Il world wide web è sotto attacco ma è pronto a difendersi. Questo quanto emerge dal Rapporto sulla Sicurezza relativo al I trimestre 2015 realizzato da Akamai e diffuso nella seconda metà di maggio 2015. Nei primi tre mesi dell’anno gli attacchi DDoS (Distributed Denial of Service) sono aumentati in maniera esponenziale, sia se confrontati con il I trimestre 2014 sia con il IV trimestre 2014. Segno che gli hacker prediligono questa forma di attacco informatico rispetto a ogni altra e non è nemmeno difficile capire il perché: non solo permettono di causare danni ingenti alle infrastrutture di rete di società di qualunque dimensione (un attacco DDoS rende irraggiungibili server, data center e reti di distribuzione ), ma provoca anche danni economici di grossa portata (in media, si possono arrivare a perdere 1,5 milioni di dollari per ogni attacco DDoS subito).
Ma non solo: al centro del rapporto firmato Akamai troviamo anche i nuovi pericoli derivanti dalla sempre maggiore diffusione del protocollo IPv6 e un focus sulla sicurezza cloud.
Crescita diversificata
A destare le maggiori preoccupazioni, comunque, sono gli attacchi DDoS. Rispetto al passato, la rete di sensori Akamai registra un aumento nel volume di attacchi e tecniche offensive differenti se non addirittura opposte rispetto a quanto si era abituati.
Se si confrontano i dati del I trimestre 2015 con i dati del IV trimestre 2014 si registra un aumento del 35%, mentre se il confronto viene effettuato con il numero di attacchi DDoS del I trimestre 2014 si ha un aumento superiore al 100% (116%, per la precisione). Gli attacchi DDoS, insomma, sono più che raddoppiati nell’arco di appena 12 mesi. A questo, come accennato, si aggiunge il cambio strategico per quanto riguarda le modalità di attacco: se un anno fa si preferivano attacchi brevi ma intensi, ora si opta per attacchi decisamente più lunghi.
Nei mesi da gennaio a marzo 2015 il tipico attacco DDoS non va oltre i 10 gigabit al secondo di banda occupata, ma arriva a durare quasi 25 ore (contro le 17 degli attacchi del I trimestre 2014). Le infrastrutture di rete sono pertanto poste sotto stress per un periodo più lungo, costringendo così gli amministratori di rete a lavorare per più tempo per riportare la situazione alla normalità. Non sono mancati, inoltre, i cosiddetti mega attacchi: nel I trimestre 2015 ben 8 attacchi DDoS hanno saturato la banda comunicativa di server e data center con flussi dati di oltre 100 gigabit per secondo. Il più grande ha sfiorato i 200 gigabit, fermandosi a 170 Gbps.
Ancora una volta il settore più colpito resta quello del gaming: il 35% degli attacchi DDoS registrati dalla rete di sensori Akamai ha riguardato server e centri dati che, in un modo o in un altro, hanno a che fare con l’universo videoludico. Al secondo posto troviamo il settore software e tecnologia, obiettivo del 25% degli attacchi DDoS registrati.
L’attacco ai dispositivi domestici
Nel I trimestre 2015 sono cambiati anche i vettori degli attacchi DDoS: in un caso su cinque gli hacker hanno utilizzato i Simple Service Discovery Protocol (SSDP) per sfruttare vulnerabilità di vario tipo. Un dato impressionante, se si tiene conto che nel I trimestre 2014 il protocollo SSDP non era menzionato in nessuna statistica relativa alla sicurezza cloud o informatica. Nella stragrande maggioranza dei casi, attacchi di questo genere sono resi possibili da alcuni bug molto diffusi nei dispositivi di rete domestici e da ufficio (router, media server, webcam, smart TC e stampanti). Se dispositivi di questo genere sono lasciati senza protezione o sono configurati malamente, possono essere utilizzati come riflettori, permettendo così agli hacker di amplificare il loro raggio d’azione.
SQL injection e dati (non solo) personali
Pur trattandosi di una tipologia di attacco tutto sommato datata - come si nota nel Rapporto stilato da Akamai, i primi attacchi risalgono al 1998 - lo SQL injection, nel primo trimestre del 2015, è stato utilizzato circa 8 milioni di volte. Un attacco di questo genere, se va a buon fine, permette, tra le altre cose, di modificare i permessi di accesso al server e quindi alle risorse che esso ospita, eseguire comandi e infettare o danneggiare dati.
Furto di dominio
Non sempre affidarsi a un web hosting gratuito o economico è una buona cosa. Ci sono molte probabilità, infatti, che, per abbattere i costi di gestione, le aziende del settore ospitino più siti web nello stesso server. In casi come questi è sufficiente che un hacker comprometta solo uno dei domini ospitati su una macchina per mettere in pericolo anche tutti i suoi coinquilini. Ad esempio, condividendo lo stesso indirizzo IP pubblico, sarà sufficiente lanciare un attacco DDoS su un singolo target per colpire contemporaneamente centinaia di portali. Oppure, sarà sufficiente scardinare le protezioni di un portale per intercettare le directory del server, leggerne gli elenchi di username e password e quindi accedere anche ai file appartenenti ad altri account.
IPv6, gioie e dolori
La maggior diffusione di indirizzi IP dello standard IPv4 ha fatto sì che le società abbiano concentrato i loro sforzi sulla creazione di tecniche difensive ad hoc per questo protocollo. Purtroppo, però, si tratta di un caso piuttosto emblematico di coperta corta. Ora che gli indirizzi IPv6 sono adottati sempre con più frequenza, ci si ritrova nella spiacevole situazione che attacchi DDoS tarati su questo standard non trovino praticamente alcun sistema difensivo che riesca a mitigarne gli effetti.
Stando al Rapporto sulla sicurezza del I trimestre 2015 gli attacchi su protocollo IPv6 non sono ancora un evento comune, ma ci sono segnali che portano a pensare che già nel II trimestre 2015 potrebbero esserci spiacevoli novità su questo fronte. La debolezza su questo fronte sta già facendo nascere preoccupazioni sul versante della sicurezza cloud e della sicurezza informatica in genere, con rischi e sfide che si delineano nell’immediato futuro.