DDoS ed effetto domino

-
Cari amici (mi verrebbe da dire vicini e lontani) scommetto che non ce ne è uno di voi che non sappia cosa sia un DDoS e certo non sarò io a tediarvi (basterà guardare il link a Wikipedia). Però temo, e lo dico purtroppo per esperienza, che pochi hanno ben compreso le reali ripercussioni di un DDoS. Del resto ne avevo già parlato circa un anno fa con l'avvento dell'Hacktivismo digitale.

Parliamoci chiaro: pochi sanno gestire un attacco DDoS anche perché poche sono le reali contromisure da mettere in campo. Ma se è vero che "tanto non ci si può fare molto", è anche vero che un migliore partizionamento dei sistemi in frontend, ed in backend, può mitigare il rischio. 

Il DDoS condotto su una macchina o un sistema di front-end infatti potrebbe propagarsi all'interno inficiando anche i sistemi o le applicazioni utilizzate dentro l'infrastruttura. A quel punto tutte le belle idee del tipo "ma tanto al massimo il sito non è raggiungibile" si vanno a far friggere. E' questo il cosiddetto effetto domino e qui ne avete un esempio "reale".

Ecco quindi alcuni spunti di riflessione o se volete consigli:
  • avete più siti su uno stesso server, ma di differente importanza: considerate che se il sito di minore importanza venisse attaccato, anche quello più importante potrebbe non essere più raggiungibile;
  • domandatevi se in una condizione di attacco gli apparati di rete potrebbero avere ripercussioni interne tali da compromettere la navigazione dall'interno o peggio l'utilizzo della rete;
  • l'attacco DDoS potrebbe essere un diversivo per sviare l'attenzione da un attacco mirato ad un altro sistema;
  • contattate il vostro fornitore di connettività e definite con lui una strategia; sono loro che possono evitare la saturazione dei vostri sistemi: se i pacchetti arrivano ai vostri sistemi siete voi a doverli gestire e quindi avete perso!
  • le blacklist di IP non servono a niente! I DDoS oggi vengono condotti utilizzando Botnet e quindi gli IP sono sempre differenti;
  • Non vi fidate del vostro Web Server che dice di essere protetto dal SYN Flood: nel caso di SYN Flood da IP sorgenti diversi le contromisure che implementano sono quasi sempre vane;
  • poiché le Botnet comprendono un numero di macchine spesso localizzate al di fuori dei confini nazionali, domandatevi se è un'opzione per voi preservare il traffico nazionale ed escludere il traffico in entrata dall'estero nel momento dell'attacco (ovvio che il rubinetto lo chiude il vostro fornitore di connettività): scegliete il male minore!
  • Le Botnet non sono un'oscura creazione di una pozione magica: per poche centinaia di euro si comprano migliaia di PC infettati con server di C&C e GUI di amministrazione; quindi, per esempio, io che vivo a Torino compro una Botnet da un sito russo e decido di attaccare la società ACME S.p.A italiana che non saprà mai che sono stato io; se poi qualcuno si illude di potermi rintracciare seguendo le tracce da un PC Zombie della Botnet che sta in Russia o Ucraina, auguri!
  • decidete di gestire il rischio di un attacco DDoS non facendo nulla! E' un'opzione valida, ma dovete essere pronti da un punto di vista informativo a raccontare qualche frottola. E le bugie hanno le gambe corte, specie se le frottole le devono raccontare altri per voi (congruenza delle frottole)
  • decidete di non fare nulla e far finta che il problema non esista! Ognuno è masochista a suo modo ma non basterà dire "lo doveva fare lui!"
Insomma tranne qualche considerazione più tecnica, tutte le altre sono considerazioni di buon senso. Certo se non si conosce il fenomeno è dura...

Commenti

  1. Gianni Amato4 maggio 2012 alle ore 09:08

    Già da qualche anno è possibile noleggiare botnet localizzati in base alla nazione. In ogni caso dal pannello di gestione del C&C è quasi sempre possibile impartire ordini alle macchine compromesse selezionandole per nazione.

    I botmaster conoscono bene le esigenze dei propri clienti.

    RispondiElimina
  2. Gianni Amato5 maggio 2012 alle ore 02:25

    Le (poche) contromisure da adottare sono strettamente legate al target e alla sua infrastruttura. Il mio era solo un appunto, non una smentita.

    Il tuo discorso è relativamente valido se si ha a che fare con attacchi DDoS sferrati da attivisti italiani verso servizi erogati esclusivamente per utenti italiani.

    Per chi eroga servizi fruibili da utenti provenienti da ogni angolo del mondo (ad esempio mastercard, visa, paypal) questa "soluzione" andrebbe scartata a priori.

    In ogni caso andrebbe fatto uno studio sulla tipologia di traffico e sul formato dei pacchetti, capire cosa e dove va ad impattare, per poi tarare filtri (personalizzati) e bilanciatori.

    Tutto ciò richiede tempo e competenze. E' veramente improbabile farsi trovare perfettamente preparati a fronteggiare un attacco DDoS bene architettato.

    RispondiElimina

Posta un commento

Post popolari in questo blog

Exploit: icsploit o espluà?

-
Immagine
Non ce la faccio più! Continuo a sentir pronunciare " exploit ", nel senso di " sfruttamento di una vulnerabilità informatica ", in francese: espluà ! E' quasi un pugno nello stomaco! Sebbene il termine inglese derivi dal francese, quando si usa nel contesto della sicurezza informatica, la pronuncia è in inglese, ovvero " ecsploit "o " icsploit " (a seconda che sia un sostantivo o un verbo). E poi visto che la consuetudine è quella di usare termini inglesi nel contesto informatico, e per amore di un unico e non ambiguo vocabolario, usiamo i termini inglesi quando ci riferiamo a cose ben specifiche  e relative all'informatica. Per essere estremamente chiari, se dobbiamo parlare di "SQL Injection" non è che possiamo tradurla come "inoculazione di sequenze maliziose in una istruzione del linguaggio SQL". Non si capisce nulla! Altrimenti torniamo al caro professore che insisteva nel tradurre "Computer" in "...
Continua a leggere

TrueCrypt 5.0: nuova release

-
E' uscita la nuova versione di TrueCrypt 5.0 (ricordo che è Free e Open Source). Importanti le novità: Features : permette di cifrare una intera partizione del disco con un'autenticazione pre-boot; inserita una pipeline per le operazioni di read/write che migliorano le prestazioni fino al 100% su Windows; nuova versione per Mac OS X; GUI per TrueCrypt su Linux; utilizzo di XTS - approvato recentemente come standard IEEE 1619 - per la protezione crittografica di device per lo storage a blocchi; sostituzione dello SHA1 con il più sicuro SHA-512. Bug fix : versione su Linux completamente ridisegnata per sopperire ai problemi dovuti all'aggiornamento del kernel; correzioni di bug e falle di sicurezza. Ho provato la nuova versione sia su Windows XP che su Vista Home Premium. Su XP Professional o Home nessun problema. Potete addirittura non disinstallare la vecchia versione, reinstallando tutto sopra. In Vista consiglio di disinstallare la vecchia versione, riavviare e poi ins...
Continua a leggere

ING Direct: ancora con il PAD numerico rotante!

-
Immagine
Quanti anni saranno che ING Direct ci propina il suo sistema di autenticazione? Avete presente il PAD numerico in cui ogni volta che si accede vengono cambiate le posizioni dei numeri sul tastierino? Negli anni avranno sicuramente cambiato la tecnologia sottostante e le tecniche di sicurezza, tanto è vero che alcuni script client-side inclusi nella pagina, con un breve giro con Firebug, sono generati server-side con URL randomiche (solo nell'ultima parte) e Firebug non riesce a mostrarli. Ma a parte la loro bravura nell'offuscare il codice, perché di offuscamento si tratta, quando si decideranno ad utilizzare un meccanismo di autenticazione a 2 fattori? Una cosa che tu sai + Una cosa che tu hai Potrei suggerire uno degli innumerevoli Token OTP che ormai molte banche danno ai loro correntisti e che li tranquillizzano non poco nell'accesso ai propri conti on-line. Provate a chiedere ad un utente se è più o meno tranquillo con un Token fisico che solo lui detiene e che ogni 30...
Continua a leggere