Luca Annunziata

Sicurezza Internet: il rapporto Arbor

Sesta edizione del report sulla infrastruttura e la rete Internet di Arbor Networks. Marco Gioanola, engineering consultant per l'area EMEA, ne parla in anteprima con Punto Informatico

Roma - Passano gli anni, cambiano le priorità. Se nel 2009/2010 l'attenzione era tutta puntata sulla nascita e l'esplosione del fenomeno smartphone, l'evoluzione dei costumi e delle abitudini dei navigatori ha costretto gli addetti ai lavori a cambiare prospettiva: non è più il singolo cellulare il problema, non è più la singola applicazione. Secondo Arbor Networks, che per il sesto anno ha compilato una ricerca interrogando gli operatori del settore, le priorità al momento sono vecchi e nuovi fantasmi: gli attacchi DDoS, le reti mobile, le conseguenze del passaggio (auspicato o effettivo) a IPv6.

Tanto vale cominciare dal mobile, fenomeno che sta conoscendo un'autentica crescita esponenziale grazie al successo di piattaforme come iOS e Android: un terzo del campione intervistato quest'anno ha dichiarato di offrire servizi specifici per il mobile e, sebbene il traffico di questo comparto sia lontano da quello generato dalle connesioni su rete fissa, la rapida crescita rischia di creare autentici grattacapi per le aziende interessate. "I provider mobile sono tra quelli con minore visibilità sulla questione sicurezza - spiega a Punto Informatico Marco Gioanola, consultant engineering di Arbor Networks - Sia dal punto di vista infrastrutturale, sia da un punto di vista delle infezioni: più del 50 per cento degli intervistati non ha idea di quante macchine infette, botnet, ci siano in azione sulla loro rete".

La questione è legata, come detto, alla rapidità con cui si è evoluto il fenomeno: "I provider mobili si sono trovati all'improvviso nel mercato - prosegue Gioanola - e non sempre hanno le competenze e le infrastrutture del service provider: spesso il loro personale proviene dal mondo enterprise, un universo con problematiche molto diverse. Ci sono minacce specifiche da conoscere, l'infrastruttura necessaria contiene determinati apparati. Apparati che spesso non sono pensati per essere aperti su Internet nel modo in cui vengono utilizzati: in più di un caso abbiamo visto che questi apparecchi sono molto vulnerabili ad attacchi di tipo DDoS".
Ed ecco affiorare il secondo tema su cui si concentrano i dati Arbor di quest'anno: gli attacchi Distributed Denied of Service sono cresciuti (il valore di picco registrato sfiora i 100Gbit), ma soprattutto "abbiamo osservato una sofisticazione degli attacchi: non è più solo flooding - spiega Gioanola - ma attacchi di tipo analogo verso determinate transazioni e servizi". Per così dire, il meccanismo si è fatto più "intelligente", con bombardamenti mirati in grado di mettere fuori gioco parti di una infrastruttura più ampia, anche partendo da dimensioni del vettore di approccio piuttosto contenute.

"La dimensione degli attacchi che vediamo andare a segno è molto inferiore a quella del passato - racconta Gioanola a Punto Informatico - con pochi megabit di traffico si possono creare grossi disservizi: c'è un'affinamento molto spinto delle tecniche impiegate, ed è interessante notare come chi genera questi attacchi conosca spesso la quantità esatta di traffico necessaria a provocare un danno. In qualche modo i malviventi, che affittano le botnet per i propri scopi, possono risparmiare acquistando poche risorse: quante bastano per creare il danno voluto".

L'esempio più attuale è senz'altro quanto accaduto in seguito alla vicenda Wikileaks ai servizi di Visa e Mastercard: "In quei casi si sono verificati disservizi puntuali rispetto alla pagina principale, con un danno complessivo relativamente contenuto: le sorgenti d'attacco erano relativamente poche - spiega Gioanola - gli attacchi relativamente poco sofisticati: quello che abbiamo potuto osservare è che in alcuni casi il danno è legato a una carenza sotto il profilo organizzativo, una mancanza di prontezza nella risposta a questi attacchi. Ci sono tempi morti pericolosi tra quando l'attacco viene rilevato e quando vengono messe in campo adeguate infrastrutture di mitigation, ed è questo fattore che causa il vero disservizio".

La combinazione tra le due questioni apre lo scenario a prospettive inedite: una rete mobile, poco avvezza a tenere sotto controllo lo stato dei suoi componenti, si espone a situazioni poco felici sotto il profilo della sicurezza. Ci sono in circolazione dimostrazioni di tecniche per intercettare le connessioni radio, gli utenti possono finire vittima di truffe sulla connessione dati, facilmente il cliente può sforare il tetto di connessione imposto con tutto ciò che questo comporta.

Vale la pena dunque spendere qualche parola sugli apparati che potrebbero prevenire queste circostanze: "Gli apparati per fare DDoS mitigation sono una classe a se stante, e per la sua natura si tratta di un servizio da svolgere con hardware ad hoc. Poi - prosegue Gioanola - siccome di DDoS si parla ovunque, tutti parlano di DDoS mitigation: apparati nati per svolgere altri compiti che aggiungono feature. Per noi è un errore, e la ricerca mostra come il 50 per cento degli intervistati che si occupa di datacenter negli scorsi 12 mesi abbia segnalato che in questi casi i firewall e gli IPS (intrusion prevention system, ndR) possano fungere da collo di bottiglia: sono apparati nati per fare altro, non possono svolgere adeguatamente anche questo compito".

Anche mettendo in campo gli apparati giusti, in ogni caso, il singolo admin da solo non basta a fronteggiare queste problematiche: "Uno degli slogan, tra il serio e il faceto, che circola tra i dipendenti Arbor Networks è salvare Internet: e per salvare Internet - chiarisce Gioanola - occorre chiarire che l'unico modo davvero efficace per contrastare DDoS e altre minacce è la cooperazione a livello di service provider, possibilmente a livello internazionale: se non c'è qualcuno che stoppa questi attacchi vicino alla sorgente, difficile essere efficaci a valle".

Parlando di infrastruttura, quindi, si arriva a una faccenda di stretta attualità, anche se ormai da qualche anno: IPv6. Ancora tutto fermo? "IPv6 non è fermo - racconta Gioanola a Punto Informatico - La stragrande maggioranza dei provider ha almeno una sperimentazione in corso: in realtà vediamo una situazione che si evolve a due velocità su due fronti, con una categoria di ISP che ha già una infrastruttura più o meno pronta e un'altra che ha progetti chiari per giungere a conclusione entro 12-18 mesi. Poi c'è una fetta di provider che non ha ancora piani ben delineati: a questi occorre ricordare che l'esaurimento degli indirizzi IPv4 è imminente, e che occorre adeguare quanto prima i propri piani di indirizzamento anche per fare fronte alla fisiologica necessità di crescita degli ISP".

Il passaggio a IPv6, sul piano della sicurezza, non sarà indolore: ci sono criticità specifiche che riguardano il protocollo, questioni nuove che i tecnici devono approfondire per essere pronti a fronteggiarle. IPv6 in certi casi viene già sfruttato per "nascondere" certi tipi di traffico tramite incapsulamento, e non tutti gli admin e i provider hanno già a disposizione gli strumenti e le competenze giuste per affrontare queste novità: "Come nel caso del DNSsec, si tratta di questioni molto da addetti ai lavori - racconta Gioanola - La loro adozione procedere in modo lento ma regolare, anche sulla spinta di alcune vulnerabilità come quella scoperta da Kaminsky (qui alcune notizie al riguardo, ndR). Anche in questo caso, però, una buona quantità di ISP vede nel protocollo una complicazione della questione security, per il semplice fatto che i pacchetti DNSsec sono più pesanti".

Un errore di valutazione che può avere un prezzo: "Gli attacchi DDoS su DNSsec saranno più devastanti, non bisogna avere paura di complicare la vita ai tecnici o di aumentare il traffico generato sui propri apparati: Internet ha problemi infrastrutturali seri, ci vuole un intervento in questo campo e DNSsec e IPv6 introducono una necessaria maggiore sicurezza nei protocolli di routing. Per godere dei vantaggi delle nuove tecnologie - conclude Gioanola - si devono predisporre anche infrastrutture adeguate".

a cura di Luca Annunziata
11 Commenti alla Notizia Sicurezza Internet: il rapporto Arbor
Ordina
  • AUGH!

    La sicurezza in rete aumenta proporzionalmente con l'implementazione di hardwares adeguati e con la conoscenza di coloro che li configurano e li gestiscono; vale lo stesso per il wireless e i phone vari.

    L'IPV6 non sarà mai adottato perchè con il NAT si è risolto il problema per il quale fu creato.

    Ho parlato.
    8)
    Nilok
    Nilok
    1925
  • non è così. Il passagggio a IPv6 sarà obbligatorio. Nat non è sempre possibile, nè percorribile per tutti i clienti che richiedono indirizzamenti pubblici, in costante aumento.
    non+autenticato
  • Analisi superficiale e fondamentalmente sbagliata.

    Anche ammettendo che si possano installare i migliori security devices e che si raggiunga con una loro perfetta conoscenza (cosa praticamente impossibile), non hai mai la sicurezza perfetta. Non sono e non sono mai stati concepiti come una panacea per la stupidità di chi programma ed implementa i sistemi.

    Con l'aumentare dei servizi ed infrastrutture esposti su Internet, diminuisce proporzionalmente l'intelligenza di chi li crea e gestisce (teorema di Einstein sulla costanza dell'intelligenza...) e diminuisce la possibilità di proteggerli. È semplicemente impossibile pensare di coprire ogni rete ed ogni infrastruttura con security devices.

    So esattamente di cosa parlo perché è il mio lavoro quotidiano, non sono congetture di qualcuno posto all'esterno.


    Cordiali saluti
  • Non mi sembra che nell'articolo si sia parlato di "sicurezza perfetta", e non era certo questa l'impressione che si voleva dare.

    saluti.
  • Infatti io non sto criticando l'articolo, né certo il rapporto di Arbor, che è una delle aziende più rispettabili nel settore. Sto criticando quello che dice Nilok, secondo cui basta installare un NIPS o un firewall ed hai risolto tutti i problemi. In realtà non è così semplice.

    Cordiali saluti
  • - Scritto da: Nilok
    > AUGH!
    >
    > La sicurezza in rete aumenta proporzionalmente
    > con l'implementazione di hardwares adeguati e con
    > la conoscenza di coloro che li configurano e li
    > gestiscono; vale lo stesso per il wireless e i
    > phone
    > vari.
    >
    > L'IPV6 non sarà mai adottato perchè con il NAT si
    > è risolto il problema per il quale fu
    > creato.
    >
    > Ho parlato.
    >Ficoso
    > Nilok

    Considerando il quantitativo d'indirizzi IP buttati nel *esso in quanto forniti ad organizzazioni criminali che, nel frattempo, si son pure fatti dei BulletProof ISP per diffondere meglio il loro ciarpame, basterebbe recuperare il tutto per avere ancora un buon range d'indirizzi da alloccare. Inoltre, considerando come la rete IPv4 sia satura, negli ultimi mesi c'è stato uno spike esponenziale nell'alloccamento delle ultime classi (tanto si che si parlava di Maggio 2011 e nel giro di un mese, siam passati a Febbraio 2011), proprio perchè tutti si son buttati a pigliare gli ultimi indirizzi. Ora gli ISP opteranno per connessioni ad IP dinamico, facendo pagare molto di più quelle ad ind. statico. Tutta sta corsa all'IPv6 serve solo alle aziende di outsourcing e canta-storie informatici, per poter incutere timore alle solite azienduccole gestite da pseudo-imprenditori da strapazzo (quelli che aprono il portafoglio ESCLUSIVAMENTE per le vaccate e non scuciono un centesimo per ciò che realmente serve, totalmente convinti d'aver fatto bene a tagliare in tal maniera), tanto per spennarli in consulenze strapagate e sistemi ultradispendiosi e pompati rispetto alle reali esigente dei reparti IT.

    Come funziona l'IT in italia, tra l'altro. Ho potuto personalmente assistere, con i miei occhi, la rivedita di un server comprato all'ingrosso a 2300€ (della Dell), a 30.000 € (solo hardware). Ed il tale che se la tirava come un *ottuto maiale dicendo: "Beh, e saranno altri 30.000 per la configurazione".
    Per non parlare di parcelle di siti web a 100.000, codati solo da 1 coder (ergo testing e bug-finding pari a 0).
    non+autenticato
  • > L'IPV6 non sarà mai adottato perchè con il NAT si
    > è risolto il problema per il quale fu
    > creato.
    >

    Oltre il fatto che io personalmente il NAT non lo rimuoverei proprio per niente dalle reti. E' una sorta di protezione a layer 3 contro tutte le connessioni non autorizzate. Piuttosto opterei per una soluzione di NAT+IP multipli in round-robin, in maniera da poter permettere agli host interni un port-mapping più permissivo, ma andare a spalancare tutto, esponendo gli host interni di una rete, ad Internet, con tutto ciò che ne consegue, direi che è da *oglioni e da ignoranti-in-sicurezza. Un NAT sega le connessioni dall'esterno, non che l'Internet Background Noise con consumo virtualmente pari a 0, rispetto al filtering operato via ACL (le quali causano uno spreco di risorse computazionali non indifferente, in fase di entry-matching). Stessa logica del Null Routing contro i DoS.
    non+autenticato
  • Il NAT non protegge proprio nulla, al contrario dà solo un falso senso di sicurezza. Da quando il NAT è stato introdotto la sicurezza in rete non è certo aumentata - anzi, se uno dovesse guardare alle statistiche, è l'esatto contrario...


    Cordiali saluti
  • Quella del NAT come "strumento di sicurezza" e' poco piu' di una leggenda metropolitana, nel senso che si', blocca le connessioni incoming, ma proprio per questo "rompe" Internet e costringe alla creazione di mostri -questi si'- come uPnP.

    Sul discorso che IPv4 sia ancora sufficiente, sono del tutto in disaccordo. Comunque ne riparliamo tra un anno. Sorride
  • Sei OT
    Funz
    13017