Aggiornamenti recenti Aprile 24th, 2025 3:33 PM
Mag 08, 2017 Marco Schiaffino Approfondimenti, Attacchi, In evidenza, RSS, Vulnerabilità 0
Nel mondo della sicurezza certi problemi emergono solo quando si presenta un’emergenza. È stato così nel 2016, con la crescita esponenziale dei ransomware che ha acceso i riflettori sul problema dei malware.
Lo stesso è avvenuto con gli attacchi DDoS che con la comparsa di Mirai, il worm che prende di mira i dispositivi della “Internet of Things” per reclutarli in botnet utilizzate per attaccare siti e infrastrutture di rete. In realtà, però, il problema degli attacchi DDoS non si limita a Mirai.
Come ben sanno gli esperti di sicurezza, la frequenza degli attacchi e la loro efficacia è aumentata costantemente nel corso degli anni e le “mega botnet” formate da dispositivi IoT rappresentano solo una parte del problema.
Per portare attacchi che mettono in crisi in crisi i server di un sito Internet o di un servizio online non serve infatti una botnet gigantesca: spesso per i pirati è sufficiente utilizzare tecniche di amplificazione che permettono di raggiungere volumi di traffico più che sufficienti per raggiungere i loro obiettivi.
Ma come funzionano questi vettori di attacco e perché rappresentano un pericolo per le aziende e la stessa integrità della rete? Il primo fattore da considerare per capirlo è UDP.
“Finché si utilizza UDP su Internet, ci saranno sempre possibilità nuove per gli hacker” spiega Stefano Buttiglione, Security Service Line Manager di Akamai Technologies.
UDP è uno dei principali protocolli utilizzati su Internet e, a differenza di TCP, è un protocollo connectionless. Questo significa che il trasferimento dei dati su UDP non richiede che sia stabilito un collegamento “dichiarato” tra le macchine che lo usano per comunicare.
La conseguenza pratica è che, usando un protocollo connectionless, è possibile inviare dati senza che ne sia verificata l’origine, aprendo la strada agli attacchi basati sulla cosiddetta “reflection”, cioè una tecnica che permette di utilizzare server legittimi per trasformarli in “complici inconsapevoli” degli attacchi.
Il trucco è semplice: una volta scelto il bersaglio, i pirati inviano richieste a un server (che in gergo viene chiamato “reflector”) alterando i pacchetti in modo che sembrino provenire dall’indirizzo IP del server che vogliono colpire.
Attraverso la reflection, i pirati utilizzano server legittimi per portare attacchi amplificati nei confronti dei loro obiettivi.
Utilizzando un protocollo connectionless, l’effettiva origine delle richieste non può essere verificata e il reflector invierà le risposte all’indirizzo IP scelto dai pirati.
Ma quale vantaggio hanno i pirati nel mettere in piedi questo reindirizzamento di dati? I vantaggi sono due: prima di tutto possono nascondere più facilmente l’origine dell’attacco. In secondo luogo, possono sfruttare le caratteristiche del protocollo per amplificarne la potenza.
Molti protocolli, infatti, hanno come caratteristica il fatto che la risposta ha dimensioni molto superiori alla richiesta. Per esempio è possibile che a una richiesta di 100 byte il server risponda con pacchetti che “pesano” 2.000 byte. In questo modo, in pratica, i pirati informatici possono moltiplicare per 20 la loro capacità di attacco.
L’ultimo esempio di attacchi basati su reflection è quello registrato da Akamai e che utilizza CLDAP, un protocollo usato dai server Windows che i pirati stanno sfruttando per portare attacchi di notevole potenza.
CLDAP è un protocollo introdotto da Microsoft sui suoi server a partire dal 2012 e rappresenta una versione “semplificata” di LDAP. E il motivo per cui rappresenta un problema è che la “C” nella sigla significa (sorpresa!) “Connectionless”.
“Nel caso di CLDAP, abbiamo verificato che lanciando una richiesta molto piccola, di circa 52 byte, la risposta del reflector può arrivare a 3.000 byte. Il volume di traffico, in pratica, viene moltiplicato per 60 volte” spiega Buttiglione.
Apr 18, 2025 0
Dic 20, 2024 0
Nov 22, 2024 0
Set 02, 2024 0
Apr 24, 2025 0
Apr 23, 2025 0
Apr 22, 2025 0
Apr 21, 2025 0
Apr 18, 2025 0
I ricercatori di Cisco Talos hanno pubblicato una nuova...Apr 15, 2025 0
La diffusione dell’IA e il progressivo miglioramento...Apr 09, 2025 0
Gli agenti di IA stanno diventando sempre più capaci, in...Apr 07, 2025 0
I file PDF possono diventare molto pericolosi: stando a una...Apr 04, 2025 0
L’Italia è tra i principali obiettivi del cybercrime...Gen 29, 2025 0
Con l’avvento dell’IA generativa...Ott 09, 2024 0
Negli ultimi anni sempre più aziende stanno sottoscrivendo...Ott 02, 2024 0
Grazie al machine learning, il Global Research and Analysis...Set 30, 2024 0
Il 2024 è l’anno delle nuove normative di sicurezza:...Mag 21, 2024 0
Una delle sfide principali delle aziende distribuite sul...Apr 24, 2025 0
I ricercatori di Dr. Web, fornitore russo di software...Apr 23, 2025 0
A sei anni dal primo annuncio, Google ha deciso di...Apr 22, 2025 0
I ricercatori di Cleafy, compagnia di sicurezza...Apr 21, 2025 0
Nel corso dell’ultima settimana, il CERT-AGID ha rilevato...Apr 18, 2025 0
I ricercatori di Cisco Talos hanno pubblicato una nuova...