Il protocollo CLDAP è una manna per i pirati

Mag 08, 2017 Marco Schiaffino Approfondimenti, Attacchi, In evidenza, RSS, Vulnerabilità 0

---

Il protocollo consente di amplificare gli attacchi con estrema efficacia. Akamai: “basterebbe poco per bloccare gli attacchi una volta per tutte”.

Nel mondo della sicurezza certi problemi emergono solo quando si presenta un’emergenza. È stato così nel 2016, con la crescita esponenziale dei ransomware che ha acceso i riflettori sul problema dei malware.

Lo stesso è avvenuto con gli attacchi DDoS che con la comparsa di Mirai, il worm che prende di mira i dispositivi della “Internet of Things” per reclutarli in botnet utilizzate per attaccare siti e infrastrutture di rete. In realtà, però, il problema degli attacchi DDoS non si limita a Mirai.

Come ben sanno gli esperti di sicurezza, la frequenza degli attacchi e la loro efficacia è aumentata costantemente nel corso degli anni e le “mega botnet” formate da dispositivi IoT rappresentano solo una parte del problema.

Per portare attacchi che mettono in crisi in crisi i server di un sito Internet o di un servizio online non serve infatti una botnet gigantesca: spesso per i pirati è sufficiente utilizzare tecniche di amplificazione che permettono di raggiungere volumi di traffico più che sufficienti per raggiungere i loro obiettivi.

Ma come funzionano questi vettori di attacco e perché rappresentano un pericolo per le aziende e la stessa integrità della rete? Il primo fattore da considerare per capirlo è UDP.

“Finché si utilizza UDP su Internet, ci saranno sempre possibilità nuove per gli hacker” spiega Stefano Buttiglione, Security Service Line Manager di Akamai Technologies.

UDP è uno dei principali protocolli utilizzati su Internet e, a differenza di TCP, è un protocollo connectionless. Questo significa che il trasferimento dei dati su UDP non richiede che sia stabilito un collegamento “dichiarato” tra le macchine che lo usano per comunicare.

La conseguenza pratica è che, usando un protocollo connectionless, è possibile inviare dati senza che ne sia verificata l’origine, aprendo la strada agli attacchi basati sulla cosiddetta “reflection”, cioè una tecnica che permette di utilizzare server legittimi per trasformarli in “complici inconsapevoli” degli attacchi.

Il trucco è semplice: una volta scelto il bersaglio, i pirati inviano richieste a un server (che in gergo viene chiamato “reflector”) alterando i pacchetti in modo che sembrino provenire dall’indirizzo IP del server che vogliono colpire.

Utilizzando un protocollo connectionless, l’effettiva origine delle richieste non può essere verificata e il reflector invierà le risposte all’indirizzo IP scelto dai pirati.

Ma quale vantaggio hanno i pirati nel mettere in piedi questo reindirizzamento di dati? I vantaggi sono due: prima di tutto possono nascondere più facilmente l’origine dell’attacco. In secondo luogo, possono sfruttare le caratteristiche del protocollo per amplificarne la potenza.

Molti protocolli, infatti, hanno come caratteristica il fatto che la risposta ha dimensioni molto superiori alla richiesta. Per esempio è possibile che a una richiesta di 100 byte il server risponda con pacchetti che “pesano” 2.000 byte. In questo modo, in pratica, i pirati informatici possono moltiplicare per 20 la loro capacità di attacco.

L’ultimo esempio di attacchi basati su reflection è quello registrato da Akamai e che utilizza CLDAP, un protocollo usato dai server Windows che i pirati stanno sfruttando per portare attacchi di notevole potenza.

CLDAP è un protocollo introdotto da Microsoft sui suoi server a partire dal 2012 e rappresenta una versione “semplificata” di LDAP. E il motivo per cui rappresenta un problema è che la “C” nella sigla significa (sorpresa!) “Connectionless”.

“Nel caso di CLDAP, abbiamo verificato che lanciando una richiesta molto piccola, di circa 52 byte, la risposta del reflector può arrivare a 3.000 byte. Il volume di traffico, in pratica, viene moltiplicato per 60 volte” spiega Buttiglione.

---

• Akamai, CLDAP, DDoS

---

---