Passano gli anni, cambiano le priorità. Se nel 2009/2010 l’attenzione era tutta puntata sulla nascita e l’esplosione del fenomeno smartphone, l’evoluzione dei costumi e delle abitudini dei navigatori ha costretto gli addetti ai lavori a cambiare prospettiva: non è più il singolo cellulare il problema, non è più la singola applicazione. Secondo Arbor Networks , che per il sesto anno ha compilato una ricerca interrogando gli operatori del settore, le priorità al momento sono vecchi e nuovi fantasmi: gli attacchi DDoS, le reti mobile, le conseguenze del passaggio (auspicato o effettivo) a IPv6 .
Tanto vale cominciare dal mobile, fenomeno che sta conoscendo un’autentica crescita esponenziale grazie al successo di piattaforme come iOS e Android: un terzo del campione intervistato quest’anno ha dichiarato di offrire servizi specifici per il mobile e, sebbene il traffico di questo comparto sia lontano da quello generato dalle connesioni su rete fissa, la rapida crescita rischia di creare autentici grattacapi per le aziende interessate. “I provider mobile sono tra quelli con minore visibilità sulla questione sicurezza – spiega a Punto Informatico Marco Gioanola , consultant engineering di Arbor Networks – Sia dal punto di vista infrastrutturale, sia da un punto di vista delle infezioni: più del 50 per cento degli intervistati non ha idea di quante macchine infette, botnet, ci siano in azione sulla loro rete”.
La questione è legata, come detto, alla rapidità con cui si è evoluto il fenomeno: “I provider mobili si sono trovati all’improvviso nel mercato – prosegue Gioanola – e non sempre hanno le competenze e le infrastrutture del service provider: spesso il loro personale proviene dal mondo enterprise, un universo con problematiche molto diverse. Ci sono minacce specifiche da conoscere, l’infrastruttura necessaria contiene determinati apparati. Apparati che spesso non sono pensati per essere aperti su Internet nel modo in cui vengono utilizzati: in più di un caso abbiamo visto che questi apparecchi sono molto vulnerabili ad attacchi di tipo DDoS”.
Ed ecco affiorare il secondo tema su cui si concentrano i dati Arbor di quest’anno: gli attacchi Distributed Denied of Service sono cresciuti (il valore di picco registrato sfiora i 100Gbit), ma soprattutto “abbiamo osservato una sofisticazione degli attacchi: non è più solo flooding – spiega Gioanola – ma attacchi di tipo analogo verso determinate transazioni e servizi”. Per così dire, il meccanismo si è fatto più “intelligente”, con bombardamenti mirati in grado di mettere fuori gioco parti di una infrastruttura più ampia, anche partendo da dimensioni del vettore di approccio piuttosto contenute.
“La dimensione degli attacchi che vediamo andare a segno è molto inferiore a quella del passato – racconta Gioanola a Punto Informatico – con pochi megabit di traffico si possono creare grossi disservizi: c’è un’affinamento molto spinto delle tecniche impiegate, ed è interessante notare come chi genera questi attacchi conosca spesso la quantità esatta di traffico necessaria a provocare un danno. In qualche modo i malviventi, che affittano le botnet per i propri scopi, possono risparmiare acquistando poche risorse: quante bastano per creare il danno voluto”.
L’esempio più attuale è senz’altro quanto accaduto in seguito alla vicenda Wikileaks ai servizi di Visa e Mastercard: “In quei casi si sono verificati disservizi puntuali rispetto alla pagina principale, con un danno complessivo relativamente contenuto: le sorgenti d’attacco erano relativamente poche – spiega Gioanola – gli attacchi relativamente poco sofisticati: quello che abbiamo potuto osservare è che in alcuni casi il danno è legato a una carenza sotto il profilo organizzativo, una mancanza di prontezza nella risposta a questi attacchi. Ci sono tempi morti pericolosi tra quando l’attacco viene rilevato e quando vengono messe in campo adeguate infrastrutture di mitigation , ed è questo fattore che causa il vero disservizio”.
La combinazione tra le due questioni apre lo scenario a prospettive inedite: una rete mobile, poco avvezza a tenere sotto controllo lo stato dei suoi componenti, si espone a situazioni poco felici sotto il profilo della sicurezza. Ci sono in circolazione dimostrazioni di tecniche per intercettare le connessioni radio, gli utenti possono finire vittima di truffe sulla connessione dati, facilmente il cliente può sforare il tetto di connessione imposto con tutto ciò che questo comporta.
Vale la pena dunque spendere qualche parola sugli apparati che potrebbero prevenire queste circostanze: “Gli apparati per fare DDoS mitigation sono una classe a se stante, e per la sua natura si tratta di un servizio da svolgere con hardware ad hoc. Poi – prosegue Gioanola – siccome di DDoS si parla ovunque, tutti parlano di DDoS mitigation : apparati nati per svolgere altri compiti che aggiungono feature. Per noi è un errore, e la ricerca mostra come il 50 per cento degli intervistati che si occupa di datacenter negli scorsi 12 mesi abbia segnalato che in questi casi i firewall e gli IPS ( intrusion prevention system , ndR) possano fungere da collo di bottiglia: sono apparati nati per fare altro, non possono svolgere adeguatamente anche questo compito”.
Anche mettendo in campo gli apparati giusti, in ogni caso, il singolo admin da solo non basta a fronteggiare queste problematiche: “Uno degli slogan, tra il serio e il faceto, che circola tra i dipendenti Arbor Networks è salvare Internet : e per salvare Internet – chiarisce Gioanola – occorre chiarire che l’unico modo davvero efficace per contrastare DDoS e altre minacce è la cooperazione a livello di service provider, possibilmente a livello internazionale: se non c’è qualcuno che stoppa questi attacchi vicino alla sorgente, difficile essere efficaci a valle”.
Parlando di infrastruttura, quindi, si arriva a una faccenda di stretta attualità, anche se ormai da qualche anno: IPv6 . Ancora tutto fermo? “IPv6 non è fermo – racconta Gioanola a Punto Informatico – La stragrande maggioranza dei provider ha almeno una sperimentazione in corso: in realtà vediamo una situazione che si evolve a due velocità su due fronti, con una categoria di ISP che ha già una infrastruttura più o meno pronta e un’altra che ha progetti chiari per giungere a conclusione entro 12-18 mesi. Poi c’è una fetta di provider che non ha ancora piani ben delineati: a questi occorre ricordare che l’esaurimento degli indirizzi IPv4 è imminente, e che occorre adeguare quanto prima i propri piani di indirizzamento anche per fare fronte alla fisiologica necessità di crescita degli ISP”.
Il passaggio a IPv6, sul piano della sicurezza, non sarà indolore: ci sono criticità specifiche che riguardano il protocollo , questioni nuove che i tecnici devono approfondire per essere pronti a fronteggiarle. IPv6 in certi casi viene già sfruttato per “nascondere” certi tipi di traffico tramite incapsulamento, e non tutti gli admin e i provider hanno già a disposizione gli strumenti e le competenze giuste per affrontare queste novità: “Come nel caso del DNSsec, si tratta di questioni molto da addetti ai lavori – racconta Gioanola – La loro adozione procedere in modo lento ma regolare, anche sulla spinta di alcune vulnerabilità come quella scoperta da Kaminsky ( qui alcune notizie al riguardo , ndR). Anche in questo caso, però, una buona quantità di ISP vede nel protocollo una complicazione della questione security, per il semplice fatto che i pacchetti DNSsec sono più pesanti”.
Un errore di valutazione che può avere un prezzo: “Gli attacchi DDoS su DNSsec saranno più devastanti, non bisogna avere paura di complicare la vita ai tecnici o di aumentare il traffico generato sui propri apparati: Internet ha problemi infrastrutturali seri, ci vuole un intervento in questo campo e DNSsec e IPv6 introducono una necessaria maggiore sicurezza nei protocolli di routing. Per godere dei vantaggi delle nuove tecnologie – conclude Gioanola – si devono predisporre anche infrastrutture adeguate”.
a cura di Luca Annunziata