Aggiornamenti recenti Aprile 24th, 2024 2:00 PM
Mag 08, 2017 Marco Schiaffino Approfondimenti, Attacchi, In evidenza, RSS, Vulnerabilità 0
Nel mondo della sicurezza certi problemi emergono solo quando si presenta un’emergenza. È stato così nel 2016, con la crescita esponenziale dei ransomware che ha acceso i riflettori sul problema dei malware.
Lo stesso è avvenuto con gli attacchi DDoS che con la comparsa di Mirai, il worm che prende di mira i dispositivi della “Internet of Things” per reclutarli in botnet utilizzate per attaccare siti e infrastrutture di rete. In realtà, però, il problema degli attacchi DDoS non si limita a Mirai.
Come ben sanno gli esperti di sicurezza, la frequenza degli attacchi e la loro efficacia è aumentata costantemente nel corso degli anni e le “mega botnet” formate da dispositivi IoT rappresentano solo una parte del problema.
Per portare attacchi che mettono in crisi in crisi i server di un sito Internet o di un servizio online non serve infatti una botnet gigantesca: spesso per i pirati è sufficiente utilizzare tecniche di amplificazione che permettono di raggiungere volumi di traffico più che sufficienti per raggiungere i loro obiettivi.
Ma come funzionano questi vettori di attacco e perché rappresentano un pericolo per le aziende e la stessa integrità della rete? Il primo fattore da considerare per capirlo è UDP.
“Finché si utilizza UDP su Internet, ci saranno sempre possibilità nuove per gli hacker” spiega Stefano Buttiglione, Security Service Line Manager di Akamai Technologies.
UDP è uno dei principali protocolli utilizzati su Internet e, a differenza di TCP, è un protocollo connectionless. Questo significa che il trasferimento dei dati su UDP non richiede che sia stabilito un collegamento “dichiarato” tra le macchine che lo usano per comunicare.
La conseguenza pratica è che, usando un protocollo connectionless, è possibile inviare dati senza che ne sia verificata l’origine, aprendo la strada agli attacchi basati sulla cosiddetta “reflection”, cioè una tecnica che permette di utilizzare server legittimi per trasformarli in “complici inconsapevoli” degli attacchi.
Il trucco è semplice: una volta scelto il bersaglio, i pirati inviano richieste a un server (che in gergo viene chiamato “reflector”) alterando i pacchetti in modo che sembrino provenire dall’indirizzo IP del server che vogliono colpire.
Utilizzando un protocollo connectionless, l’effettiva origine delle richieste non può essere verificata e il reflector invierà le risposte all’indirizzo IP scelto dai pirati.
Ma quale vantaggio hanno i pirati nel mettere in piedi questo reindirizzamento di dati? I vantaggi sono due: prima di tutto possono nascondere più facilmente l’origine dell’attacco. In secondo luogo, possono sfruttare le caratteristiche del protocollo per amplificarne la potenza.
Molti protocolli, infatti, hanno come caratteristica il fatto che la risposta ha dimensioni molto superiori alla richiesta. Per esempio è possibile che a una richiesta di 100 byte il server risponda con pacchetti che “pesano” 2.000 byte. In questo modo, in pratica, i pirati informatici possono moltiplicare per 20 la loro capacità di attacco.
L’ultimo esempio di attacchi basati su reflection è quello registrato da Akamai e che utilizza CLDAP, un protocollo usato dai server Windows che i pirati stanno sfruttando per portare attacchi di notevole potenza.
CLDAP è un protocollo introdotto da Microsoft sui suoi server a partire dal 2012 e rappresenta una versione “semplificata” di LDAP. E il motivo per cui rappresenta un problema è che la “C” nella sigla significa (sorpresa!) “Connectionless”.
“Nel caso di CLDAP, abbiamo verificato che lanciando una richiesta molto piccola, di circa 52 byte, la risposta del reflector può arrivare a 3.000 byte. Il volume di traffico, in pratica, viene moltiplicato per 60 volte” spiega Buttiglione.
Dic 21, 2023 0
Dic 01, 2023 0
Nov 24, 2023 0
Ott 31, 2023 0
Apr 24, 2024 0
Apr 24, 2024 0
Apr 23, 2024 0
Apr 22, 2024 0
Apr 24, 2024 0
ToddyCat, un gruppo APT che colpisce prevalentemente...Apr 18, 2024 0
La corsa all’IA generativa ha spinto i produttori di...Apr 16, 2024 0
LockBit continua a colpire le organizzazioni di tutto il...Apr 15, 2024 0
Il 41% delle imprese italiane subisce mensilmente attacchi...Apr 12, 2024 0
In occasione del Privacy Tour 2024, l’iniziativa del...Mag 04, 2018 0
E se vi dicessimo che la saga di Star Wars ...Nov 14, 2016 2
Abbiamo rubato al blog di Kaspersky un vecchio pezzo di...Nov 08, 2016 2
Il numero uno degli scacchi mondiali Magnus Carlsen ha...Ott 28, 2016 0
Il pirata informatico che ha creato il ransomware cerca...Ott 11, 2016 0
Dopo la raffica di figuracce, l’azienda sospende per...Apr 24, 2024 0
I ricercatori di Cisco Talos hanno scoperto una nuova...Apr 24, 2024 0
ToddyCat, un gruppo APT che colpisce prevalentemente...Apr 23, 2024 0
In occasione dell’Italian Partner Conferencetenutasi...Apr 23, 2024 0
Un team di ricercatori ha sviluppato quello che ritengono...Apr 22, 2024 0
Nel periodo compreso tra il 13 e il 19 aprile,...