A cura di Ivan Straniero
Country Manager, Italy & Se Europe Arbor Networks
Le metodologie e i meccanismi di attacco sono in costante cambiamento ed evoluzione man mano che i malintenzionati scoprono nuovi metodi (o ne riutilizzano di vecchi) per tentare di raggiungere i loro scopi. Nell’anno in corso un meccanismo di attacco DDoS (Distributed Denial of Service) si è fatto davvero notare fino a questo momento: l’utilizzo del protocollo Ntp (Network Time Protocol) per amplificare i volumi di traffico generati dagli attaccanti.
Gli attacchi a riflessione Ntp sfruttano i server Ntp presenti su Internet il cui scopo è quello di sincronizzare gli orologi dei nostri laptop, smartphone, tablet e altri dispositivi connessi alle infrastrutture di rete. Alcuni server Ntp possono essere usati per amplificare le capacità di un attaccante: il traffico viene diretto da questi a uno o più server Ntp vulnerabili con un indirizzo di origine fittizio (corrispondente in questo caso a quello della vittima); il server Ntp risponde al comando inviato dall’attaccante, ma la risposta viene diretta verso la vittima con un volume di traffico fino a mille volte superiore rispetto a quello generato originariamente dall’attaccante.
Gli attacchi Ntp rappresentano un serio problema a causa dell’elevato rapporto di amplificazione, del numero relativamente grande di server vulnerabili presenti su Internet, e della mancanza di filtri anti-spoofing all’interno di molte reti. Sono diventati facilmente disponibili appositi tool che lanciano attacchi e contemporaneamente rilevano i server vulnerabili, tanto che molti servizi DDoS commerciali supportano ormai questo particolare vettore di attacco. Di conseguenza per un attaccante è facile generare traffico sufficiente a saturare la connettività Internet della maggior parte delle aziende e dei data centre Internet più piccoli.
Gli attacchi a riflessione Ntp non sono un problema per niente nuovo, ma è solo dall’ottobre 2013 che sono apparsi sui radar di molte aziende. Numerosi attacchi Ntp ben pubblicizzati sono stati lanciati contro servizi di online gaming per ostacolare lo svolgimento di eventi professionali di alto profilo, interferire con i lanci di nuovi prodotti e scatenare vendette contro giocatori concorrenti. L’eco mediatico di questa sequenza di attacchi sembra aver reso popolare la riflessione Ntp come vettore di attacco, portando nel primo trimestre del 2014 a quella che è stata probabilmente la tempesta più concentrata di grandi attacchi DDoS volumetrici mai registrata nella storia.
Per spiegare meglio questo punto basti pensare che il sistema Arbor ATLAS, avvalendosi dei dati condivisi da oltre 290 service provider di tutto il mondo, ha osservato nel 2013 un numero di attacchi con banda oltre i 20 Gb/sec più di otto volte superiore rispetto a quello del 2012. Nel primo trimestre del 2014, ATLAS ha registrato 1,5 volte il numero di attacchi oltre 20 Gb/sec di tutto il 2013! Sempre nel primo trimestre di quest’anno sono stati monitorati 72 eventi da oltre 100 Gb/sec, il maggiore dei quali è stato un attacco da 325 Gb/sec diretto contro un bersaglio in Francia: si è trattato del più grande attacco verificato mai osservato su Internet.
Considerate le dimensioni e la frequenza di questi attacchi, le aziende devono accertarsi di disporre di difese adeguate dal DDoS. Dai grandi Isp alle grandi imprese, tutte le aziende devono affrontare i rischi presentati dai grandi attacchi DDoS volumetrici. In presenta di servizi, configurazioni, procedure e soluzioni adeguate, le aziende possono proteggere efficacemente esse stesse e i loro clienti da questa minaccia:
– Prevenendo abusi – i service provider devono assicurarsi di disporre di filtri anti-spoofing al punto di contatto tra le loro reti e quelle dei loro clienti;
– Bonificando i servizi Ntp – le aziende dovrebbero effettuare proattivamente scansioni e bonifiche dei servizi Ntp vulnerabili in modo da ridurre le capacità a disposizione degli attaccanti;
– Rilevando gli attacchi – le aziende devono sfruttare la telemetria di flusso per rilevare, classificare, ritracciare e segnalare proattivamente gli attacchi DDoS. Idealmente, dovrebbero essere usate configurazioni specifiche per facilitare l’individuazione e la mitigazione precoce degli attacchi a riflessione Ntp;
– Attivando misure di mitigazione – mediante la preconfigurazione di tecniche di mitigazione basate su rete (p. es. Flowspec, blackhole, meccanismi di QoS ecc.) in modo che siano già pronte quando occorre. Necessario anche il deployment di servizi e soluzioni di mitigazione intelligenti;
– Mitigando gli attacchi – occorre accertarsi che i team addetti alle operazioni conoscano bene i tool e i processi necessari ad affrontare efficientemente l’attuale generazione di attacchi NTP.
Con la prosecuzione degli attacchi a riflessione Ntp è diventato quanto mai importante che le aziende dispongano di difese attivate; configurando le infrastrutture di sicurezza e di rete in modo appropriato e ottenendo una migliore comprensione di questa minaccia, le aziende possono difendersi con successo.
