Attacchi DDoS in corso in Italia: le contromisure suggerite dal CSIRT
Si riscalda il fronte Cyber. L’avviso di preallarme diffuso dal CSIRT pochi giorni fa si è purtroppo rivelato corretto: a partire da venerdì diversi siti di banche, aeroporti, operatori di telecomunicazione e della pubblica amministrazione sono stati bersaglio di attacchi DDoS rivendicati dal gruppo Killnet, composto da hacktivisti filorussi ma che apparentemente non sono sotto gli ordini diretti del Cremlino.
Gli impatti dell’attacco sono diversi: alcuni siti sono risultati a lungo irraggiungibili, mentre altri sembrano aver subìto solo rallentamenti o blocchi momentanei. Non risultano al momento compromissioni dei dati o intrusioni nei siti dei bersagli.
Attività come gli attacchi DDoS non sono complesse da eseguire anche quelle su larga scala, perché fanno largo uso di strumenti automatizzati e botnet e sfruttano inoltre caratteristiche dei protocolli di rete che finiscono con l’amplificare la portata dell’attacco. Sebbene possano causare disservizi, specialmente se colpiscono servizi essenziali, questi sono in genere transitori. Vista la situazione internazionale, dovremo in parte abituarci a convivere con attacchi di questo tipo, e quindi imparare a difenderci per minimizzarne gli impatti.
Il CSIRT italiano ha pubblicato nel weekend una ulteriore guida con le raccomandazioni per la mitigazione degli attacchi DDoS e le contromisure da adottare, di cui raccomandiamo caldamente la lettura. Il bollettino distingue le tre diverse tipologie attacchi DDoS:
- attacchi volumetrici: consumo della banda disponibile;
- attacchi ad esaurimento di stato: consumo di risorse di calcolo o memoria;
- attacchi applicativi: consumo dei thread, delle connessioni al database o dello spazio su disco.
Per ciascuna tecnologia vengono indicate le tecniche e le dinamiche di attacco e proposte le misure di mitigazione specifiche. Più in generale, il CSIRT raccomanda ai gestori di servizi web di utilizzare sistemi di Content Delivery Network (CDN) con repliche di copie statiche delle pagine web distribuite su una rete geografica.
La raccomandazione suggerisce di utilizzare anche un Web Application Firewall e specifici sistemi anti DDoS offerti dai principali fornitori, ma sottolinea che – in mancanza d’altro – già le soluzioni CDN gratuite (come CloudFlare, Coral CDN o altri, NdR) possono essere un primo, importante livello di difesa.