È ormai accettato a tutti i livelli che la rete digitale (intendendo con la definizione generica l'insieme di infrastrutture, informazioni e servizi) è un sistema strategico indispensabile alla vita di un Paese, delle sue imprese, dei suoi cittadini.
La sua crescente diffusione, la crescita della velocità di trasmissione, la sua utilizzazione sempre più mirata a contenuti e servizi di valore sia per le istituzioni che per le imprese e i singoli, è accompagnata da una crescita altrettanto preoccupante delle vulnerabilità e degli attacchi che ad essa vengono portati.
La sua crescente diffusione, la crescita della velocità di trasmissione, la sua utilizzazione sempre più mirata a contenuti e servizi di valore sia per le istituzioni che per le imprese e i singoli, è accompagnata da una crescita altrettanto preoccupante delle vulnerabilità e degli attacchi che ad essa vengono portati.
L'8 dicembre 2010 un gruppo di hacker ha lanciato un distributed denial-of-service (DDoS) contro i server Web Visa e Paypal e anche su un sito Web del governo svedese. Gli attacchi sono stati di successo e i servizi offerti da tutti questi siti sono stati seriamente danneggiati. Se le grandi aziende, che operano in un ambiente multi-nazionale, non ha potuto impedire questi attacchi, un governo nazionale può fermare un attacco del genere su uno dei loro servizi Web?
Probabilmente no.
Uno dei limiti principali dei computer di oggi è il numero massimo di connessioni simultanee, 65.535, che possono essere fatte ad un PC/Server basato su Windows. Questo limite fornisce una base per per un attacco denial-of-service (DoS) fondato sull'esaurimento delle risorse di una macchina.
Ci sono due tipi di attacchi DoS : quelli destinati a mandare in crash il sistema (come il "ping della morte" (ping of death) e quelli che sono destinati a "inondare" (ping flooding) il sistema con richieste di risorse superiori alle possibilità della macchina (larghezza di banda, processore, spazio su disco ecc).
È possibile configurare un router in modo da non rispondere alle richieste ping o di non trasmettere i pacchetti diretti a indirizzi broadcast. I moderni apparati IP (router,gateway, firewall HW...) possiedono per ora algoritmi abbastanza evoluti per ridurre tali rischi ad esempio per far cadere un pacchetto ping che è più grande di una taglia configurato (per esempio, 84 byte) e consentendo solo un numero limitato di connessioni simultanee da ogni singolo indirizzo IP.
In un attacco DDoS gli hacker non inviano l'attacco DoS dal proprio PC. Si utilizza una rete di PC (computer zombie) su cui si è riusciti ad installare uno "zombie agent" per consentire di controllare i pc su cui lanciare l'attacco DDoS. L' insieme dei sistemi compromessi è conosciuto come botnet.
Un hacker potrebbe avere il controllo di diverse migliaia di computer zombie, quindi vi lascio immaginare cosa potrebbe combinare un gruppo di hacker!!!
L'attuale tecnologia del filtraggio IP non può impedire questi tipi di attacchi, quindi non possiamo fare nulla per difenderci?
Beh in teoria, ci sono cose che potremmo fare :
- Catturare tutti gli hacker e rinchiuderli: idea utopistica mi sa...
- Legiferare per assicurare che tutti i sistemi operativi per PC / applicazioni sono completamente sicuri contro ogni intrusione malware : una bella idea, ma in realtà impraticabile. Non esistendo un'approfondita cultura informatica di massa, chiunque ingenuamente potrebbe aprire un'email con allegato un trojan.
- Installare le applicazioni Web su un gran numero di server indipendenti con sede in diverse parti del mondo: le probabilità di buttarli giù insieme sono scarse...si potrebbe fare.
- Utilizzare un proxy DDoS service provider indipendente: questo elimina l'onere di impostare la sicurezza e spendere un capitale in apparecchiature. Il rovescio della medaglia si presenta in una possibile latenza di servizio.
Non esiste un metodo infallibile per prevenire un attacco DDoS. Tuttavia, per i servizi Web mission-critical, è di vitale importanza applicare queste raccomandazioni:
- Protezione dei sistemi con i migliori apparecchi di filtering IP disponibili.
- Test settimanale di questi apparecchi utilizzando uno strumento di test appositamente progettato per l'attività.
- Aggiornamento costante di questi apparecchi con le patch più recenti i venditori.ù
- Stress test di tutto il sistema.
- Distribuire il servizio su più server gestiti attraverso una serie di apparecchi di load balancing.
E' indispensabile che tra i compiti che saranno affidati agli organismi che orienteranno lo sviluppo tecnologico e l'innovazione del Paese, vi siano precisi compiti di governance della sicurezza per garantire che le soluzioni proposte siano sicure, che i sistemi siano adeguatamente protetti e ne sia garantita la continuità operativa.
Post
0 commenti
Posts a comment