Passano gli anni, il WISR Arbor Networks resta: il rapporto annuale sulla sicurezza della Rete illustra ormai da qualche tempo l’evoluzione delle minacce e dei moventi che coinvolgono gli abitanti di Internet in sempiterne scaramucce che rischiano di trasformarsi in vere e proprie battaglie o, peggio, guerre digitali. E se fino a qualche anno fa dominavano la scena i “cappelli neri” che facevano tutto questo per soldi, oggi si fa strada una nuova categoria di disturbatori della quiete pubblica: secondo gli intervistati coinvolti nella ricerca dell’azienda che si occupa di sicurezza informatica, sempre più spesso dietro un DDoS o un tentativo più o meno riuscito di crack dei sistemi altrui c’è la politica, l’ideologia, la rivendicazione sociale.
“Lo chiamiamo effetto Anonymous – spiega a Punto Informatico Marco Gioanola – Noi riportiamo le risposte che ci hanno dato: il 35 per cento degli intervistati attribuisce motivazioni politiche agli attacchi subiti. Non che si sia smesso di fare attacchi a scopo di riscatto: è che l’anno scorso il DDoS è finito sulla bocca di tutti per le vicende di Anonymous, gli attacchi di questo tipo si sono moltiplicati, nessuno si sente al sicuro”. Tutto questo può essere effettivamente letto come un cambiamento dello scenario, ma non è necessariamente la spiegazione giusta: “Molti si sono dati delle giustificazioni per certi attacchi a posteriori: magari un attacco a un ministero fino a quel momento inspiegabile ora viene attribuito ad Anonymous, ma si tratta senz’altro anche di un fattore ambientale che oggi ha più risalto che in passato”.
A conferma di questa tendenza, tuttavia, parrebbero esserci i numeri: se nel 2010 si era registrato il più alto picco mai registrato per un DDoS, superiore a 100Gb/s di portata, nel 2011 questo valore si ferma a soli 60Gb/s. “Non facciamoci confondere dal dato del 2010 – puntualizza Gioanola – Se guardiamo più indietro, la crescità c’è ed è costante. Ed è naturale, visto che la banda a disposizione nel complesso continua a salire. Il dato più significativo da notare, però, è che è aumentata la percentuale di entità che registra attacchi superiori a 1Gb/s: un anno fa era il 35 per cento, oggi è il 40. E oltre alle dimensioni cresce anche la frequenza con cui questi attacchi vengono registrati”.
Una parte di questa crescita, chiarisce il portavoce di Arbor Networks, è spiegabile anche con una maggiore sensibilità al problema: le aziende, gli addetti ai lavori, si sono equipaggiati con strumenti più adeguati per identificare e contrastare il problema, dunque sono in grado di riconoscere minacce che fino a qualche anno fa potevano anche finire derubricate a semplici malfunzionamenti. Il problema è che, di pari passo con il miglioramento delle tecnologie di contrasto, sono migliorati anche gli strumenti per chi pianifica e mette in pratica gli attacchi informatici: una democratizzazione e una crescita che devono spingere, secondo Gioanola, a non abbassare la guardia.
“Sui giornali ci finiscono gli appelli di Anonymous, che reclutano gente che scarica un software e poi partecipa all’attacco. Ma chi vuole fare sul serio continua a usare le botnet, che sono in affitto a poco prezzo nei forum dell’underground: un mercato che esiste dal 2006, che cresce, e che lascia lo scenario macroscopico invariato con DNS, HTTP e ora anche SSL sotto attacco”. In pratica, sebbene esista la questione della democratizzazione del fenomeno DDoS e in generale dell’attacco informatico, con singoli o gruppi di persone più o meno organizzati e coordinati che si dedicano a queste attività, restano in piedi le associazioni a delinquere a scopo di lucro che di queste imprese hanno fatto un business.
Un altro aspetto interesante riguarda le reti mobile: cresciute in questi anni in modo a volte imprevedibile, oggi costituiscono una fetta significativa del traffico complessivo che si sviluppa quotidianamente su Internet. Il problema, dice sempre Gioanola, è che si tratta di reti che sono cresciute con dei requisiti di funzionamento e sicurezza diversi da quelli necessari oggi, visto che di certo qualche anno fa non si ipotizzava che il traffico dati avrebbe costituto una voce importante del totale: “I provider mobile si trovano a fronteggiare le stesse sfide dei provider di rete fissa – continua Gioanola – Devono adeguarsi con mentalità e apparati necessari, il loro è un problema che aumenterà nei prossimi anni: le nuove tecnologie come LTE garantiranno un aumento della banda disponibile per gli utenti, che potranno dunque fare più danni di quanti non possano oggi. Tanto più che non sono necessari grandissimi numeri per congestionare una cella, e quello della disponibilità della infrastruttura e del controllo delle sorgenti di traffico è il problema su cui ci stiamo focalizzando”.
Il centro della questione resta però il mutamento delle abitudini e delle esigenze dei navigatori. La diffusione di servizi come il VoIP, lo streaming, le webapp, rende più sensibili provider e utenti al DDoS: “Su HTTP ormai girano moltissimi servizi in modalità over the top , i content provider sfruttano il protocollo per mettere in piedi flussi che recapitano i loro prodotti a entità terze, e dunque HTTP resta la vittima predestinata. Paradossalmente, guardando alle percentuali si potrebbe quasi affermare che il VoIP perda qualche colpo nelle preferenze dei malintenzionati, ma non possiamo che ribadire che ormai anche siti relativamente piccoli, magari sconosciuti ai più, diventano facilmente oggetto di attacchi DDoS della portata di 5-6Gb/s” racconta Gioanola.
Il ritornello sembra familiare: “Il DDoS non lo curi con la patch, si può mitigare ma non cancellare. Per fermare un DDoS occorrerebbe la collaborazione tra provider: se qualcuno si organizza per pattugliare la propria rete, sarebbe bello arginare anche le sorgenti dell’attacco altrove. Ma è una questione non tecnica – ribadisce a Punto Informatico – il DDoS non scompare, è come una manifestazione di piazza: paradossalmente ci sono anche circostanze in cui IPv6, il nuovo protocollo, potrebbe complicare un pochino lo scenario. Non si può fare molto per sconfiggere il DDoS a livello protocollare, occorre altro”.
A proposito, come va con IPv6? “Siamo sempre lì. Addirittura – scherza Gioanola – finalmente quando qualcuno ci ha detto di aver subito un attacco sulla sua rete IPv6 abbiamo quasi esultato: ci sono segni di vita! In reatà la situazione non è male, la maggior parte dei partecipanti alla ricerca ha detto di avere infratruttura pronta o pronta a brevissimo per il passaggio al nuovo protocollo, i test (come l’ IPv6 day , ndr) non hanno sollevato particolari criticità. Manca la prova su strada vera, il traffico resta pari allo 0,01 per cento: IPv6 resta un punto interrogativo, tutto funziona ma lo Shuttle deve ancora partire per così dire. La sensazione è che un po’ tutti siano in attesa dei pezzi grossi, di un nuovo servizio che scateni la corsa. Per il momento comunque IPv6 è quasi un isola felice: paradossalmente registriamo più che altro attività dannose tra botnet che si attaccano tra loro attraverso questo protocollo”.
Dunque, ricapitolando: il DDoS è ormai una pratica nota e conosciuta persino al pubblico meno avvezzo alle cose di Rete, e non sempre dietro un attacco ci sono motivazione economiche. Il fattore ideologico e politico si è fatto strada, e ha consentito al fenomeno di crescere in quantità e qualità. “Stiamo cercando di consigliare ai nostri clienti di non tentare la rincorsa, di non comprare apparecchiature sovradimensionate per tentare di gestire i DDoS: comprate qualcosa che sia focalizzato a risolvere i vostri problemi, a mantenere disponibili i vostri servizi per continuare a lavorare sempre. Non potete combattere i DDoS raddoppiando la banda a vostra disposizione – conclude Gioanola – vi supereranno sempre. Tanto più se, come pare ormai abitudine, ad essere attaccate sono le applicazioni: impossibile raddoppiare le CPU all’infinito, occorre focalizzare l’attenzione sulla questione della disponibilità”.
a cura di Luca Annunziata