Perchè gli attacchi DDoS sono in aumento

Botnet ed attacchi DDoS

Una ricostruzione dell’attacco DDoS che ha colpito gli USA lo scorso Ottobre 2016. L’attacco è stato lanciato anche grazie al malware Mirai ed all’hacking di migliaia di telecamere di sorveglianza connesse ad Internet.

Gli analisti Deloitte hanno pochi dubbi: tra il 2015 ed il 2017 l’intensità e la quantità di attacchi DDoS è cresciuta esponenzialmente e le stime (parziali) per l’anno entrato ormai nel suo ultimo trimestre sono poco rassicuranti.

Nel rapporto “Technology, Media e Telecommunications Predictions 2017” si sottolinea infatti che da picchi di 300-500 Gbps del periodo 2013-2015 si è passati direttamente ad 1 Tbps (terabit al secondo): il nuovo record è stato stabilito per l’esattezza dal malware IoT Mirai che, circa un anno fa, ha paralizzato per diverse ore il traffico di rete di mezzo Nord America.

Nel 2017 si verificheranno in totale 10 milioni di attacchi con intensità media compresa tra 1.25 Gbps ed 1.5 Gbps: 1Gbps, aggiungono gli analisti, è più che sufficiente per mandare offline un buon numero di organizzazioni. Naturalmente anche i servizi di protezione e mitigazione si sono evoluti (Cloudflare afferma di poter reggere fino a 15 Tbps) ma il proliferare di dispositivi intelligenti e la diffusione incontrollata di “kit fai da te” (molto semplici da utilizzare) per il lancio di attacchi hanno portato ad una rapida escalation del fenomeno.

Internet delle Cose

I dispositivi connessi alla rete, come le telecamere di sorveglianza, sono tra i bersagli preferiti di chi pianifica attacchi DDoS

I dispositivi connessi alla Rete, come le telecamere di sorveglianza, sono tra i bersagli preferiti di chi pianifica attacchi DDoS.

Degli inadeguati standard di sicurezza nell’Internet delle Cose avevamo già parlato in un precedente approfondimento. Gli analisti affermano che la diffusione dei dispositivi intelligenti è il primo trend a rafforzare l’impatto degli attacchi DDoS in Rete.

Telecamere di sorveglianza (come nell’attacco lanciato a DYN), videoregistratori digitali, frigoriferi e qualsiasi altro device connesso alla Rete è un potenziale bersaglio di Mirai (malware pensato per hackerare device IoT) e derivati.

Gli analisti ricordano che il problema principale è rappresentato dall’impossibilità di cambiare username e password predefinite. Chiunque possegga adeguate conoscenze di informatica e programmazione può tentare di dedurre le “credenziali” cimentandosi nell’analisi dei firmware o studiando i documenti rilasciati dai produttori.

Se i device vulnerabili non fossero noti ai malintenzionati la minaccia sarebbe sicuramente meno preoccupante ma sul “deep web” circolano svariati elenchi di obiettivi le cui difese sono potenzialmente aggirabili.

Una seconda criticità è la scarsa propensione degli utilizzatori di device intelligenti alla modifica delle credenziali di accesso (quando possibile), alla quale contribuiscono le seguenti cause: non curanza degli utilizzatori; procedure di modifica dei dati complesse e meno intuitive rispetto a quelle disponibili via smarpthone e PC che scoraggiano quindi l’utente medio; assenza di indicatori (indicazioni a schermo o simili) che possano segnalare la presenza di nuovi aggiornamenti o rivelare lo svolgimento di un’attività anomala (come la “partecipazione” ad un attacco DDoS); non curanza dei vendor che non si impegnano nel rendere compatibili i device con un ampio numero di browser e sistemi operativi:

L’alta vulnerabilità dei dispositivi IoT rispetto ai meglio protetti PC, tablet e smartphone incoraggerà sicuramente gli hacker a focalizzarsi sui primi per la creazione di botnet ed il lancio di attacchi DDoS” si legge nel rapporto.

Abbassamento dei prerequisiti

Il lancio di un attacco DDoS richiede avanzate conoscenze informatiche. Non è facile improvvisarsi hacker, prendere il controllo di un sistema e gestire delle botnet. Sebbene tutto questo sia ancora vero, la diffusione di “manuali d’istruzioni” e strumenti in grado di semplificare l’esecuzione di varie procedure rappresenta sicuramente una grave minaccia per la sicurezza della Rete.

L’esempio menzionato degli analisti fa nuovamente riferimento al malware Mirai che, dopo essere stato impiegato per lanciare un primo attacco da 625 Gbps (settembre 2016, l’obiettivo era il blog del giornalista Brian Krebs), finì direttamente in Rete – un interessante pacchetto di codici sorgente ed istruzioni.

In modo analogo la diffusione di documenti top secret trafugati dall’archivio NSA (ad opera di Shadow Brokers) ha permesso ad altri malintenzionati di “confezionare” dei malware, relativamente facili da utilizzare, pensati per estorcere denaro (ransomware Wannacrypt) e causare danni (wiper Petya).

Ampiezza di banda e potenziamento delle infrastrutture di Rete

Nel 2017 sono stati potenziati diversi sistemi di cavi sottomarini che inaugurati “nuovi tracciati” come ad esempio quello Stati Uniti – Europa (Marea) da 160 terabit al secondo (al momento il più veloce dell’Atlantico). Allo stesso tempo aumentano nel mondo gli utenti che dispongono di accesso parziale o diretto ad impianti in fibra ottica. Cosa comporta tutto questo secondo gli analisti?

Semplicemente che gli hacker disporranno di una maggiore ampiezza di banda, trasformando un device ospitato su una linea da 1 Gbits (in Italia rappresentano ancora una percentuale a singola cifra) in uno strumento in grado di causare ancora più danni. E nel 2020, conclude il paragrafo dedicato agli attacchi DDoS, ci saranno nel mondo centinaia di milioni di utenti con connessioni prossime al Gbits.

Fonte: 1