Aggiornamenti recenti Marzo 28th, 2024 9:00 AM
Mag 08, 2017 Marco Schiaffino Approfondimenti, Attacchi, In evidenza, RSS, Vulnerabilità 0
Stando ai dati raccolti da Akamai, negli ultimi mesi CLDAP è stato utilizzato in maniera intensiva dai pirati informatici per portare attacchi DDoS che hanno raggiunto picchi di 24 Gbps.
La presenza di server che utilizzano CLDAP, quindi, rappresenta in pratica un vero e proprio arsenale informatico disponibile per i cyber-criminali che vogliono portare attacchi DDoS.
“Gli attacchi non impattano soltanto sulle vittime” spiega Buttiglione. “Anche chi gestisce i server che vengono usati come reflector subisce dei danni che è un errore sottovalutare”.
Nel dettaglio, chi viene coinvolto in questo tipo di attacco paga un prezzo sia in termini di banda, sia in termini di risorse impegnate. In pratica è come se stesse lavorando gratis per i pirati informatici, fornendogli risorse che vengono sottratte alle normali attività dell’azienda.
Non solo: il coinvolgimento nello schema espone anche al rischio di “danni collaterali” che possono danneggiare più o meno direttamente l’attività delle società coinvolte.
“La community ha dei sistemi per reagire agli attacchi DDoS” spiega sempre Buttiglione. “Tra questi l’applicazione di filtri e la creazione di black list che isolano le fonti degli attacchi”.
Quando si tratta di attacchi che usano la reflection, però, queste contromisure non colpiscono i computer dei pirati, ma le aziende i cui server vengono usati come reflector.
Le infrastrutture sfruttate in questo modo rischiano infatti di essere considerate pericolose ed essere sottoposte a misure di mitigazione che possono anche ripercuotersi sul funzionamento dei servizi.
Ma com’è possibile tutto questo? “Purtroppo la presenza di CLDAP è prevista come impostazione predefinita in tutti i casi in cui viene utilizzato Active Directory” spiega Buttiglione. “Per escludere il protocollo è necessario un intervento degli amministratori IT, che dovrebbero impostare firewall e infrastrutture per bloccarne le comunicazioni verso Internet”.
Il problema quindi si potrebbe risolvere in maniera piuttosto semplice. Tanto più che chi gestisce i sistemi informatici di questo tipo, come abbiamo visto, ha tutto l’interesse a farlo.
Al di là delle motivazioni “altruistiche” che dovrebbero portare a collaborare con il massimo sforzo per sottrarre strumenti utili all’azione dei cyber-criminali, infatti, a smuovere gli amministratori dovrebbe essere anche un interesse più “egoistico” a impedire che le infrastrutture aziendali siano usate in maniera impropria, esponendo la stessa società a subire dei danni.
Ma nella pratica, cosa si dovrebbe fare per bloccare la possibilità di questi attacchi? “La cosa migliore nel caso di CLADAP è quella di chiudere completamente il servizio. Più in generale, per impedire gli attacchi di reflection è consigliabile implementare delle regole che permettano di individuare questo tipo di attacchi e reagire di conseguenza” spiega Buttiglione.
“Meglio però non bloccare la connessione, perché in questo caso l’attaccante può semplicemente eseguire delle variazioni per aggirare il blocco. Una delle contromisure più efficaci è quella di utilizzare il Tarpit, cioè tenere aperta la connessione ma non inviare risposte, in modo da neutralizzare l’attacco”.
Si tratta di una soluzione utilizzata per mitigare altri attacchi simili, come quelli che prendono di mira i server DNS. Nel caso di CLDAP, però, la sensibilità degli operatori è ancora troppo bassa.
“L’anno scorso abbiamo individuato circa 78.000 indirizzi IP con il servizio CLDAP attivo. Considerato che sono pochissime le aziende che hanno davvero bisogno di questo servizio attivo su Internet, si potrebbe ridurre enormemente la superficie d’attacco con pochissimo sforzo”.
Dic 21, 2023 0
Dic 01, 2023 0
Nov 24, 2023 0
Ott 31, 2023 0
Mar 28, 2024 0
Mar 27, 2024 0
Mar 26, 2024 0
Mar 25, 2024 0
Mar 28, 2024 0
Stando al Rapporto Annuale sulle Minacce Informatiche di...Mar 27, 2024 0
La sanità viene presa di mira dagli infostealer: a dirlo...Mar 22, 2024 0
Nel 2024 i deepfake saranno una delle applicazioni di...Mar 21, 2024 0
Acronis annuncia l’ottenimento della qualificazione...Mar 19, 2024 0
Il numero di computer di Operation Technology (OT) è in...Mag 04, 2018 0
E se vi dicessimo che la saga di Star Wars ...Nov 14, 2016 2
Abbiamo rubato al blog di Kaspersky un vecchio pezzo di...Nov 08, 2016 2
Il numero uno degli scacchi mondiali Magnus Carlsen ha...Ott 28, 2016 0
Il pirata informatico che ha creato il ransomware cerca...Ott 11, 2016 0
Dopo la raffica di figuracce, l’azienda sospende per...Mar 28, 2024 0
Stando al Rapporto Annuale sulle Minacce Informatiche di...Mar 26, 2024 0
Un gruppo di ricercatori ha individuato un grosso problema...Mar 25, 2024 0
La scorsa settimana ha rappresentato una sfida...Mar 25, 2024 0
Il 22 marzo si è concluso il Pwn2Own, l’hackathon...Mar 22, 2024 0
Nel 2024 i deepfake saranno una delle applicazioni di...