Aug 8, 2011

Darkness on the edge of the Internet

Non ho resistito al gioco di parole nel titolo.
Danny McPherson conio' il termine Botconomics piu' di quattro anni fa: qualche giorno fa mi e' stato segnalato un articolo del sempre ottimo Brian Krebs (uno dei pochi divulgatori di sicurezza informatica che pubblica quasi sempre ricerche originali, invece di limitarsi a commentare link altrui), e mi e' sembrato un conciso e per questo utilissimo riassunto della situazione attuale per quanto riguarda botnets e attacchi DDoS, e penso che ogni ISP e ogni gestore di un sito web dovrebbe leggerlo.
Ho quindi mandato un messaggio a Krebs chiedendo il permesso di tradurlo in Italiano e pubblicarlo qui; mi ha subito risposto dicendo che non c'e' problema. E quindi ecco (l'articolo originale e' linkato nel titolo):



Sicari digitali offresi


I ciberattacchi volti a mandare KO i siti web avvengono quotidianamente, e finora andare alla ricerca di un sicario virtuale da ingaggiare per lanciare uno di questi assalti era un compito rischioso. Le cose stanno iniziando a cambiare: gruppi di hacker competono apertamente nell'offrire i servizi per far fuori un business online rivale o per regolare un conto in sospeso.


Esistono decine di forum underground dove i partecipanti pubblicizzano la loro capacita' di eseguire dannosi "distributed denial-of-service", o attacchi DDoS, per un certo prezzo. I servizi di attacco DDoS tendono a fare gli stessi prezzi, e la tariffa media per mandare offline un sito e' sorprendentemente accessibile: da 5 a 10 dollari circa all'ora; da 40 a 50 al giorno; 350-400 per settimana; e dai 1200 dollari in su al mese.


Naturalmente, conviene leggere le clausole scritte in piccolo prima di firmare qualunque contratto. La maggior parte dei servizi DDoS chiede tariffe diverse a seconda della complessita' dell'infrastruttura da colpire e di quanto tempo e' dato all'attacco per prendere le misure dell'obbiettivo. Comprare in grandi quantita' aiuta sempre: un servizio pubblicizzato su diversi forum pirata offriva sconti per i clienti regolari o all'ingrosso.


Gli arruolati involontari in questi ciber-eserciti sono PC compromessi, gestiti remotamente dai proprietari dl servizio attraverso software malevoli. Alcuni servizi DDoS rivelano quanti bot hanno radunato nei loro eserciti. Uno di questi sostiene: "In media tra o 1500 e i 5000 bot online, a sufficienza per occuparsi di progetti complicati dotati di protezione anti-DDoS, e protezione tipo CISCO ™ GUARD."


Una gang DDoS che e' attiva da almeno tre anni vende un kit DDoS fai da te, proponendolo come un facile strumento per costruire il tuo esercito di bot personalizzato. Il pacchetto "Darkness" per creare un esercito DDoS include un kit per costruire il bot e un pannello di amministrazione web-based per monitorare e controllare remotamente i bot.


Secondo quanto sostengono i creatori di "Darkness", il bot viene continuamente aggiornato dai tester e dagli sviluppatori (affermano sia giunto alla nona revisione "major"). Sostiene di essere in grado di configurare le macchine infette per usarle in quattro tipi diversi di attacchi DDoS con un brevissimo preavviso, e di sottrarre le password memorizzate in una lunga serie di browser web e programmi Windows.


"Il nostro bot non ha quasi impatto sul sistema, permettendogli di rimanere invisibile molto a lungo", viene annunciato nella pubblicita' del team "Darkness". "Il bot e' leggero e non crea problemi al sistema".


Quanti PC infetti, o bot, servono per bloccare l'obbiettivo desiderato? Chi si occupa di abbellire il pacchetto di creazione botnet "Darkness" fornisce anche una comoda tabellina.
Dal loro annuncio (tradotto dal russo):
- 15-30 bots (!!!) fanno fuori un sito relativamente piccolo
- 250-280 bots - il sito "medio"
- 750-800 bots - un sito grande
- 2000-2500 bots - un grande sito con protezione anti-ddos
- 4300-4700 bots - un cluster di siti, anche in caso di protezione anti-ddos, blocchi, ecc.
- 15-20000 bots - mandano offline virtualmente qualunque sito con qualunque protezione.


Chi fosse interessato nell'analisi tecnica dei software che stanno dietro questi servizi DDoS puo' dare un'occhiata alle ricerche di Shadowserver.org, Arbor Networks e Dell SecureWorks.

No comments: