioni che si preparano in anticipo per difendere le loro proprietà online, anche considerando i riflettori internazionali e i miliardi di persone del pubblico online in tutto il mondo. La combinazione di abili addetti alla difesa, le migliori soluzioni difensive DDoS e un lavoro di squadra dedicato basato sull’interazione fra le organizzazioni si è ripetutamente dimostrata la chiave vincente per la difesa DDoS, ancora di più in occasione delle Olimpiadi di Rio 2016.
SICUREZZA
- Non solo ransomware: l’estorsione viaggia con il phishing
- Gli antivirus di Kaspersky sono sicuri? Un audit dice di sì
- Firewall di rete Fortinet per filiali, campus e data center ibridi
- Cybersicurezza, responsabilità estese a più settori con la Nis 2
- Cybersicurezza, Microsoft rafforza consulenza e servizi gestiti
FOCUS
- Sicurezza e cloud ibrido, i focus del sistema operativo Rhel 9
- Pc in calo in Europa Occidentale, la guerra non aiuta le vendite
- Data experience e subscription, i volani di Pure Storage
- Nuovi record e lunga vita agli hard disk (anche grazie al cloud)
- Dal SaaS, e soprattutto in Europa, la nuova spinta per Infor
