notiziari_48pxIn questa categoria sono visualizzati i notiziari relativi ai temi della sicurezza ICT pubblicati dal CERT-SPC quale ulteriore mezzo per informare la Constituency del Sistema Pubblico di Connettività, cittadini ed operatori interessati su alcuni temi di interesse per la sicurezza dei sistemi informatici delle Amministrazioni connesse a SPC. L'iniziativa mira, pertanto, a contribuire alla sensibilizzazione sulle tematiche di sicurezza informatica per consolidare e maturare una cultura della sicurezza delle applicazioni e dei sistemi informatici nella P.A.

Twitter: servizio negato
(0 voti, media 0 su 5)
Martedì 11 Agosto 2009 16:33

Il recente attacco informatico ad un noto servizio di social network ha  avuto certamente l'effetto di portare all'attenzione dell'opinione pubblica di tutto il mondo, i pericoli connessi al sempre maggiore utilizzo della Rete; la grande diffusione della notizia e l’impatto registrato sull’immaginario collettivo sono probabilmente dovuti al fatto che l'obiettivo dell'azione di sabotaggio è stato, apparentemente, Twitter: uno dei principali strumenti di avvicinamento del grande pubblico alle potenzialità di Internet. A parte la stampa specializzata, però, non è stato dato altrettanto spazio alla precisazione dei giorni successivi, con cui si spiegava che non si è trattato di un attacco mirato al servizio di Twitter, bensì ad un utente del servizio medesimo: un blogger georgiano (nikname Cyxymu, nome di una città della Repubblica della Georgia) con account su Twitter, Facebook, LiveJournal, Google's Blogger e YouTube che, per ragioni politiche connesse alle tematiche ed opinioni espresse in Rete, è stato preso di mira – ad un anno di distanza dal conflitto russo-georgiano - mediante un attacco di tipo denial of service che ha inevitabilmente compromesso i servizi che ospitavano i suoi profili. L'attacco è stato realizzato secondo lo schema noto come "click-me": ovvero mediante una campagna di spam con cui si invitano i milioni di destinatari dei messaggi a cliccare sul link collegato al profilo della vittima sui diversi social network in cui è registrato, con inevitabile conseguenze sui volumi di traffico in ingresso verso questi ultimi.

La notizia fornisce lo spunto per alcune considerazioni sugli attacchi di tipo denial of service (letteralmente: negazione del servizio), ovvero tutte quelle tecniche utilizzate per rallentare o rendere impossibile all’utenza legittima, l'esecuzione di determinati servizi o o l’utilizzo delle proprie risorse. Potendo avere come obiettivo qualunque servizio o apparato di rete, è possibile attaccare qualunque infrastruttura di rete pubblica o privata, come router, proxy o server DNS, avendo il comune obiettivo di esaurire la capacità di banda o le potenzialità di elaborazione dei sistemi target.
Le tipologie più note sono:
  • syn flood, che si perfeziona con “l'inondazione” (flooding) dei pacchetti di tipo Syn, quelli utilizzati durante il processo di negoziazione della comunicazione tra due host (cd.: tri-way handshaking);
  • icmp bombing, che a differenza del syn flood, impiega pacchetti di tipo ICMP;
  • teardrop che consiste nell'inviare pacchetti TCP/IP dalle dimensioni alterate così da non consentire ai sistemi vulnerabili di processare tali pacchetti;
  • smurf con cui l'attaccante invia dei pacchetti di tipo ICMP Echo reply ad una serie di indirizzi di "broadcast", ovvero i nodi di rete che comunicano contemporaneamente con tutti gli host della propria rete. Lo smurf attack è particolarmente insidioso perché i broadcast, a loro volta, delegheranno automaticamente a tutti i loro host l'effettuazione di un normale ping verso il bersaglio, facendo aumentare esponenzialmente il traffico di questi pacchetti ICMP e ricondurre erroneamente l’origine al IP di broadcast;
  • fraggle: è costruito come lo smurf attack, ma utilizza pacchetti per tentare di aggirare un eventuale blocco di ICMP da parte degli amministratori di sistema.
Ovviamente i DoS oltre che distribuiti DDoS, ovvero moltiplicando i punti di origine dell’attacco per amplificarne gli effetti, possono consistere in sabotaggi o distruzioni materiali degli apparati ovvero nel saturare le capacità di memorizzazione fisica, esaurire i toner dei fax o lo spazio delle caselle di posta elettronica (mailbombing).
 
Contromisure generiche
Nell’evidenziare che non esistono contromisure che consentano di evitare in modo assoluto le conseguenze di questo genere di attacco e che sovente i DoS sono solo un aspetto di un attacco attuato attraverso malware, si suggeriscono alcune contomisure:
  • monitoraggio costante delle performance della rete e definizione di una baseline indicativa dell’attività ordinaria;
  • filtraggio dei pacchetti sul firewall, per separare i pacchetti corretti da quelli potenzialmente dannosi: il traffico ICMP e UDP in ingresso sui router esterni deve essere limitato ai soli sistemi interni della rete che realmente necessitano questo servizio;
  • adottare delle limitazioni di banda in ingresso per evitare che un sito Web possa subire un sovraccarico e generare un malfunzionamento;
  • implementare tool per segnalare qualunque modifica alle informazioni di configurazione o ad altri file di sistema;
  • adottare filtri in uscita che impediscano l'invio di pacchetti camuffati (spoofed) che abbiamo un IP sorgente diverso da quelli presenti nella propria rete, per evitare che la che la propria rete possa essere utilizzata come vettore di un DOS attack;
  • adottare architetture ridondate e mantenere regolari back-up di sistema e delle informazioni critiche.

Commenti

E' necessario autenticarsi per poter inviare commenti
< Prec.   Succ. >
Ultimo aggiornamento Martedì 25 Agosto 2009 09:04