Che cos'è un attacco Distributed Denial of Service (DDoS)?

Per comprendere cosa sia un attacco DDoS (Distributed Denial of Service), immaginate che state andando al lavoro, percorrendo la solita strada che da casa vi conduce al vostro ufficio. Siete in perfetto orario come tutte le mattine, ma all'improvviso la strada si riempie di decine e decine, anzi centinaia, migliaia di macchine. Il traffico si congestiona rapidamente, causando il rallentamento delle auto, compresa la vostra, fino a paralizzarsi completamente. Così come trovarvi bloccati in mezzo al traffico in autostrada è un incubo per voi, allo stesso modo gli attacchi distributed denial os service possono congestionare e bloccare le reti informatiche.

Un attacco DDoS cos’è? È una tecnica utilizzata dai cybercriminali per interrompere il regolare traffico su un server, un servizio o una rete presi di mira, sommergendo il bersaglio o l'infrastuttura circostante con una marea di traffico internet.

Per lanciare attacchi distributed denial of service, i cybercriminali si servono di una miriade di dispositivi compromessi che vengono coordinati al fine di generare simultaneamente una valanga di traffico malevolo con cui saturare le risorse dei sistemi colpiti ed interromperne il regolare funzionamento.

Non soltanto computer, ma qualsiasi risorsa di rete può essere sfruttata per lanciare attacchi DDoS, come ad esempio i dispositivi IoT.^[1]

E cos’è un attacco DoS? A volte i termini DoS e DDoS vengono utilizzati in maniera intercambiabile ma c’è una differenza tra le due minacce, come indicato dalle sigle con cui vengono identificate. Un DoS (Denial of Service) è, infatti, un attacco proveniente da una singola fonte, mentre in un DDoS (Distributed Denial of Service) gli attaccanti che colpiscono una stessa vittima sono più di uno.

Il primo caso documentato di attacco DDoS risale al 7 Febbraio del 2000, quando un ragazzino canadese quindicenne, che online si faceva chiamare con lo pseudonimo di “mafiaboy”, orchestrò una serie di attacchi distributed denial of service contro diversi siti di e-commerce, tra cui Amazon e eBay, riuscendo a paralizzare il commercio elettronico. L'FBI stimò che i siti colpiti subirono perdite per 1,7 miliardi di dollari.^[2]

Nel corso degli anni, gli attacchi DDoS sono stati utilizzati persino per motivazioni politiche. Anche se non è mai stato dimostrato, si ritiene che la Russia si sia servita di questo tipo di attacchi per colpire diversi paesi nemici in tempi di conflitti, come l'Estonia nel 2007, la Georgia nel 2008 e l'Ucraina nel 2014 e nel 2015.^[3]

Tra i maggiori attacchi DDoS, quello contro GitHub nel 2018, fece registrare picchi di traffico di 129.6 milioni di pacchetti dati al secondo (PPS) contro la piattaforma per lo sviluppo software controllata da Microsoft.

L'anno successivo, a Gennaio del 2019, la società di sicurezza informatica Imperva rilevò un mega attacco, con flussi di traffico fino a 500 milioni di PPS che paralizzarono la rete e il sito di uno dei suoi clienti. Solo qualche mese più tardi, in aprile, la stessa società segnalò un attacco di proporzioni ancora maggiori, facendo registrare il record di 280 milioni di PPS.^[4]

In base al livello di rete a cui vengono sferrati, esistono differenti tipologie di attacco DDoS. Per citarne alcune:

• Livello 3, livello di rete. Per colpire a questo livello vengono utilizzati attacchi Smurf, ICMP Floods, e IP/ICMP Fragmentation.
• Livello 4, livello di trasporto. Si utilizzano attacchi di tipo SYN Floods, UDP Floods e attacchi TCP State-Exhaustion.
• Livello 7, livello applicazione. Principalmente attacchi di tipo HTTP-encrypted.^[5]

I cybercriminali tipicamente utilizzano email infettate da malware per riuscire ad ottenere il controllo della miriade di sistemi che vengono poi utilizzati nel dossing, per sferrare attacchi in modo coordinato contro l'obiettivo prescelto. Tutta questa serie di sistemi infetti vanno a costituire la cosiddetta botnet. Derivante dalla fusione tra la parola robot e il termine network, la botnet si espande sempre più attraverso molteplici canali. Una volta che un dispositivo viene infettato, può a sua volta tentare di diffondere il malware ad altri dispositivi presenti nella rete a cui appartiene, andando così ad allargare indefinitamente la botnet.^[6]

Secondo il rapporto Proofpoint del 2019, sull'impatto del Fattore Umano sulla sicurezza informatica, più del 99% dei malware richiede l'interazione dell'utente per essere attivato. E le email restano il canale principale attraverso cui i cybercriminali riescono ad ottenere il controllo sei sistemi.

Ecco come le organizzazioni possono proteggersi dagli attacchi DDoS:

1. Prima di tutto, bisogna cercare di prevenire un possibile attacco DDoS. Per riuscirci bisogna attivare gli opportuni controlli sul traffico della rete e appoggiarsi su servizi cloud di DDoS-mitigation.
2. Secondo, bisogna evitare di diventare complici involontari di un attacco DDoS lanciato verso altre reti e sistemi. Per prevenire che i propri sistemi entrino a far parte delle botnet utilizzate dai criminali, le aziende devono proteggere le proprie reti e dispositivi da ogni minaccia esterna in grado di comprometterli. La maggior parte degli attacchi malware sono rivolti direttamente alle persone, non alle infrastrutture. Ciò non è un particolare da poco, in quanto l'approccio per proteggere il proprio ambiente digitale, va centrato proprio sulle persone.

[1] Cloudflare. “Che cos'è un attacco DDoS?”
[2] Enciclopedia Britannica
[3] Ibid.
[4] Casey Crane, Hashed Out. “Il più grande attacco DDosS di tutti i tempi”
[5] Steve Weismann, NortonLifeLock. “Che cos'è un attacco DDoS e cosa puoi fare per affrontarlo?”
[6] Cloudflare. “Che cos'è una botnet DDoS?”
[7] Proofpoint. “Human Factor Report”