Ancora una volta qui a parlare di DDoS. Non perché sia un argomento particolarmente 31337, ma perché è una grossa seccatura per chiunque e perché sta diventando un’arma di ricatto come lo sono i ransomware.
Due settimane fa sono stato costretto ad abbandonare una riunione importante per dare supporto ad un cliente. La sua infrastruttura, in hosting presso un grosso carrier, non era più raggiungibile con conseguente perdita di denaro, down del servizio, clienti imbestialiti.
Anello debole
Alcuni punti sono interessanti. In primis, come spesso accade, l’attacco non ha saturato la banda del carrier, ma l’ultimo router, quello che consegna i dati al rack del cliente, era un fondo di magazzino riciclato dal carrier e quindi, finché non è stato sostituito da un modello più recente, ha costituito la fonte di tutti i guai in quanto era bloccato dal numero di pacchetti che non era in grado di gestire.
Oltre a questo, il carrier non aveva un sistema antiDDoS degno di questo nome. Anche quando il cliente ha chiesto che gli venisse attivato, a pagamento, non è stato in grado di fare molto.
La richiesta di riscatto non riguarda solo file cifrati, ma anche reti sotto scacco.
Infine, alla fatidica domanda Ha ricevuto richieste di riscatto?, questo, sorpreso, mi ha risposto Si, via Facebook, come ha fatto a saperlo? Era un messaggio privato.
Quest’ultima parte sta diventando una costante. Gli ultimi dieci attacchi DDoS in cui sono stato coinvolto sono stati seguiti da richieste di riscatto anche cospicue. Nel penultimo caso, la polizia postale mi ha segnalato che l’account da cui erano pervenute le richieste apparteneva ad una banda da più di un anno sotto indagine per questo tipo di ricatti.
Alla fiera del DDoS
Come mai tutto questo? Intanto, comperare attacchi è diventato semplicissimo. Oltre ai siti che vendono servizi di network stress, in vendita legittima sul web e che con 10 dollari ti portano fino a quattro gigabit per secondo in burst di 90 secondi, bastano un browser Tor e un po’ di pazienza per trovare qualche black market che ti venda pannelli di controllo di una botnet in affitto per il tempo desisderato. L’ultimo annuncio che avevo trovato affittava una botnet da quindicimila macchine per ¼ di bitcoin al giorno, con sconti importanti per periodi di tempo prolungati.
Droga, armi, reti di computer sotto controllo pirata? Basta cercare, si trova.
Quindi non bisogna essere un 31337 h4x0r per ricattare qualcuno; bastano una carta di credito e un account su un exchanger per comprare Bitcoin e il gioco è fatto. Viste le richieste, il guadagno può arrivare anche a dieci volte la cifra investita per spaventare il cliente.
Linee di difesa
Come ci si può difendere? Sostanzialmente i metodi sono due. Il primo è appoggiarsi ad un servizio esterno, come una CDN come Akamai o servizi più mirati come Cloudflare o Incapsula. Il principio è piuttosto semplice. Paghi un canone mensile fisso e poi un tot al giorno in caso di attacco. In quel caso la CDN o il servizio devia il traffico su sé, lo ripulisce e fa in modo che i servizi del cliente non siano intaccati. Il problema è che né il canone mensile, né quello variabile sono cifre trascurabili. Una settimana di DDoS da cinque-dieci gigabit può avere un impatto anche rilevante sulle casse di una media impresa.
I prodotti antiDDoS sono di qualche utilità solo se l’infrastruttura dietro è solida.
L’altra soluzione è portarsi tutto in casa. La catena che porta la connessione ai servizi Internet dell’azienda deve essere di tutto rispetto. Servono avere banda a sufficienza in modo da non essere facilmente saturati, un sistema antiDDoS hardware di tutto rispetto, ma anche switch e router che possano supportare il carico aggiuntivo senza cedere.
Uno e centomila
Molte aziende offrono sistemi antiDDoS. Ho avuto modo di provare soluzioni di bassa lega, fino a soluzioni carrier level. Difendersi è purtroppo dispendioso. Una soluzione per banda attorno ai 40 gigabit può superare senza troppi problemi i centomila euro. Una cifra alta che però può risultare decisamente più economica di soluzioni a servizio in caso di attacchi massicci.
Il problema non va sottovalutato ed è destinato ad aumentare notevolmente con l’Internet of Things. La mia preoccupazione è già stata espressa; se non troviamo un sistema per mettere in sicurezza tutti i sistemi a cui vogliamo dare un IP, l’IoT finirà per distruggere Internet così come lo conosciamo.