Tra tutte le minacce informatiche, gli attacchi DDoS sono tra le più semplici e, al contempo, tra le più dannose
Gli attacchi DDoS sono sempre più diffusi e sofisticati e rappresentano una minaccia crescente per aziende di ogni settore e dimensione. Tuttavia, queste hanno svariati strumenti a loro disposizione per prevenirli o, quantomeno, limitarne i danni.
Per capire come difendersi è però importante avere ben chiaro cosa siano gli attacchi DDoS.
Cos’è un attacco DDoS
Gli attacchi DDoS (Distributed Denial of Service, ovvero Negazione del Servizio) sono un tipo di attacco informatico che mira a rendere indisponibili siti Internet, servizi web e sistemi IT, sfruttando la connessione di numerosi computer allo stesso tempo. In altre parole, consistono nell’invio di un gran numero di richieste agli indirizzi IP delle vittime fino a saturare la capacità dei server e renderli inaccessibili.
Gli attacchi DDoS possono essere lanciati da un singolo attaccante utilizzando un computer compromesso, detto “zombie”, oppure da un gruppo di attaccanti che coordinano le loro azioni attraverso un canale di comunicazione, detto “botnet”. I botnet sono reti di computer infettati da malware e controllati in remoto dagli attaccanti. Ogni computer infettato diventa un “zombie” che può essere utilizzato per attaccare altri computer o per diffondere ulteriormente il malware.
Nel corso degli anni, aziende grandi e piccole, ma anche banche, ospedali, aeroporti e altri infrastrutture pubbliche, sono state vittime di questo tipo di attacco informatico.
Un caso eclatante è accaduto nel 2013, quando un attacco DDoS ha colpito il sito web di Spamhaus, un’organizzazione internazionale che si occupa di contrastare lo spam su Internet. All’epoca, Spamhaus inserì nella propria lista nera Cyberbunker, azienda olandese che offre servizi di web hosting, accusata di ospitare spammer. In tutta risposta, Cyberbunker avviò un attacco che è poi divenuto “il più grande attacco DDoS della storia”, causando ripercussioni sui servizi di posta elettronica di tutto il mondo.
Tipi di attacchi DDoS
Gli attacchi DDoS possono essere suddivisi in diverse categorie in base alla loro finalità o al loro funzionamento.
Tra i più comuni vi sono:
- attacchi “volumetrici”, che mirano a saturare la capacità di bandwidth (larghezza di banda) del server attaccato;
- attacchi “TCP connection-oriented”, che utilizzano metodi per stabilire connessioni TCP multiple con il server attaccato e quindi bloccarlo. TCP sta per Transmission Control Protocol ed è un protocollo di rete che rende affidabile la comunicazione dati in rete tra mittente e destinatario;
- attacchi “application layer”, che sfruttano le vulnerabilità delle applicazioni per attaccare il server;
- attacchi “hybrid”, che combinano più tipi di attacco.
Come si svolge un attacco Denial of Service
Gli attacchi Denial of Service hanno luogo in tre fasi.
La prima fase consiste nello scouting, ovvero la raccolta di informazioni sul bersaglio. È la preparazione dell’attacco informatico, durante la quale gli hacker creano il botnet o compromettono computer individuali per utilizzarli come “zombie”. Per riuscirci, utilizzano diverse tecniche, come l’invio di email di phishing con allegati infettati da malware o l’exploit di vulnerabilità del sistema informatico.
La seconda fase è l’attacco vero e proprio, in cui gli hacker utilizzano il botnet per inviare un gran numero di richieste all’indirizzo IP (e quindi al server) da attaccare. A seconda del tipo di attacco, le richieste possono essere legittime (ad esempio, richieste web) o malformed (cioè richieste che presentano errori di formato). L’obiettivo è saturare la capacità del server e renderlo inaccessibile.
La terza fase è il clean-up, in cui gli hacker nascondono le tracce della loro attività e recuperano eventuali dati rubati, lasciando dietro di sé una rete debilitata e talvolta irreparabile.
Conseguenze degli attacchi DDoS
Gli attacchi Denial of Service hanno gravi conseguenze per le aziende e gli enti colpiti.
In primo luogo, causano l’interruzione del servizio web, rendendo indisponibili siti, applicazioni e sistemi IT per un periodo di tempo. Poi, permettono ai cyber criminali di rubare dati sensibili o compromettere il sistema informatico della vittima.
Tutto ciò produce due tipologie di danni:
- danni economici e finanziari, dovuti ai costi del personale impiegato per riparare i danni, all’utilizzo di strumenti di difesa e, soprattutto, alla perdita di business causata dall’indisponibilità dei servizi web;
- danni reputazionali, in quanto i clienti/utenti potrebbero perdere fiducia nella capacità dell’azienda/ente di fornire un servizio di qualità e, ancor di più, di proteggere i loro dati personali.
Come difendersi dagli attacchi Denial of Service
Aziende ed enti pubblici devono prestare sempre più attenzione alla propria sicurezza informatica. Ecco cosa possono fare per difendersi dagli attacchi DDoS:
- Installare firewall e Intrusion Detection System (IDS). I firewall possono essere configurati per bloccare determinati tipi di attacco informatico, mentre gli IDS possono rilevare e segnalare attività sospette.
- Utilizzare strumenti di analisi del traffico per identificare attacchi DDoS in corso e bloccarli.
- Usare strumenti di mitigazione degli attacchi DDoS, come i sistemi di caching e i Content Delivery Network (CDN), per ridurre la quantità di traffico che raggiunge il server.
- Scegliere soluzioni di sicurezza cloud per proteggere i propri siti web e applicazioni. Le soluzioni di sicurezza cloud possono offrire un livello di protezione superiore rispetto alle tecnologie tradizionali, in quanto possono analizzare il traffico in tempo reale e bloccare attacchi DDoS prima che raggiungano il server.
- Assicurarsi che i sistemi informatici siano sempre aggiornati e patchati, in modo da ridurre al minimo le vulnerabilità. Le patch di sicurezza devono essere installate non solo sul server, ma anche su tutti i dispositivi e le applicazioni utilizzati in azienda.
- Separare i servizi essenziali da quelli meno critici per limitare i danni in caso di attacco. Ad esempio, è possibile separare il sito web dall’e-commerce o l’area pubblica da quella privata.
- Formare il personale sulla sicurezza informatica e sulle procedure da seguire in caso di attacco informatico.