14 dic 2015

Qualche informazione sul DDoS

Ho recentemente letto un articolo che contiene diverse imprecisioni (e alcuni errori). Siccome l'autore dell'articolo si definisce "IT security specialist and hacker enthusiast", credo valga la pena di fare qualche puntualizzazione.

A partire dal titolo: "La nuova minaccia viene dall’attacco DrDoS". "DrDos" è un termine introdotto non più tardi del 2012, per etichettare la peraltro arcinota categoria di attacchi DDoS basati su reflection, e quindi fa sorridere che venga definito una "nuova" minaccia. Peraltro, il termine non ha riscosso molto successo. Inoltre, descrive solo parzialmente la tecnica maggiormente utilizzata per attacchi DDoS di grandi dimensioni, che si basano appunto su reflection e amplification. Il tema è notissimo e basta una semplice ricerca in rete per trovare descrizioni esaustive: in breve, io mando una richiesta di piccole dimensioni a pippo facendo finta di essere pluto, e pippo risponde con una risposta di grosse dimensioni a pluto che quindi si becca il DDoS. Esistono ovviamente variazioni sul tema.

"Si è passati dall’oramai vecchio DDoS al più che avanzato DrDoS (Distributed Reflection Denial of Service)." Anche la dicitura "più che avanzato" mi lascia perplesso. Ormai da anni i tool di reflection/amplification sono in mano agli "script kiddies" di tutto il mondo.

"Il DrDos si basa su uno dei protocolli che spesso ignoriamo per la sua scarsa affidabilità ma usato molto per la sua velocità nello specifico utilizzo, parliamo dell’ User Datagram Protocol." A parte l'uso disinvolto della punteggiatura, sorprende che un security specialist parli in questi termini di UDP. "Uno dei protocolli che spesso ignoriamo"?? di chi parla l'autore? Spero che non si includa tra quelli che "spesso ignorano" UDP! Brividi.

Gli scoop (e i maltrattamenti della punteggiatura) continuano: "Oggi esistono decine di protocolli UDP che possono essere utilizzati come amplificatori per un attacco DrDoS quelli più noti: DNS, NTP, SSDP, BitTorrent, RIPv1, mDNS, CharGEN, QOTD". "Oggi" esistono decine di protocolli UDP utilizzabili come amplificatori? L'amplification DNS è vecchia quanto il protocollo stesso. La menzione di "QOTD" mi ha regalato un sorriso. Stupisce che non vengano citati invece gli attacchi che sfruttano protocolli di gaming online.

"Secondo una ricerca di Akamai, azienda leader del mercato per la protezione contro attacchi DDoS, esisterebbero dei nuovi protocolli vulnerabili con cui è possibile effettuare un attacco DrDoS." Akamai non è leader del mercato anti-ddos. Nemmeno lontanamente. Akamai è un content provider (leader in quel mercato) che in virtù di tale business riceve moltissimo traffico (inclusi attacchi) ed è quindi in grado di pubblicare interessanti analisi statistiche a riguardo (il conosciuto report State of the Internet). Non è questo il luogo per esaminare le limitazioni in ambito di analisi anti-ddos del seppur ottimo report di Akamai; stupisce però che un security specialist prenda un simile abbaglio. In secondo luogo, l'esistenza di "nuovi" protocolli "vulnerabili" non è in dubbio: è risaputo che a causa della carente applicazione delle BCP anti-spoofing da parte degli ISP di tutto il mondo, tutti i protocolli basati su UDP possono essere utilizzati come canali di reflection; sono altresì note le capacità di amplification di molti di essi.

Sembra trasparire nell'articolo la sorpresa dell'autore nell'apprendere di fattori di amplificazione 10 o di attacchi di 100Gbps. Come sa chiunque si interessi minimamente al fenomeno DDoS, sia i fattori di amplificazione che le dimensioni raggiunte sono di gran lunga maggiori.

L'articolo riporta poi la notizia del recente attacco verso i root DNS server, sulla quale non mi dilungo nel commentare affermazioni bislacche come "Purtroppo contro 5 milioni di richieste dns al secondo generate da questo attacco flooding c’è stato poco da fare" e noto semplicemente come quanto riportato sia totalmente in contrasto con la versione ufficiale dei fatti, riportata qui: "The DNS root name server system functioned as designed, demonstrating overall robustness in the face of large-scale traffic floods observed at numerous DNS root name servers". Purtroppo il tono apocalittico dell'articolo fa sorgere il sospetto che l'autore non abbia ben presente il funzionamento dei 13 root server.

La conclusione dell'articolo denota purtroppo un'estrema superficialità o (speriamo di no!) la totale ignoranza dell'argomento trattato (oltre che della lingua italiana): "In conclusione, il DoS è la tecnica di attacco numero uno. E’ in grado di mettere offline network di aziende multinazionali. Può essere usata per minacciare chiedendo riscatti e non c’è firewall o nextGenFirewall che tenga, tutto dipende dalla potenza di fuoco di chi ti attacca. Nessuna patch ne errore umano, sfrutta la via di comunicazione di internet ed è una minaccia conosciuta da anni. E nessuno è ancora riuscito a contrastarla in modo efficente". Commento solo quest'ultimo punto: la minaccia è contrastata, in modo efficiente, da migliaia di ISP e aziende in tutto il mondo, ogni giorno, centinaia di volte al giorno. Sarebbe bello riuscire a prevenirla, ma questa è tutta un'altra storia.

Nessun commento: