login LOGIN
CHIUDI chiudi
Il mio profilo

mostra
Hai dimenticato la password?
Inserisci l'indirizzo email di registrazione per reimpostare la password.
Segui le istruzioni che ti abbiamo inviato per posta elettronica.

Che cos'è e come funziona il sinkholing

Pur essendo tra le tecniche di sicurezza informatica più efficace in caso di attacchi hacker di grande portata, non è molto conosciuta dal "grande pubblico". Ecco tutti i segreti del sinkholing

Sinkhole digitale

Molto probabilmente non ne avete mai sentito parlare, ma è anche grazie a questa tecnica che ogni giorno potete connettervi a Internet e accedere ai vostri siti preferiti in completa sicurezza e senza timore che i vostri dati possano andare persi o finire nelle mani di qualche cybercriminale. Si tratta del sinkholing, tecnica utilizzata da esperti di sicurezza informatica, amministratori di rete e amministratori di sistema per proteggere server web (e i dati contenuti al loro interno) ed evitare che siano messi fuori uso da attacchi DDoS o da altre tipologie di cyberattacchi.

Che cos'è il sinkholing

Il termine sinkholing (da sinkhole, traducibile in italiano con dolina, inghiottitoio o anche, per estensione, scarico) identifica una tecnica di sicurezza informatica utilizzata per reindirizzare e "far defluire" tutto il traffico proveniente da uno o più indirizzi IP "melevoli". Il flusso dati, in genere proveniente da attacchi DDoS o altre attività di hacking basate sull'invio di pacchetti di dati, viene solitamente reindirizzato verso server "civetta" creati appositamente per "smaltire" il traffico in eccesso. Ciò permette di neutralizzare l'attacco e, allo stesso tempo, proteggere i dati contenuti su un server o sui PC di una rete domestica o di lavoro.

 

Hacker preparano attacco DDoS

Come funziona il sinkholing

In caso di attacco hacker in corso, gli amministratori di rete e di sistema che vogliono creare una sinkhole possono seguire diverse strade. La più battuta, per la sua relativa facilità e per la sua efficacia, è quella del DNS sinkholing. Questa tecnica consiste nel modificare alcuni parametri del sistema DNS (acronimo di Domain Name System, sistema dei nomi di dominio, in italiano) e deviare il traffico web verso altre "destinazioni" (ad esempio un server creato appositamente per assorbire il traffico pericoloso).

Solitamente, il sistema DNS viene utilizzato per smistare le richieste di accesso a un portale web verso il server che lo ospita: l'utente inserisce nella barra degli indirizzi la URL alfanumerica desiderata (l'indirizzo web del sito) e il DNS la traduce nell'indirizzo IP della risorsa cercata. Nel corso di un attacco DDoS, le richieste di accesso al server sono così tante da saturare la banda a disposizione e rendere il sito (o addirittura l'intero server, ove questo ospitasse diverse distinte risorse web) irraggiungibile. È a questo punto che entrano in gioco sistemi di difesa online come il DNS Sinkholing: anziché restituire l'indirizzo IP della risorsa cercata, le richieste della botnet saranno invece inviate verso un differente server "sinkhole", dotato di un diverso indirizzo IP e creato appositamente per smaltire e neutralizzare il "traffico in eccesso".

 

Attacco DDoS

Perché il sinkholing ci protegge dagli attacchi informatici

Come appena visto, il sinkholing è di grande aiuto in caso di attacchi DDoS: deviando il traffico verso dei cul-de-sac informatici, evita che il sito principale non sia più raggiungibile e fa sì che i dati rimangano al sicuro da tentativi di intrusione di varia natura (ad esempio attacchi informatici del tipo "forza bruta"). Questa tecnica, però, può essere utile anche con altre tipologie di cyberattacco.

Il caso più famoso e più recente di sinkholing – quanto meno, tra quelli che si conoscono pubblicamente – è opera dell'inglese Mark Hutchins, white hat hacker e ricercatore di sicurezza indipendente capace di fermare l'attacco WannaCry spendendo poco meno di 9 euro. Il ricercatore britannico, dopo aver analizzato il codice sorgente del ransomware nordcoreano, scopre che il programma era stato creato con una speciale misura di sicurezza che consisteva nel tentare di collegarsi a un determinato sito web una volta installatosi su un nuovo computer, probabilmente allo scopo di ricevere nuove istruzioni prima di attivarsi come malware. Al ricercatore è quindi bastato registrare a proprio nome l'indirizzo IP del sito in questione, che era in quel momento inesistente, per fare in modo che il malware bloccasse la propria espansione.

 

Il ransomwareWannaCry è stato neutralizzato con un sinkhole

Il sinkhole creato da Hutchins non ha ovviamente permesso di decrittografare gli hard disk già bloccati da WannaCry né ha impedito ai suoi autori di realizzarne una nuova versione senza questa falla, ma ha comunque consentito agli amministratori di sistema e sviluppatori di guadagnare tempo e aggiornare sistemi e reti in modo tale da mettere al riparo da questa minaccia utenti e dati.

A cura di Cultur-e
Addestramento IA non consentito: É assolutamente vietato l’utilizzo del contenuto di questa pubblicazione, in qualsiasi forma o modalità, per addestrare sistemi e piattaforme di intelligenza artificiale generativa. I contenuti sono coperti da copyright.
Whatsapp
Segui le ultime notizie sul nostro canale Whatsapp
Immagine principale del blocco
Segui le ultime notizie sul nostro canale Whatsapp
Fda gratis svg
Iscriviti al canale gratuito

Iscriviti
all'area personale

Per ricevere Newsletter, scaricare eBook, creare playlist vocali e accedere ai corsi della Fastweb Digital Academy a te dedicati.