Posts Tagged ‘Arbor Networks’

1-15 November 2013 Cyber Attacks Timeline

November 25, 2013 Leave a comment

It’s time for the summary of the main cyber attacks occurred in the first half of November and reported on the news.

These fifteen days have been particularly troubled from an information security perspective, having left to the records several remarkable breaches: LoyaltyBuild, affecting potentially 1.12 million individuals, (850,000 individuals), MacRumors (850,000 individuals) and, last but not least, vBulletin (860,000 users affected). A damage report which appears really devastating.

But even hacktivists have been particularly active: several operations have been carried on by the Anonymous all over the world (Italy, UK, Singapore, Japan, Philippines and Ukraine). One in particular (by Indonesian hacktivists against Australian targets) has apparently created a fracture inside the collective.

Last but not least, the chronicles report the latest hack of the Syrian Electronic Army against VICE and a new wave of attacks of Pakistani hackers against Indian targets.

As usual, if you want to have an idea of how fragile our data are inside the cyberspace, have a look at the timelines of the main Cyber Attacks in 2011, 2012 and now 2013 (regularly updated). You may also want to have a look at the Cyber Attack Statistics, and follow @paulsparrows on Twitter for the latest updates.

Also, feel free to submit remarkable incidents that in your opinion deserve to be included in the timelines (and charts).1-15 November 2013 Cyber Attacks Timeline

Read more…

A (Graphical) World of Botnets and Cyber Attacks

January 26, 2013 8 comments

Update 3/12/2013: I should also mention the Deutsche Telekom Security Tachometer

We live in a World made of Botnets and cyber attacks! While I am typing these few words in my keyboard, other fingers somewhere else in the Globe are moving quickly through the keys, firing stream of bits against their targets.

For thwarting this malicious landscape, trying to understand the evolving trends, more and more security companies and organizations collect data from their security endpoint or network devices spread all over the Globe, and send it to the cloud to be analyzed with big data algorithms. The purpose is to reduce the time between the release of a threat and the availability of an antidote. The same data can also be used to build spectacular maps that show in real time the status of the Internet, a quite impressive and worrisome spectacle! Here a short list of resources:


Probably the most impressive: the HoneyMap shows a real-time visualization of attacks detected by the Honeynet Project‘s sensors deployed around the world. The Map shows “automated scans and attacks originating from infected end-user computers or hijacked server systems”. This also means that an “attack” on the HoneyMap is not necessarily conducted by a single malicious person but rather by a computer worm or other forms of malicious programs. Please Notice that, as the creators of the Project declare, many red dots means there are many machines which are attacking our honeypots but this does not necessarily imply that those countries are “very active in the cyberwar”


Akamai Real-Time Web Monitor

Akamai monitors global Internet conditions around the clock. With this real-time data the company identifies the global regions with the greatest attack traffic, measuring attack traffic in real time across the Internet with their diverse network deployments. Data are collected on the number of connections that are attempted, the source IP address, the destination IP address and the source and destination ports in real time. The packets captured are generally from automated scanning trojans and worms looking to infect new computers scanning randomly generated IP addresses. Values are measured in attacks per 24 hours (attacks/24hrs).


Securelist Statistics (Kaspersky Lab)

The information collected by Kaspersky Security Network is shown in the Securelist Statistics section. In the corresponding navigable map, the user can select Local Infections, Online Threats, Network Attacks and Vulnerabilities with Map, Diagrams or Ratings format in a time scale of 24 hours, one week or one month.


Trend Micro Global Botnet Map

Trend Micro continuously monitors malicious network activities to identify command-and-control (C&C) servers, making the ability to rapidly identify and correlate bot activity critical. The real-time map indicates the locations of C&C servers and victimized computers that have been discovered in the previous six hours.

Trend Map


The Shadowserver Foundation, managed by volunteer security professionals, gathers intelligence from the Internet via honeyclients, honeypots, and IDS/IPS Systems. The maps are made converting all of the IP addresses of the aggressor, the Command and Control and the target of the DDoS attack in coordinates and placing those points on a map. The maps are updated once a day and are available for DDoS activity and Botnet C&Cs.


Arbor’s Threat Level Analysis System (ATLAS)

Through its relationships with several worldwide service providers and global network operators, Arbor provides insight and on global DDoS attack activity, Internet security and traffic trends. Global Activity Map shows data in terms of scan sources, attack sources, phishing websites, botnet IRC Servers, Fast Flux bots.


1-15 December 2012 Cyber Attacks Timeline

December 17, 2012 2 comments

Christmas is coming quickly, we have just passed the first half of December, and hence it’s time for the first update of the Cyber Attacks Timeline for December.

The Team GhostShell has decided to close the year with a clamorous Cyber Attack, and hence,as part of the project ProjectWhiteFox, has leaked 1.6 million of accounts from several organizations all over the world. This is the most important event for this first part of the month that apparently has shown a decreasing trend. Hacktivists are still focusing their attention (and their keyboards) to Israel, and Cyber Criminals are maybe preparing for the Christmas attacks.

However, the main events of the first half of December, are related to hacktivism, besides the above mentioned cyber attack, it worth to mention the new wave of massive DDoS attacks against US Banks (up to 60 Gbps of peak according to Arbor Networks), but also the leak of a ITU document on the future of Deep Packet Inspection and the attacks in Egypt, Mexico and India.

Last but not least: this two weeks also offered a giant attack to the famous Social Platform Tumblr and also the warning of the Switzerland’s national security agency (NDB) that a huge amount of secrets may have been leaked by a disgruntled IT Administrator.

If you want to have an idea of how fragile our data are inside the cyberspace, have a look at the timelines of the main Cyber Attacks in 2011 and 2012 and the related statistics (regularly updated), and follow @paulsparrows on Twitter for the latest updates.

Also, feel free to submit remarkable incidents that in your opinion deserve to be included in the timelines (and charts). To do so, you can use this form.

1-15 December 2012 Cyber Attack Timeline Read more…

DDoS: When Size Matters… Or Not?

February 9, 2012 4 comments

Arbor Networks and Radware, probably the two leading vendors focused on DDoS prevention and mitigation, have just published nearly in contemporary (probably not a coincidence) their 2011 reports which analyze, with similar methodologies applied to different stakeholders, one year of DDoS Phenomena occurred during the last year.

These reports are particularly meaningful since they come in a moment in which the waves of DDoS attacks unleashed by the OpMegaUploadas are not completely gone. To all the (too) many information security professionals whose sleep is disturbed by the booms of the Low Orbit Ion Cannons, I suggest to give a look to both documents:

As a matter of fact both reports provide a really interesting overview of this kind of attack which has become the flagship of the hacktivism movements.

From a methodological perspective both reports provide the results of a survey: the one conducted by Arbor Networks consisted of 132 free-form and multiple choice questions, covering a 12-month period from October 2010 through September 2011, whilst the one conducted by Radware consisted of 23 questions concerning the DDoS faced in 2011.

The participants of the Arbor Networks survey included 114 self-classified Tier 1, Tier 2 and other IP network operators from the U.S. and Canada, Latin/South America, EMEA, Africa and Asia, whilst the participants from the Radware survey included 135 organizations with large, medium and small size;ì,

Although the targets of the survey were not completely heterogeneous, and also the analyzed time windows were not exactly the same, I spent some time in comparing the results. In both cases, the message is clear: the DDoS attacks are becoming more and more complex, but the two vendors came to the same conclusion with a substantial difference. Does really size matter?

Hacktvism on the top

In both cases hacktivism ranks at number one among the attack motivations. The 35% of the Arbor Networks participants reported political or ideological attack motivations as the most common, immediately followed by Nihilism/Vandalism (31%). Analogously, the 22% of the Radware participants indicated a political/hacktivism motivation behind the attacks, immediately followed by “Angry Users” (12%). Curiously the 50% of the Radware participants indicated an unknown motivation, against the 19% of the Arbor Networks participants. Although hacktivism ranks undoubtedly at number one, the difference are not surprising: albeit the questions aimed to obtain the same information, they were slightly different: in one case (Arbor Networks) participants were asked to indicate Attack motivations considered common or very common, in the other case (Radware) participants were asked to indicate which motivations from a defined list, they considered behind the DoS /DDoS attacks experienced. Moreover also the different sample of participants may offer a further explanation. Arbor Networks participants are mainly operator, which have more sophisticated equipment to detect and counter attacks, Radware participants are heterogeneous organizations of different sizes, so their response may be “tainted” by emotive considerations or also by a smaller technological culture.

DDoS Attacks are becoming more and more complex assuming the nature of APTs

I was particularly impressed by a statement found in the Radware Report: “The nature of DoS / DDoS attacks has become more of an Advanced Persistent Threat (APT) and, therefore, much more serious.” The report is also more explicit and suggests that, for instance, during a DDoS Attack perpetrated by the Anonymous there is an external ring formed by the volunteers self-made hackers that use LOIC or similar tools (too often without any precautions), and an inner circle formed by skilled hackers who have access to more sophisticated attack methods and tools. The Arbor Networks report substantially agrees with this statement using the term Multi Vector DDoS, emphasizing a shift to Application Layer (Layer 7) DDoS Attacks. In both cases HTTP is the preferred protocol to convey Application Layer DDoS.

Size matters! Or not?

It is interesting to notice the opposite position of the two vendors with regard to the importance of the size for DDoS Attacks. Radware does not consider the size of the attack as the primary factor: the first myth to be debunked is the fact that not necessarily average organizations might experience intense attacks (according to Radware, in the observed period 32% of attacks were less than 10Mbps, while 76% were less than 1Gbps), the second myth to be debunked is the fact that the proper way to measure attacks is by their bytes-per-second (BPS) and packets per-second (PPS) properties. A smaller HTTP connection-based attack can cause more damage with much less traffic than a “traditional” UDP attack.

Arbor Networks has quite a different opinion: his respondents reported a significant increase in the prevalence of flood-based DDoS attacks in the 10 Gbps range. This represents the “mainstreaming” of large flood-based DDoS attacks, and indicates that network operators must be prepared to withstand and mitigate large flood attacks on a routine basis. Moreover, the highest-bandwidth attack observed by respondents during the survey period was a 60 Gbps DNS reflection/amplification attack, which however represents a 40 percent decrease from the previous year in terms of sustained attack size for a single attack.

At the end…

There are few doubts about the fact that DDoS attacks are becoming multi-layered and more and more complex, and even that they are mainly motivated by hacktivism. There are also few doubts about the fact that technology is enough mature to provide a crucial support to mitigate them. In any case, there is a further element to take into consideration that is the human factor: as usual technology is useless if the IT Staff is not prepared to face such a similar attacks, gaining an adequate awareness in terms of procedures and (I would say) culture. As Radware stated “the very public attacks last year raised awareness of DoS / DDoS and made organizations acquire better and more capable mitigation solutions” but maybe is not enough…

Lo Smartphone? Ha fatto il BOT!

February 23, 2011 2 comments

E’ stato appena pubblicato un interessante articolo di Georgia Weidman relativo al concept di una botnet di smartphone controllati tramite SMS. Il lavoro, annunciato alla fine del mese di gennaio 2011 e presentato alla Shmoocon di Washington, aveva da subito attirato la mia attenzione poiché, in tempi non sospetti, avevo ipotizzato che la concomitanza di fattori quali la crescente potenza di calcolo dei dispositivi mobili e la loro diffusione esponenziale, avrebbe presto portato alla nascita di possibili eserciti di Androidi (o Mele) controllate da remoto in grado di eseguire la volontà del proprio padrone.

Il modello di mobile bot ipotizzato (per cui è stato sviluppato un Proof-Of-Concept per diverse piattaforme) è molto raffinato e prevede il controllo dei terminali compromessi da parte di un server C&C di Comando e Controllo, mediante messaggi SMS (con una struttura di controllo gerarchica), che vengono intercettati da un livello applicativo malevolo posizionato tra il driver GSM ed il livello applicativo. La scelta degli SMS come mezzo di trasmissione (che in questo modello di controllo assurgono al ruolo di indirizzi IP) è dovuto all’esigenza di rendere quanto più possibile trasparente il meccanismo di controllo per utenti e operatori (l’alternativa sarebbe quella del controllo tramite una connessione  dati che tuttavia desterebbe presto l’attenzione dell’utente per l’aumento sospetto di consumo della batteria che non è mai troppo per gli Androidi e i Melafonini ubriaconi). Naturalmente il livello applicativo malevolo è completamente trasparente per l’utente e del tutto inerme nel processare i dati e gli SMS leciti e passarli correttamente al livello applicativo senza destare sospetti.

Georgia Weidman non ha trascurato proprio nulla e nel suo modello ipotizza una struttura gerarchica a tre livelli:

  • Il primo livello è composto dai Master Bot, controllati direttamente dagli “ammucchiatori”. I Master Bot non sono necessariamente terminali (nemmeno compromessi), ma dovendo impartire ordini via SMS possono essere dispositivi qualsiasi dotati di un Modem;
  • Il secondo livello è composto dai Sentinel Bot: questi agiscono come proxy tra i master e l’esercito di terminali compromessi. Le sentinelle devono essere dispositivi “di fiducia”, ovvero dispositivi sotto il diretto controllo degli “ammucchiatori” o membri della botnet da un periodo di tempo sufficientemente lungo da far ritenere che l’infezione sia ormai passata inosservata per il proprietario e degna pertanto di promuoverli al ruolo di sentinelle.
  • Il terzo livello è composto dagli slave bot. I veri e propri soldati dell’esercito di terminali compromessi che ricevono le istruzioni dalla sentinelle ed eseguono il volere del capo.

Da notare che questo modello gerarchico applica il paradigma del “divide et impera”. I terminali compromessi slave non comunicano mai direttamente con il master, e solo quest’ultimo, inoltre, conosce la struttura dell’intera botnet. L’utilizzo del SMS inoltre consente al master di poter cambiare numero di telefono all’occorrenza ed eludere così le forze del bene, ovvero gli eventuali cacciatori di bot.

Ovviamente tutte le comunicazioni avvengono tramite SMS cifrati (con un algoritmo di cifratura a chiave asimmetrica) e autenticati, inoltre la scoperta di un telefono infetto non pregiudica l’intera rete di terminali compromessi ma solo il segmento controllato dalla sentinella di riferimento (il master può sempre cambiare numero).

Quali possono essere gli utilizzi di una botnet così strutturata? Naturalmente rubare informazioni, per fini personali o di qualsiasi altro tipo (politici, economici, etc.). Purtroppo, per questa classe di dispositivi, che stanno trovando sempre di più applicazioni verso i livelli alti di una Organizzazione, gli exploit e i bachi sono all’ordine del giorno per cui teoricamente sarebbe possibile rubare il contenuto della memoria SD con un semplice SMS. Ma non finisce qui purtroppo: considerata la potenza di calcolo (abbiamo ormai un PC nel taschino) e la potenza di calcolo, questi dispositivi possono essere facilmente usati come seminatori di traffico, ovvero sorgenti di attacchi di tipo DDoS (Distributed Denial of Service), specialmente nel caso di connessioni Wi-Fi che si appoggiano su un operatore fisso  che offre possibilità  di banda maggiori e quindi più consone ad un attacco di tipo Distributed Denial Of Service. Questo si sposa perfettamente con la dinamicità di una botnet basata su SMS (in cui il master può cambiare numero per nascondersi) e con le infrastrutture degli operatori mobili (o fissi offerenti servizi Wi-Fi) che potrebbero non essere completamente pronte per affrontare simili tipologie di eventi informatici (come anche evidenziato dal recente report di Arbor Networks). Altra nefasta applicazione potrebbe essere lo spam, soprattutto se effettuato tramite SMS. Interessante inoltre la combinazione con il GPS che potrebbe portare al blocco totale delle comunicazioni GSM in determinate circostanze spazio-temporali (sembra fantapolitica ma è comunque teoricamente possibile).

Rimane ora l’ultimo punto che era rimasto in sospeso quando avevo trattato di questo argomento per la prima volta:  mi ero difatti chiesto la questione fondamentale, ovvero se il software malevolo di bot avesse necessità o meno di permessi di root. La risposta è affermativa, ma questo non mitiga la gravità del Proof-Of-Concept, ribadisce anzi l’importanza di un concetto fondamentale: alla base della sicurezza c’è sempre l’utente, il cui controllo sovrasta anche i meccanismi di sicurezza del sistema operativo, e questo non solo perché ancora una volta viene evidenziata drammaticamente la pericolosità di pratiche “smanettone” sui propri dispositivi (che possono avere conseguenze ancora più gravi se il terminale è usato per scopi professionali), ma anche perché gli utenti devono prendere consapevolezza del modello di sicurezza necessario, facendo attenzione alle applicazioni installate.

Lato operatori, urge l’assicurazione che gli aggiornamenti di sicurezza raggiungano sempre i dispositivi non appena rilasciati. Aggiungerei inoltre, sulla scia di quanto dichiarato da Arbor Networks, possibili investimenti infrastrutturali per l’eventuale rilevazione di eventi anomali dentro i propri confini.

A questo punto, il fatto che i produttori di sicurezza abbiano, quasi all’unanimità, inserito il mondo mobile al centro delle preoccupazioni di sicurezza per il 2011 perde qualsiasi dubbio sul fatto che si tratti di una moda passeggera, ed è asupicabile che  gli stessi stiano già correndo ai ripari, aggiungendo livelli di sicurezza aggiuntivi ai meccanismi intrinseci del sistema operativo con l’ausilio di tecnologie di DLP (come indicato dal report Cisco per il 2011), virtualizzazione e integrando sempre di più tecnologie di sicurezza nei dispositivi: ultimo annuncio in ordine di tempo? Quello di McAfee Intel che si dimostra, ancora una volta, molto attiva nel settore mobile.

Report McAfee Q4 2010: Il Malware è Mobile Qual Piuma Al Vento!

February 9, 2011 3 comments

I Laboratori McAfee hanno appena pubblicato il report relativo alle minacce informatiche del quarto trimestre 2010 (McAfee Q4 Threat Report). Oramai sembra un immancabile e monotono refrain ma, tanto per cambiare, nel corso dell’ultimo scorcio del 2010 i malware per i dispositivi mobili l’hanno immancabilmente fatta da padroni.

I dati sono impressionanti: le infezioni dei dispositivi mobili nel corso del 2010 sono cresciute del 46% rispetto all’anno precedente. Nell’anno passato sono stati scoperti 20 milioni di nuovi esemplari di software malevolo, corrispondenti a circa 55.000 nuovi vettori di infezione al giorno. In effetti nel 2010 gli sviluppatori malevoli si sono dati molto da fare se si considera che i Laboratori McAfee hanno identificato in totale 55 milioni di tipologie di malware, da cui su evince che il malware sviluppato nel 2010 corrisponda al 36% del totale.

Una cosa è certa: i cybercriminali si stanno concentrando su dispositivi popolari che garantiscono il  massimo risultato con il minimo sforzo, con una tendenza destinata ad accenturarsi nel 2011 verso un fenomeno che si potrebbe riassumere benissimo con il termine ipocalypse.

I risultati del report si possono così sintetizzare:

Dispositivi mobili sempre più in pericolo per le botnet

Non è una novità, e la mia prima previsione in proposito risale a dicembre 2010 quando, commentando le previsioni di sicurezza Symantec per il 2011, mi ero sbilanciato asserendo che nel corso del 2011 avremmo probabilmente assistito alla nascita di botnet di terminali compromessi. Da lì a breve è stato un climax ascendente che ha portato dapprima alla rilevazione del trojan Geinimi al termine del 2010, ed in seguito alla creazione di un malware botnet-like in laboratorio.

Il report di McAfee conferma questo trend (scusate il gioco di parole), assegna a Geinimi il titolo di una delle minacce più importanti dell’ultimo trimestre 2010, e sancisce perentoriamente che i Cybercriminali utilizzeranno sempre di più, nel corso del 2011, tecniche di botnet per infettare i dispositivi mobili.

I motivi sono presto detti: maggiore popolarità (e portabilità) dei dispositivi mobili come strumenti di lavoro implicano maggiore contenuto sensibile immagazzinato senza le stesse misure di sicurezza e la stessa sensibilità dell’utente (non a caso Geinimi, come anche altre minacce mobili) sono false applicazioni scaricata da market paralleli. D’altronde una botnet di dispositivi mobili ha una duplice valenza malevola: da un lato consente di rubare dati e informazioni sensibili (dalla rubrica alla posizione) dall’altro potrebbe essere utilizzata con intenti malevoli con maggiori capacità di mimetismo all’interno della rete di un operatore mobile (come confermato indirettamente anche dal report di Arbor Networks.

Ad ogni modo nel Q4 2010, Cutwail ha perso lo scettro di botnet più attiva, ad appannaggio della rete di macchine compromesse appartenenti alla rete Rustock, seguita a ruota da Bobax

Almeno una buona notizia, lo Spam è un Periodo di Transizione

Sebbene i mezzi favoriti dai Cybercriminali in questo trimestre siano stati il malware di tipo AutoRun (Generic!atr), i trojan di tipo banking o downloader (PWS or Generic.dx), o anche gli exploit  web-based (StartPage and Exploit-MS04-028), perlomeno si è registrato un leggero abbassamento dei livelli di spam, che sebbene rappresenti ancora l’80% di tutti i messaggi di posta elettronica, si è comunque attestato ai livelli del 1 trimestre 2007. Questo periodo di transizione è verosimilmente dovuto al letargo di alcune botnet (ad esempio Rustock, Letic e Xarvester) e alla chiusura di altre (ad esempio Bredolab o in parte Zeus). In questo trimestre, al vertice delle reti di macchine compromesse si sono posizionate Bobax e Grum.

Se aumentano gli apparati aumentano le minacce web

In base ai dati dell’ultimo trimestre 2010, in cui  i domini malevoli sono cresciuti velocemente grazie alle minacce più attive del calibro di Zeus, Cornficker e Koobface; McAfee rivela che le i vettori di infezione basati sul web continueranno a crescere in dimensioni e complessità , di pari passo con il crescere degli apparati eterogenei che accedono alla rete.

Ovviamente non poteva mancare il phishing e il malvertising e SEO Poisoning in virtù del quale McAfee Labs rivela che all’interno dei primi 100 risultati delle principali ricerche quotidiane, il 51% conduce l’ignaro navigatore verso siti poco sicuri che contengono più di cinque link malevoli. Non è un caso che il produttore rosso preveda che gli attacchi facenti uso di tecniche di manipolazione dei risultati dei motori di ricerca cresceranno notevolmente nel 2011, focalizzandosi soprattutto (tanto per cambiare) ai dispositivi di nuova generazione.

Le vulnerabilità Adobe come mezzo di distribuzione del malware

Nel corso del 2010 le vulnerabilità dei prodotti Adobe (Flash e PDF), inseparabili compagni di navigazione, sono stati il mezzo principale di distribuzione del malware preferito dai Cybercriminali. C’e’ da aspettarsi una inversione di tendenza per il 2011? Nemmeno per idea, almeno secondo McAfee che prevede, per quest’anno, una prosecuzione del trend, anche a causa del supporto per le varie tecnologie Adobe, da parte dei dispositivi mobili e dei sistemi operativi non Microsoft.


Anche l’hactivism vedrà la sua azione proseguire nel 2011 dopo i botti di fine anno compiuti dal gruppo Anonymous, (e anche il Governo Italiano ne sa qualcosa in questi giorni. Anzi, secondo il produttore dichiara che il confine tra hactivism e cyberwarfare diventerà sempre più confuso.

Il 2011 Secondo Arbor Networks? Me Lo Tolgo DDoS…

February 8, 2011 3 comments

Arbor Networks, il principale produttore di sensori anti-DDoS, oramai da qualche anno tiene sotto controllo, con l’aiuto dei principali operatori, la madre di tutte le reti al fine di studiare l’andamento degli attacchi DDoS ed i relativi trend di diffusione.

Dal lontano 2005 Arbor Networks pubblica annualmente il Worldwide Infrastructure Security Report che riassume i dati raccolti nei 12 mesi che spaziano da ottobre 2009 a settembre 2010, e consente di capire cosa è accaduto dal punto di vista della sicurezza infrastrutturale nel corso dell’anno appena passato, permettendo nel contempo di gettare le basi per tracciare l’evoluzione dei grandi attacchi geografici nel corso del 2011.

Naturalmente il 2010, uno degli anni più “prolifici” per quanto riguarda gli eventi di sicurezza, non ha fatto mancare le sorprese nemmeno per gli attacchi DDoS. I risultati, sintesi di un questionario di 113 domande posto a 111 operatori appartenenti a Stati Uniti, Canada, America Centro-Meridionale, EMEA, Africa e Asia sono riassunti nei punti sottostanti:

Alcuni Dati Preliminari

Il 68% degli intervistati ha indicato che gli attacchi DDoS verso i propri clienti sono stati una minaccia significativa nei 12 mesi oggetto della survey. Il 61% degli intervistati ha anche identificato corresponsabilità nelle configurazioni errate o nei malfunzionamenti degli apparati. Come si nota in questa poco invidiabile classifica anche le Botnet (e gli effetti collaterali derivanti) occupano posizioni di tutto rispetto.

Per quanto riguarda gli attacchi a livello applicativo ai primi posti si classificano HTTP, DNS e SMTP seguiti da SIP/VoIP e HTTPS. All’interno di “Other” ricadono protocolli quali SSH, FTP, Telnet, RDP, SQL, IRC, etc.

Mentre le maggiori preoccupazioni di sicurezza hanno coinvolto attacchi verso i clienti, attacchi verso i servizi accessori degli operatori, attacchi verso gli apparati di rete, botnet e nuove vulnerabilità. Interessanti soprattutto quest’ultime poiché rilevate , in questo caso, da un produttore di sicurezza infrastrutturale analogamente a quanto fatto da alcuni produttori di sicurezza dell’endpoint.

Andando ad Analizzare i risultati della survey nel suo complesso, ecco i punti di maggior interesse:

Lascia e Raddoppia.

Nel corso del 2010 il volume degli attacchi DDoS è drammaticamente aumentato.. Il respiro lasciato agli amministratori di rete negli anni 2008 e 2009 è stato illusorio e quest’anno per la prima volta è stata superata la barriera dei 100 Gbps in un singolo attacco. Questo volume di fuoco è praticamente raddoppiato rispetto all’analogo evento rilevato nel corso del 2009 (aumento del 102%) ed è addirittura aumentato di un fattore 10 (corrispondente ad un iperbolico 1000%) rispetto al 2005, anno di rilevazione della prima survey

Gli attaccanti si “applicano” sempre di più

I data Center e gli operatori mobili e wireless hanno registrato un incremento del livello di sofisticazione e impatto operativo degli attacchi in quanto gli attaccanti si sono rivolti, nel corso del 2010, con maggiore insistenza verso attacchi DDoS al livello applicativo verso i propri servizi o quelli dei propri clienti.

La disponibilità è sempre più cara

Secondo l’analisi di Arbor Networks, gli operatori di infrastrutture mobili e wireless hanno dovuto sudare le proverbiali sette camicie nel 2010 per mantenere la disponibilità dei servizi. Questo si deve alla scarsa visibilità che gli stessi hanno relativamente al traffico che transita dentro le proprie infrastrutture di rete. Nel corso dell’analisi dei possibili proto-botnet di androidi ho ribadito la necessità di un nuovo modello di sicurezza per gli operatori mobili (una botnet all’interno di una rete mobile sarebbe estremamente difficile da identificare e bloccare), questa evidenza di Arbor Networks tende senza dubbio verso questa direzione, con l’ulteriore aggravante che il produttore afferma, forse provocatoriamente, che, seppur con qualche eccezione, molti operatori mobili o wireless hanno un modello di sicurezza confrontabile a quello che gli operatori fissi avevano 8/10 anni orsono.

Quando si parla di DDoS i muri di fuoco fanno acqua da tutte le parti…

… E gli IPS non sono da meno.  Se (a detta del produttore) gli operatori mobili, i Data Center e gli operatori VoIP stanno adottando un modello di sicurezza obsoleto, parte della responsabilità si deve all’adozione di tecnologie del decennio scorso quali firewall di tipo stateful e sistemi IPS (Intrusion Prevention) che abbassano il livello di sicurezza e rendono la rete più suscettibile ad attacchi DDoS. A mio avviso questa osservazione un po’ forzata. Capisco che un DDoS da 100 Gbps si può mitigare solamente redirigendo il traffico, ma quanti sono i DDoS a 100 Gbps?  Un firewall ben configurato (e qui sta il difficile) è in grado di mitigare la maggior parte dei DDoS da comuni mortali. A parte questa distinzione  non ho potuto fare a meno di notare la sottigliezza nel passaggio sottostante:

In light of the growth in application-layer DDoS attacks, such devices (Firewall e IPS ndr) frequently lower the overall security postures of operators by acting as stateful DDoS chokepoints—rendering networks more susceptible to both deliberate and inadvertent DDoS attacks.

In cui lo stateful chokepoint (ovvero punto di blocco) richiama molto da vicino lo stateful Checkpoint (ovvero il produttore di firewall israeliano inventore della tecnologia di Stateful Inspection).

Gli Attacchi DDoS sono una cosa seria

I media hanno riportato, nel corso del 2010 numerosi esempi di attacchi di DDoS motivati da dispute politiche o ideologiche, il più famoso dei quali ha sicuramente interessato l’arcinota questione di Wikileaks. Il livello e la diffusione di questa tipologia di attacchi è cresciuta talmente che oramai sono diventati un problema per i livelli esecutivi di un’Organizzazione (e fonte di servizi per le aziende di sicurezza). Che siano diventati una cosa seria lo dimostra anche il recente attacco effettuato al sito del Governo Italiano da parte del Gruppo Anonymous.

Il DNS, questo sconosciuto (per la sicurezza)

Purtroppo la scarsa attenzione prestata da molti provider ai problemi di sicurezza del DNS, ha fatto si che il servizio di risoluzione dei nomi, fondamentale per le usuali operazioni di navigazione e di accesso a qualsiasi servizio, sia diventato suo malgrado protagonista degli attacchi DDoS, che consentono, con relativa facilità, di buttare giù un servizio e renderlo indisponibile in maniera relativamente semplice. La conseguenza è che, nel corso del 2010, il servizio DNS è stato protagonista vittima di numerosi attacchi di tipo DNS Reflection o DNS Amplification.

IPv6 Sicurezzav4

L’analisi ha dimostrato una crescente preoccupazione degli operatori che sono passati a IPv6 nell’applicare le stesse precauzioni e misure di sicurezza adottate per il controllo dell’IPv4. Le preoccupazioni sono anche aumentate dalla necessità di inserire dispositivi per la compatibilità dei due protocolli.

Mancanza Cronica di Team di Gestione Organizzati

Uno dei motivi di maggiore rischio nella gestione degli incidenti (e nella conseguente dilatazione relativistica dei tempi di mitigazione degli stessi) è rappresentato dalla mancanza cronica di risorse con le necessarie competenze, da organizzazioni che adottano processi a compartimenti stagni (o a silo come li definiscono gli anglosassoni) e dalla mancanza di responsabilità e policy chiare e definite. Questo punto evidenza, come il contrasto agli eventi DDoS non sia una questione meramente tecnologica ma passa attraverso l’adozione di ben definite procedure di gestione degli incidenti.

La Legge Non è Uguale Per Tutti

A causa della scarsa fiducia nelle istituzioni competenti che dovrebbero investigare gli incidenti di sicurezza e perseguire gli autori (e anche a causa della mancanza di risorse specializzate), diversi operatori preferiscono non denunciare gli incidenti, soprattutto in contesti in cui dovrebbero passare attraverso molteplici giurisdizioni.

Infrastrutture Critiche (di nome ma non di fatto)

Sebbene molti operatori vedano di buon occhio la formazione di Cyber-eserciti nazionali (o sarebbe meglio dire Computer Emergency Response Team Nazionali), durante la survey hanno manifestato scarsa fiducia nelle misure adottate dai governi per proteggere le infrastrutture critiche, misure che ritengono non adeguate al livello di esposizione delle stesse.

Concludendo… Concludendo…

Il DDoS non abbandonerà questi lidi nemmeno nel corso del 2011, ed è  anzi destinato a incrementare i suoi effetti nefasti. Ponendo l’attenzione su un punto specifico, è evidente che la nuova frontiera degli attacchi DDoS diventeranno purtroppo gli operatori mobili, sia come destinazione che (presumibilmente) come sorgenti. Da un lato dal report si evince che le loro infrastrutture non sono all’altezza dei livelli di sicurezza richiesti, dall’altro le minacce (e quindi le botnet) si stanno spostando sempre di più verso gli endpoint mobili. In questo contesto le preoccupazioni ed i grattacapi per gli operatori dovrebbero essere duplici: da un lato le proprie reti potrebbero essere sorgenti di attacchi DDoS (difficilmente tracciabili se è vero, come indicato dal report, che una delle difficoltà per gli operatori mobili e wireless consiste proprio nel controllo del traffico originato dalle loro infrastrutture), dall’altro i dispositivi compromessi potrebbero essere vittime di Data Leackage (ovvero furto di informazioni).


Get every new post delivered to your Inbox.

Join 3,710 other followers