Significato di DDoS: Che cos'è il DDos?
DDoS è l'acronimo di Distributed Denial of Service. Questo tipo di attacco prevede l'invio di grandi quantità di traffico da più fonti a un servizio o a un sito web, con l'intento di sopraffarlo. Un enorme afflusso di traffico tutto in una volta può bloccare tutte le risorse del sito e quindi impedire l'accesso agli utenti legittimi.
Si tratta del DDoS, o Distributed Denial of Service, un attacco di rete dannoso che prevede che gli hacker costringano numerosi dispositivi connessi a Internet a inviare richieste di comunicazione di rete a un servizio o a un sito web specifico con l'intenzione di sommergerlo di traffico o richieste false. Ciò ha l'effetto di impegnare tutte le risorse disponibili per far fronte a queste richieste e di mandare in crash il server web o di distrarlo a tal punto che gli utenti normali non possono creare una connessione tra i loro sistemi e il server.
I siti web a volte si "bloccano" a causa di un'ondata di traffico legittimo, come quando viene rilasciato un prodotto molto atteso e milioni di persone visitano il sito in una volta sola cercando di acquistarlo. Gli attacchi DDoS tentano di fare lo stesso.
DoS vs. DDoS
DoS è l'acronimo di Denial of Service. La differenza tra gli attacchi DoS e DDoS sta nel fatto che nell'attacco viene utilizzato un solo computer o che l'attacco viene inviato da più fonti. Le fonti possono includere computer tradizionali e anche dispositivi connessi a Internet che sono stati acquisiti come parte di una botnet.
Come funzionano gli attacchi DDoS
Poiché gli attacchi DDoS richiedono che il traffico provenga da più fonti, spesso vengono condotti utilizzando botnet. È come avere un esercito di computer zombie che eseguono gli ordini degli aggressori. Gli aggressori utilizzano quello che chiamiamo DDoSTool per asservire i computer e costruire il loro esercito. Questa rete di bot zombie(botnet) comunica con il server di comando e controllo (C&C), in attesa dei comandi dell'aggressore che gestisce la botnet. Nel caso di un attacco DDoS, può accadere che decine di migliaia o addirittura milioni di bot lavorino simultaneamente per inviare grandi quantità di traffico di rete in direzione del server bersaglio. Di solito, ma non sempre, il DDoSTool infettante originale non tenta di rubare dati o di danneggiare in altro modo l'host. Rimane invece inattivo fino a quando non viene chiamato a partecipare a un attacco DDoS.
Strumenti DDoS
Per creare la botnet, gli aggressori devono introdurre il DDoSTool nel sistema. A tal fine, i criminali informatici si affidano a una serie di trucchi per schiavizzare il PC, Mac, Android, iPhone o endpoint aziendale nella loro botnet. Ecco alcuni modi comuni per farlo:
- Un allegato di posta elettronica. In un momento di scarsa lucidità, cliccate su un allegato o su un link a un sito web controllato dall'aggressore, che ospita il malware che vi invia.
- Il vostro social network o l'app di messaggistica. Come le e-mail, possono includere link su cui gli aggressori vogliono che facciate clic, sempre per attivare download di un DDoSTool.
- Download drive-by o truffe con clic. Se si naviga su un sito web legittimo, anche se infetto, non è nemmeno necessario cliccare su qualcosa per avere il malvertising download botnet malware. Oppure si cade vittima di un pop-up che visualizza un messaggio "urgente" che invita a download per una presunta protezione antivirus (si tratta di malware).
Dopo che l'infezione da DDoSTool ha attecchito, il computer rimane apparentemente invariato, anche se ci sono alcuni segni rivelatori. Il computer potrebbe aver subito un notevole rallentamento. Vengono visualizzati messaggi di errore casuali o la ventola aumenta misteriosamente di giri anche quando è in modalità idle. Indipendentemente dal fatto che mostri o meno questi segnali, il dispositivo infetto si collega periodicamente al server di comando e controllo (C&C) della botnet fino a quando il criminale informatico che gestisce la botnet impartisce il comando al vostro dispositivo (insieme a tutti gli altri bot) di alzarsi e attaccare un obiettivo specifico.
Perché gli aggressori lanciano attacchi DDoS?
Le motivazioni che spingono ad attaccare un sito web o un servizio variano. Gli hacktivisti utilizzano un DDoS per fare una dichiarazione politica contro un'organizzazione o un governo. Ci sono criminali che lo fanno per tenere in ostaggio un sito web commerciale fino al pagamento di un riscatto. Concorrenti senza scrupoli hanno utilizzato un DDoS per giocare sporco contro aziende rivali. A volte, un DDoS è anche una strategia per distrarre gli amministratori di un sito web, consentendo all'aggressore di installare altro malware come adware, spyware, ransomware o persino un virus legacy.
Come posso evitare di far parte di una botnet?
Per evitare di diventare un partecipante involontario e inconsapevole di un DDoS alimentato da botnet, praticate la stessa buona igiene informatica per prevenire tutte le infezioni da malware: mantenete il sistema operativo e le applicazioni aggiornate e non fate clic su link sconosciuti e allegati inaspettati.
E naturalmente, la sicurezza informatica in tempo reale e sempre attiva è un must per proteggervi dai download di DDoSTool e da tutte le altre minacce malware associate. Indipendentemente dal tipo di dispositivo e piattaforma in uso, da Windows, Mac, e Chromebook a Android, iPhone e ambienti aziendali, i programmi di cybersecurity di Malwarebytes proteggono gli utenti dagli elementi rilevati come DDoSTool.
Gli attacchi DDoS possono avvenire su Androidi?
Poiché gli smartphone sono fondamentalmente dei computer palmari portatili, insieme al fatto che ne sono in uso circa due miliardi, forniscono un ricco vettore di attacco per il DDoS in movimento. Hanno la potenza di elaborazione, la memoria e la capacità di archiviazione che li rendono un bersaglio attraente per gli hacker, soprattutto perché gli utenti dei telefoni raramente proteggono i loro dispositivi con una protezione anti-malware. E come gli utenti di PC, gli utenti di smartphone sono altrettanto suscettibili al phishing via e-mail e SMS.
Per quanto riguarda i vettori di infezione specifici degli smartphone, le app apparentemente legittime trovate nel marketplace download sono un terreno di caccia frequente per gli aggressori DDoS, che hanno caricato segretamente le app con un DDoSTool dannoso. In effetti, è proprio così che nell'agosto 2018 è emerso un massiccio attacco DDoS Android-device, quando una botnet soprannominata WireX ha colpito obiettivi in diversi settori, tra cui l'ospitalità, il gioco d'azzardo e le società di registrazione dei nomi di dominio. È emerso che fino a 300 app dannose di Android sono penetrate in Google Play (che la società ha eliminato dopo essere stata informata della minaccia), cooptando i dispositivi in una botnet in oltre 100 Paesi.
Storia del DDoS
Secondo Wikipedia, la prima dimostrazione di un attacco DDoS è stata effettuata dall'hacker Khan C. Smith nel 1997 durante un evento DEF CON, interrompendo l'accesso a Internet alla Las Vegas Strip per oltre un'ora. Il rilascio di un codice campione durante l'evento ha portato all'attacco online di Sprint, EarthLink, E-Trade e altre grandi aziende nell'anno successivo.
All'inizio del 2000, l'hacker canadese Michael Calce ha alzato la posta in gioco del DDoS e si è fatto notare dalla comunità imprenditoriale facendo crollare Yahoo! con un DDoS, impresa che ha ripetuto nella settimana successiva mandando in tilt altri siti importanti come Amazon, CNN ed eBay.
La soglia generale di sforzo necessaria a un hacker per organizzare un DDoS è diminuita solo in termini di difficoltà, con segnalazioni di cybergang che affittano botnet per soli 10 dollari all'ora.
Infine, poiché siamo entrati nell'era dell'Internet delle cose (IoT), quasi tutti i dispositivi connessi a Internet, come smartphone, telecamere di sicurezza, router e stampanti, possono essere riuniti in una botnet per un impatto DDoS ancora maggiore.
Notizie sui DDoS
- Il più grande attacco DDoS mai registrato viene assorbito da Cloudflare
- "Enorme aumento" degli attacchi DDoS durante la pandemia
- Android dispositivi catturati dalla botnet Matryosh
- La botnet DDoS di Electrum raggiunge 152.000 host infettati
- 4 lezioni da imparare dall'attacco DDoS del DOE
- Un massiccio attacco DDoS ha distrutto GitHub
In che modo gli attacchi DDoS influenzano le aziende?
Ovviamente, un'azienda o un sito web commerciale al dettaglio deve prendere sul serio le minacce DDoS. E nel 2018 ce ne sono state di enormi.
Come scrive Pieter Arntz, esperto diMalwarebytes , "A seconda del tipo e delle dimensioni della vostra organizzazione, un attacco DDoS può essere qualsiasi cosa, da una piccola seccatura a qualcosa che può interrompere il vostro flusso di entrate e danneggiarlo in modo permanente. Un attacco DDoS può paralizzare alcune aziende online per un periodo di tempo sufficiente a farle retrocedere considerevolmente, o addirittura a metterle fuori gioco completamente per la durata dell'attacco e per un certo periodo successivo. A seconda del tipo di attacco, ci possono essere anche effetti collaterali, intenzionali o meno, che possono danneggiare ulteriormente l'azienda".
Gli effetti collaterali di un DDoS includono:
- Utenti delusi che potrebbero non tornare più
- Perdita di dati
- Perdita di entrate
- Risarcimento dei danni
- Ore di lavoro/produttività perse
- Danno alla reputazione dell'azienda
"A seconda del tipo e delle dimensioni della vostra organizzazione, un attacco DDoS può essere qualsiasi cosa, da un piccolo fastidio a qualcosa che può interrompere il vostro flusso di entrate e danneggiarlo in modo permanente".
Pieter Arntz
Ricercatore di Malware Intelligence
Come si fermano gli attacchi DDoS?
Per le aziende, la soluzione migliore è pianificare in anticipo un DDoS, con un tipo di protezione "sempre attiva" o con protocolli chiari da seguire quando si verifica l'attacco.
Ad esempio, invece di chiudere i clienti, un'azienda online potrebbe continuare a consentire agli utenti di utilizzare il sito normalmente il più possibile, anche durante l'attacco. L'azienda potrebbe anche passare a un sistema alternativo da cui lavorare.
Le aziende vulnerabili alle minacce della telefonia mobile devono assicurarsi che i dispositivi privati collegati alla rete aziendale siano dotati di una soluzione di sicurezza mobile approvata per la protezione dalle infezioni (nonché di mezzi per impedire l'installazione di applicazioni non autorizzate). Inoltre, il reparto IT deve vigilare per individuare e intercettare qualsiasi comunicazione dannosa verso i C&C DDoS.
Per quanto riguarda la sicurezza interna, ci sono diverse best practice da seguire:
- Non tenete le password scritte su post-it sulla scrivania o sul monitor.
- Cambiare le password sui dispositivi IoT
- Bloccate il computer quando vi allontanate
- Disconnettersi alla fine della giornata
- Non rivelate le vostre credenziali di accesso a nessuno.
Per quanto riguarda quest'ultima best practice, se è assolutamente necessario condividere le informazioni di accesso, assicuratevi che vengano inviate tramite canali crittografati. Se vi trovate faccia a faccia con il destinatario, condividete le informazioni di accesso in un luogo in cui altre persone non possano ascoltare.