Aggiornamenti recenti Aprile 2nd, 2025 10:39 AM
Mag 08, 2017 Marco Schiaffino Approfondimenti, Attacchi, In evidenza, RSS, Vulnerabilità 0
Nel mondo della sicurezza certi problemi emergono solo quando si presenta un’emergenza. È stato così nel 2016, con la crescita esponenziale dei ransomware che ha acceso i riflettori sul problema dei malware.
Lo stesso è avvenuto con gli attacchi DDoS che con la comparsa di Mirai, il worm che prende di mira i dispositivi della “Internet of Things” per reclutarli in botnet utilizzate per attaccare siti e infrastrutture di rete. In realtà, però, il problema degli attacchi DDoS non si limita a Mirai.
Come ben sanno gli esperti di sicurezza, la frequenza degli attacchi e la loro efficacia è aumentata costantemente nel corso degli anni e le “mega botnet” formate da dispositivi IoT rappresentano solo una parte del problema.
Per portare attacchi che mettono in crisi in crisi i server di un sito Internet o di un servizio online non serve infatti una botnet gigantesca: spesso per i pirati è sufficiente utilizzare tecniche di amplificazione che permettono di raggiungere volumi di traffico più che sufficienti per raggiungere i loro obiettivi.
Ma come funzionano questi vettori di attacco e perché rappresentano un pericolo per le aziende e la stessa integrità della rete? Il primo fattore da considerare per capirlo è UDP.
“Finché si utilizza UDP su Internet, ci saranno sempre possibilità nuove per gli hacker” spiega Stefano Buttiglione, Security Service Line Manager di Akamai Technologies.
UDP è uno dei principali protocolli utilizzati su Internet e, a differenza di TCP, è un protocollo connectionless. Questo significa che il trasferimento dei dati su UDP non richiede che sia stabilito un collegamento “dichiarato” tra le macchine che lo usano per comunicare.
La conseguenza pratica è che, usando un protocollo connectionless, è possibile inviare dati senza che ne sia verificata l’origine, aprendo la strada agli attacchi basati sulla cosiddetta “reflection”, cioè una tecnica che permette di utilizzare server legittimi per trasformarli in “complici inconsapevoli” degli attacchi.
Il trucco è semplice: una volta scelto il bersaglio, i pirati inviano richieste a un server (che in gergo viene chiamato “reflector”) alterando i pacchetti in modo che sembrino provenire dall’indirizzo IP del server che vogliono colpire.
Attraverso la reflection, i pirati utilizzano server legittimi per portare attacchi amplificati nei confronti dei loro obiettivi.
Utilizzando un protocollo connectionless, l’effettiva origine delle richieste non può essere verificata e il reflector invierà le risposte all’indirizzo IP scelto dai pirati.
Ma quale vantaggio hanno i pirati nel mettere in piedi questo reindirizzamento di dati? I vantaggi sono due: prima di tutto possono nascondere più facilmente l’origine dell’attacco. In secondo luogo, possono sfruttare le caratteristiche del protocollo per amplificarne la potenza.
Molti protocolli, infatti, hanno come caratteristica il fatto che la risposta ha dimensioni molto superiori alla richiesta. Per esempio è possibile che a una richiesta di 100 byte il server risponda con pacchetti che “pesano” 2.000 byte. In questo modo, in pratica, i pirati informatici possono moltiplicare per 20 la loro capacità di attacco.
L’ultimo esempio di attacchi basati su reflection è quello registrato da Akamai e che utilizza CLDAP, un protocollo usato dai server Windows che i pirati stanno sfruttando per portare attacchi di notevole potenza.
CLDAP è un protocollo introdotto da Microsoft sui suoi server a partire dal 2012 e rappresenta una versione “semplificata” di LDAP. E il motivo per cui rappresenta un problema è che la “C” nella sigla significa (sorpresa!) “Connectionless”.
“Nel caso di CLDAP, abbiamo verificato che lanciando una richiesta molto piccola, di circa 52 byte, la risposta del reflector può arrivare a 3.000 byte. Il volume di traffico, in pratica, viene moltiplicato per 60 volte” spiega Buttiglione.
Dic 20, 2024 0
Nov 22, 2024 0
Set 02, 2024 0
Ago 29, 2024 0
Apr 02, 2025 0
Apr 01, 2025 0
Mar 31, 2025 0
Mar 31, 2025 0
Apr 02, 2025 0
La Corea del Nord sta incrementando le proprie attività...Apr 01, 2025 0
Se da una parte i tool di Remote Monitoring and Management...Mar 27, 2025 0
Ogni nuova tecnologia porta con sé nuovi rischi. Nel caso...Mar 21, 2025 0
Il processo di penetration testing è ormai una pratica...Mar 13, 2025 0
Il bilancio delle vittime del ransomware Medusa è...Gen 29, 2025 0
Con l’avvento dell’IA generativa...Ott 09, 2024 0
Negli ultimi anni sempre più aziende stanno sottoscrivendo...Ott 02, 2024 0
Grazie al machine learning, il Global Research and Analysis...Set 30, 2024 0
Il 2024 è l’anno delle nuove normative di sicurezza:...Mag 21, 2024 0
Una delle sfide principali delle aziende distribuite sul...Apr 02, 2025 0
La Corea del Nord sta incrementando le proprie attività...Apr 01, 2025 0
Se da una parte i tool di Remote Monitoring and...Mar 31, 2025 0
I ricercatori di Infoblox hanno scoperto una nuova campagna...Mar 31, 2025 0
Nel corso dell’ultima settimana, il CERT-AGID ha rilevato...Mar 28, 2025 0
Un vecchio dominio di Microsoft Stream è stato compromesso...