L’11 maggio diversi siti italiani, tra cui quello del Senato, sono stati colpiti da un attacco DDoS effettuato dal collettivo filo-russo Killnet. Il Computer Security Incident Response Team (CSIRT) dell’Agenzia per la Cybersicurezza Nazionale (ACN) ha fornito informazioni dettagliate sull’accaduto, consigliando le azioni da attuare per proteggere i sistemi informatici.
Analisi dell’attacco DDoS
L’attacco DDoS (Distributed Denial of Service) è avvenuto contro i siti di Senato, Istituto Superiore di Sanità, Infomedix, Aci e Scuola alti studi di Lucca (anche il sito della Difesa era offline, ma si è trattato di un intervento di manutenzione programmata). I cybercriminali hanno utilizzato un metodo differente da quello tradizionale. Invece di effettuare milioni di richieste contemporanee (spesso tramite una botnet), il gruppo Killnet ha sfruttato la tecnica nota come Slow HTTP.
Se vengono inviate richieste HTTP incomplete o a bassa velocità, il server alloca le risorse per attendere tutti i dati. Ma il server può gestire un numero limitato di richieste concorrenti, quindi le connessioni vengono saturate quando le risorse finiscono e si verifica il DDoS. Questa tecnica è più efficace perché l’attacco non viene rilevato dai sistemi di protezione. L’attacco è stato effettuato con richieste HTTP GET senza la sequenza CRLF (Carriage Return + Line Feed) che indica la fine delle comunicazioni. Il server mantiene quindi la connessione attiva e le risorse non vengono liberate.
Il CSIRT ha pubblicato una serie di azioni per mitigare gli effetti di simili attacchi, sia generali che per singoli web server. Una di esse prevede l’utilizzo di Web Application Firewall e Next Generation Firewall. Una delle soluzioni più complete sul mercato è Bitdefender GravityZone.
Ti potrebbe interessare
14 mag 2022