Dai tempi di Dan Kaminsky in avanti, la rete delle reti ha rivelato in questi ultimi mesi tutta la fragilità di un design figlio degli anni ’60, epoca in cui evidentemente più che a mettere al sicuro pacchetti e Gigabit di traffico, si pensava soprattutto a far funzionare qualcosa. Ultima evidenza di questo pericoloso stato di cose arriva dalle indagini del ricercatore Don Jackson, secondo i cui risultati basta una botnet di qualche migliaio di PC zombi per riversare sul server bersaglio un traffico capace di abbattere qualsiasi cosa .
Dal suo osservatorio privilegiato della società SecureWorks , Jackson ha identificato, tracciato e analizzato attacchi prolungati condotti su bersagli apparentemente minori, siti pornografici usati a mo’ di banco di prova per una tecnica che potrebbe in futuro rappresentare un cannone puntato contro le tempia dei responsabili della sicurezza dei maggiori siti web in circolazione.
L’attacco agisce in sostanza come una sorta di amplificatore di una query inviata ai DNS, o per meglio dire un flusso di centinaia di migliaia di minuscoli pacchetti di dati contenenti pochi caratteri e la richiesta di ricevere una lista dei server root di Internet. Il sito da attaccare viene camuffato e indicato come l’origine delle richieste, e in cambio i malcapitati switch del porno-sito in oggetto ricevono una quantità di informazioni otto volte superiore a quelle inizialmente spedite in giro per la rete.
“Gli amplificatori in questo attacco sono quei server DNS configurati per quelle che sono considerate le pratiche migliori”, accusa Jackson, e una volta che un server DNS ha chiesto aiuto a un altro server, assumendo che la richiesta di informazioni sia legittima, parte in breve tempo la cascata di Gigabit che manda in tilt il bersaglio.
I ricercatori (e non solo Jackson) hanno tenuto sotto controllo l’attacco che è iniziato a metà gennaio, contando l’uso, o meglio l’abuso, di 750mila server DNS per sparare fuori su un solo bersaglio 5 Gigabyte di pacchetti “spazzatura” non richiesti. Come detto, fino a ora le vittime si contano sulle dita di una mano, ma Jackson sostiene che è solo questione di tempo prima che il nuovo cyber-attacco si diffonda a macchia d’olio , magari inserito in qualcuno di quei pacchetti “tutto incluso” che i criminali metto in vendita nell’underground telematico.
Difendersi dall’attacco si può, ma è dispendioso: per impedire l’abuso dei server DNS occorrerebbe riconfigurare in maniera ottimale il software di gestione delle macchine, un lavoro che in sostanza costringerebbe al reset di centinaia di migliaia di server diversi.
Gli altri metodi di difesa indicati, come quello di mettere in blacklist DNS legittimi ma abusati o l’utilizzo di un software di difesa proattiva basato su speciali firme “anti-DDoS”, comportano tutti qualche svantaggio. Si apre il dibattito su come fronteggiare la nuova minaccia, e ancora una volta viene evocata la necessità di agire a livello di protocollo, di specifiche stratificate nel corso dei decenni per mettere al sicuro una tecnologia di comunicazione che evidentemente non è mai stata progettata per essere, appunto, sicura.
Alfonso Maruccia
Ti potrebbe interessare
11 feb 2009