Ci sono molti fattori che fanno sì che il nostro sito web non sia più raggiungibile, causando disagi e fastidi. Fra i motivi, ci sono i temuti attacchi degli hackers ai server. C’è però un attacco, in particolare, che può creare preoccupazione: l’attacco DdoS (Distribuited Denial of Service). In Italia si sono verificati diversi attacchi DDoS che hanno avuto come target diverse aziende che erogano servizi di hosting, bloccando temporaneamente i servizi da loro erogati e quindi molti siti web e caselle di posta elettronica. Ma esattamente cos’è e come funziona un attacco DdoS? Ne parliamo con Fabio Assenzio, Chief Marketing Officer di Ergonet srl, hosting provider focalizzato sull’innovazione.

Fabio, cos’è un attacco DDoS?

Un attacco DDoS è un attacco distribuito(Distribuited Denial of Service), cioè viene eseguito da diversi indirizzi IP, di solito dispositivi zombie (compromessi) e che fanno parte di intere botnet (rete di computer infettati da malware, ndr) di dispositivi controllati dal gruppo hacker di turno. I virus/malware distribuiti mediante mail di spam o siti web compromessi non sono solo creati per rubare dati personali o numeri di carte di credito; spesso sono utilizzati per controllare il dispositivo della vittima e utilizzarlo come un soldato lobotomizzato per attaccare un obiettivo tramite appunto un DDoS.

Qual è la differenza con un attacco DoS?

A Differenza dell’attacco DoS (Denial of Service), in cui un solo indirizzo ip attacca la destinazione e per cui è di conseguenza abbastanza semplice bloccare la sorgente, il DDoS è molto difficile da mitigare, poiché viene eseguito da centinaia di milioni di indirizzi ip diversi, da tutto il mondo. È quindi impossibile bloccare la sorgente perché è sempre diversa e, appunto, distribuita.

Questo tipo di attacco può inficiare l’integrità dei dati di un sito web?

Si crede che l’attacco possa modificare i file o il database o che qualcuno possa venire in possesso o visualizzare i dati presenti all’interno del sito web. Questa convinzione è assolutamente falsa e viene dal fatto che non si conosce le modalità di funzionamento di un DDoS.

Come funziona?

Un attacco DDoS è un attacco di tipo capacitivo, cioè le sorgenti inondano di pacchetti di rete contraffatti i server di destinazione, finché non saturano la loro capacità di funzionamento hardware o di rete.

Per fare un esempio semplice, è come se migliaia di persone di presentassero a una biglietteria di un cinema per chiedere informazioni sull’orario di un film, sugli attori, sulle tipologie di pop corn disponibili e, dopo aver ottenuto risposta, svanissero nel nulla. Le persone che davvero volessero vedere il film e quindi acquistare il biglietto, rimarrebbero in coda, attendendo che il dipendente del cinema risponda alle migliaia di richieste completamente inutili.

Nell’esempio del cinema, i disturbatori non entrano al suo interno ma ne rendono difficile l’accesso a chi davvero vuole vedere il film. Il DDoS funziona nello stesso modo: le sorgenti che attaccano simulano richieste vere e poi svaniscono; in questo modo impegnano gli apparati di rete, i software che non riescono più a gestire correttamente le normali richieste.

Come mai sono così sviluppati?

Gli attacchi DDoS sono sempre stati un problema per chiunque, istituzioni e aziende comprese. Negli ultimi tempi, con l’aumento esponenziale dell’Internet of Things (IoT) e quindi del numero di dispositivi di qualsiasi tipo collegati a Internet, gli attacchi DDoS sono aumentati in maniera davvero importante. Il problema è che tantissimi dispositivi di questo tipo sono di fattura cinese o comunque dei paesi emergenti, spesso asiatici. Vista la concorrenza spietata che c’è in quelle zone, spesso il software che gestisce questi dispositivi è scritto senza accorgimenti di sicurezza o, peggio, le credenziali di accesso di questi dispositivi sono admin/admin, admin/123456, etc. Quindi tutti questi oggetti IoT finiscono per essere controllati da gruppi hacker che li usano per fare DDoS.

In Italia è molto diffuso?

In Italia il trend è identico agli altri paesi del mondo. Gli attacchi DDoS si fanno sempre più sofisticati e durano molto di più rispetto agli anni precedenti, anche se il loro numero è diminuito. Con l’adozione delle infrastrutture cloud, le aziende si sono protette dagli attacchi più comuni e più facili da bloccare da parte dei vari provider internet. Quindi i malintenzionati che guadagnavano con questi attacchi si sono dovuti evolvere e passare a sistemi di attacco fino ad adesso meno diffusi e quindi anche più difficilmente bloccabili.

Recentemente c'è stato un attacco a vari server di tutta Italia. Cosa è successo?

L’attacco è stato rivolto verso vari provider del nostro settore, quello del web hosting. Una per una sono state attaccate praticamente tutte le aziende che fanno il nostro stesso mestiere. L’attacco partiva quasi in sordina per poi crescere sempre di più a livello di capacità; partiva con 10-20 Giga-bit per arrivare anche a 200 Giga-bit di traffico, che sono un'enormità. Successivamente l’azienda riceveva una richiesta di riscatto, per far terminare gli attacchi. Una vera e propria estorsione. Alcune aziende sono state letteralmente messe in ginocchio. In particolare tre di queste hanno avuto disservizi altalenanti per circa due settimane. Consideriamo che questo è un mondo dove se per 5 minuti non ti funzionano le mail, il cliente lo segnala immediatamente. I disservizi che gli utenti riscontravano erano lentezza generale del sito web, mancata ricezione e invio di posta e frequenti disconnessioni, fino a fermi totali dei servizi.

Voi come l’avete gestito?

Noi, vista la tendenza generale dei DDoS, era da circa 1 anno che studiavamo un sistema che potesse mitigare un attacco di questa enorme portata. Quando è successo a noi, in meno di 24 ore, in cui solo per qualche ora i servizi sono stati completamente fermi, siamo riusciti a tirare su un sistema che fino a quel momento era stato studiato a tavolino e di cui avevamo testato circa il 90% delle funzionalità. Fortunatamente ha funzionato tutto correttamente e siamo inoltre riusciti a gestire la crisi sui social (Facebook), rispondendo singolarmente a tutti ma proprio a tutti i clienti che ci richiedevano assistenza.

Ovviamente nel corso del tempo abbiamo perfezionato ulteriormente il nostro sistema di protezione e oggi siamo abbastanza tranquilli (dico abbastanza perché nel nostro settore si dorme sempre con un occhio aperto) che quello che abbiamo ora possa proteggere al meglio la nostra infrastruttura adesso per i prossimi anni.

In generale, come può difendersi l'utente dalle varie minacce al suo sito?

L’avvento dei CMS ha permesso a numerose persone di avvicinarsi al mondo del web e di sviluppare autonomamente il proprio sito internet. Non venendo da una formazione digitale o informatica, queste persone hanno creduto che creare un sito web e poi lasciarlo lì fosse davvero possibile, che non succedesse nulla.

Prima cosa un sito web, come qualsiasi software esistente, deve essere aggiornato costantemente perché i plugin o estensioni al suo interno, come anche il core del software utilizzato, possono essere soggetti a falle di sicurezza. Il 95% delle possibili minacce informatiche deriva dai mancati aggiornamenti dei siti web (Fonte Ergonet, dati del 2018).

Seconda cosa è necessario affidarsi a aziende di hosting serie, non low cost. Non si può pagare un hosting 10€/anno e pretendere stabilità, innovazione e soprattutto sicurezza. La sicurezza costa moltissimo in un ambiente come il nostro, non è più possibile - come accadeva 6 o 7 anni fa - aprire un hosting provider o gestirsi da soli il proprio server dedicato sul quale mettere il sito web senza avere un’esperienza di almeno 5 anni nel settore web e sicurezza.

Quello che le persone devono anche capire è che è la loro presenza digitale che va protetta e gestita al meglio, non il singolo account di posta o il singolo sito web. La peggiore minaccia per qualsiasi tipo di piattaforma online è che gli utenti utilizzano la stessa password per più piattaforme; di conseguenza bucata una, bucate tutte. Bisogna avere maggiore consapevolezza dei propri dati sensibili, evitare di rilasciare il proprio indirizzo email a chiunque e mai e poi mai utilizzare la stessa password per servizi diversi: questo è l’errore più grave che un utente possa fare.

Insomma, un sito web richiede cura e attenzione; bisogna iniziare ad avere una maggiore consapevolezza dei pericoli che possono minacciare i siti, in modo da essere pronti a fronteggiarli e poter far crescere il nostro sito web in sicurezza.

Per visionare una mappa in tempo reale degli attacchi eseguiti:

http://www.digitalattackmap.com

Sara Riboldi