Cos’è un attacco DDoS e perché se ne sta parlando così tanto in questi giorni

In attesa di capire se il conflitto in Ucraina si stia davvero trasformando in una cyber-war e, in ogni caso, quale possa essere l’accezione con cui intendere questo concetto (se come una vera e propria guerra che si basa anche su cyber attacchi di una certa rilevanza o se, invece, come una guerra che utilizza le armi della disinformazione per inquinare l’ecosistema digitale), occorre sicuramente dare una definizione a uno strumento che è stato utilizzato da un gruppo di hacktivisti diventato molto celebre negli ultimi mesi per le sue azioni contro le infrastrutture italiane, ovvero il gruppo Killnet, accompagnato dalla sua cellula più “incontrollabile”, il gruppo Legion. Si tratta di collettivi che utilizzano uno dei più noti strumenti in ottica cyber, ovvero l’attacco DDoS. Per questo motivo, l’attacco DDoS è entrato nel lessico comune della stampa italiana che, tuttavia, non ha mancato occasione per darne definizioni fin troppo approssimative. Occorre, dunque, specificare bene cosa significhi condurre un attacco DDoS e quali sono le differenze rispetto ad altri cyber-attacchi. Può essere utile, inoltre, individuare delle buone prassi anche per difendersi da questa tipologia di attacco.

LEGGI ANCHE > In Killnet pare, anche se non è certo, che ci siano anche degli italiani

Attacco DDoS, la definizione di questo strumento

DDoS è la sigla per Distributed Denial of Service. Il suo obiettivo è quello di interrompere più o meno a lungo le attività che un’azienda porta avanti. Queste attività possono essere intese sia come servizi digitali, sia come semplici elementi informativi magari illustrati all’interno dei propri portali istituzionali. Enormi volumi di traffico – generati su una scala estremamente estesa – raggiungono nello stesso momento server o interconnessioni di rete, con lo scopo di sovraccaricarli e, di conseguenza, renderli inutilizzabili. Gli effetti dell’attacco DDoS è rappresentato dal downtime dei siti contro cui l’attacco è diretto (con la conseguenza che il sito stesso possa risultare irraggiungibile per un tempo più o meno lungo a seconda della reazione); è possibile che si generino problemi nell’applicazione degli accordi sul livello di servizio; può avvenire che un down dei siti crei un effetto-cascata rispetto ad altri portali più o meno dipendenti dal sito contro cui l’attacco è diretto. In ogni caso, si avrà un danno reputazionale per l’azienda che sarà colpita da questo attacco DDoS ed è per questo che, spesso, le aziende stesse tendono a minimizzare o a non denunciare l’attacco ricevuto, forti anche del fatto che, per questo tipo di attacco – generalmente -, non è prevista una richiesta di riscatto (per questo tema, si veda la definizione di ransomware).

L’attacco DDoS può essere un attacco di tipo volumetrico (questa tipologia di attacco hacker è anche la più diffusa per questa specifica categoria), con l’obiettivo di saturare la connessione di rete o le risorse. Ma tra gli attacchi DDoS ci sono anche quelli che vanno a incidere sui protocolli di rete, sempre con lo scopo di rendere non disponibili tutti i server o tutti i servizi erogati dall’azienda che è bersaglio dell’attacco.

Quali sono le differenze tra attacco Dos e attacco DDoS

La differenza tra attacco Dos e attacco DDoS sta soprattutto nella distribuzione dell’attacco. L’attacco Dos è più semplice, mentre l’attacco DDoS utilizza computer e vari altri device di utenti ignari – che, per questo motivo, vengono definiti zombie -: in questo modo, una gestione da remoto di questi device, permetterà agli attaccanti di coordinare l’azione nei confronti del portale preso di mira.

È quello che è successo, nel mese di maggio, a diversi siti istituzionali italiani (come ad esempio il sito del Senato, ma anche quello del ministero della Difesa, del ministero degli Esteri, della Polizia di Stato, dell’Istituto Superiore di Sanità, del ministero dei Beni Culturali e del ministero della Transizione Ecologica): diverse richieste, un carico non sostenibile per la struttura attaccata, hanno messo fuorigioco per diverse ore i siti istituzionali e i servizi erogati attraverso questi siti. L’azione è stata dimostrativa e su eventuali danni legati all’attacco DDoS stanno indagando le autorità competenti. Occorre ricordare, infatti, che l’attacco DDoS è quello maggiormente utilizzato a fini politici, terroristici, di manifestazione del dissenso.

Data protection, ovvero difendersi (anche) dagli attacchi DDoS

Visti gli obiettivi sensibili che sono stati colpiti dagli attacchi DDoS riferibili a gruppi di hacktivisti filo-russi, viene da chiedersi quali siano i livelli di protezione necessari per contrastare fenomeni di questo tipo. Se strutture sensibili possono essere messe fuorigioco da questo tipo di attacco – si potrebbe pensare – allora è molto difficile proteggersi. In realtà non è così e questa domanda rappresenta l’occasione per parlare della cultura digitale nel nostro Paese, non soltanto a livello di cittadinanza, ma anche a livello di istituzioni.

Il fatto di non aver sufficientemente investito in cybersicurezza ha portato alcune nostre istituzioni a trovarsi completamente impreparate di fronte a eventi di questo genere. In realtà, le soluzioni per difendersi da attacchi DDoS sono ampiamente alla portata di aziende del settore privato e di quelle del settore pubblico, vista la grande esperienza di provider di servizi di questo tipo e vista la grande ricerca e la grande applicazione che è stata portata avanti negli anni dalle principali aziende di CDN e di cloud computing che offrono ai propri clienti delle soluzioni accessibili anche a livello di costi.

Basta, infatti, affidarsi a servizi che possono contare su reti che si aggirano intorno al livello di 100 Tb/s, che svolgono una azione preventiva rispetto alle minacce di attacchi hacker (minacce di attacchi Dos e DDoS non sono fenomeni infrequenti: si verificano milioni di volte al giorno, se ragioniamo a livello globale), che offrono supporto su tutti i servizi IP (a partire da TCP, UDP, IPSec, VoIP, fino ad arrivare ai protocolli personalizzati). I leader nel settore della cybersicurezza riescono a rilevare le minacce in un ordine di tempo inferiore al secondo e offrono una mitigazione degli attacchi stessi, nella maggior parte dei casi, in meno di tre secondi. Non bisogna pensare, inoltre, che le azioni di difesa debbano limitarsi soltanto al momento della crisi causato dall’attacco hacker in sé. Fare prevenzione e, soprattutto, analisi aiuta di molto a ovviare a problematiche che, da qualche anno a questa parte, si stanno ripetendo con frequenza.

Le indicazioni del Csirt

Anche il Csirt, il Computer Security Response Team che opera in seno all’Agenzia per la Cybersicurezza Nazionale di recente istituzione, ha avuto modo – negli ultimi tempi – di diramare alcune indicazioni rispetto alla mitigazione degli attacchi DDos. «È possibile – scrivono nella loro guida – mettere in campo soluzioni Anti-DDoS on premise oppure cloud, poiché è fondamentale individuare l’attacco il prima possibile sia rispetto alle tempistiche che all’effettiva distanza degli apparati di rilevamento dal servizio target (in termini di hop di rete)». Nel caso in cui non si sia riusciti a mettere in atto delle azioni di difesa preventive, tuttavia, suggeriscono di accettare una certa dose di disservizio: «Nel caso in cui il soggetto fosse in grado di richiedere intervento all’Internet Service Provider (ISP) è possibile richiedere il blocco del traffico proveniente da una subnet o da un AS accettando, quindi, di fare a meno di tutto il traffico (sia malevolo che lecito) proveniente dal segmento di rete identificato». Non si tratta tuttavia della scelta preferibile da fare. Sarebbe maggiormente importante agire su quella che abbiamo definito cultura del dato e della cybersicurezza, conducendo una campagna estremamente capillare per far sì che tutte le aziende e le istituzioni pubbliche possano dotarsi dei migliori servizi di contrasto all’attacco hacker, di qualsiasi tipologia esso sia.