Gli attacchi denial-of-service distribuiti prendono di mira siti Web e servizi online. L’obiettivo è sovraccaricarli con più traffico di quello che il server o la rete possono ospitare. L’obiettivo è rendere inutilizzabile il sito Web o il servizio.
Il traffico può essere costituito da messaggi in arrivo, richieste di connessione o pacchetti falsi. In alcuni casi, le vittime prese di mira sono minacciate di attacchi DDoS o attaccate a basso livello. Questo può essere combinato con una minaccia di estorsione di un attacco più devastante a meno che l’azienda non paghi un riscatto in criptovaluta. Nel 2015 e nel 2016, un gruppo criminale chiamato Armada Collective ha ripetutamente estorto banche, provider di host web e altri in questo modo.
Esempi di attacchi DDoS
Ecco un po’ di storia e due attacchi notevoli.
Nel 2000, Michael Calce, un ragazzo di 15 anni che usava il nome online “Mafiaboy”, ha lanciato uno dei primi attacchi DDoS registrati. Calce ha hackerato le reti di computer di diverse università. Ha usato i loro server per operare un attacco DDoS che ha mandato in crash diversi siti Web importanti, tra cui CNN, E-Trade, eBay e Yahoo. Calce è stato condannato per i suoi crimini presso il tribunale della gioventù di Montreal. Da adulto, è diventato un “hacker dal cappello bianco” identificando le vulnerabilità nei sistemi informatici delle principali aziende.
Più di recente, nel 2016, Dyn, uno dei principali provider di sistemi di nomi di dominio, o DNS, è stato colpito da un massiccio attacco DDoS che ha bloccato i principali siti Web e servizi, tra cui AirBnB, CNN, Netflix, PayPal, Spotify, Visa, Amazon, The New York Times, Reddit e GitHub.
Anche l’industria dei giochi è stata oggetto di attacchi DDoS, insieme a società di software e media.
A volte gli attacchi DDoS vengono eseguiti per distogliere l’attenzione dell’organizzazione di destinazione. Sebbene l’organizzazione target si concentri sull’attacco DDoS, il criminale informatico può perseguire una motivazione primaria come l’installazione di software dannoso o il furto di dati.
Gli attacchi DDoS sono stati utilizzati come arma preferita da hacktivist, criminali informatici motivati dal profitto, stati nazionali e persino, in particolare nei primi anni degli attacchi DDoS, maghi del computer che cercavano di fare un grande gesto.
Come funzionano gli attacchi DDoS?
La teoria alla base di un attacco DDoS è semplice, sebbene gli attacchi possano variare nel loro livello di sofisticazione. Ecco l’idea di base. Un DDoS è un attacco informatico a un server, un servizio, un sito Web o una rete che lo inonda di traffico Internet. Se il traffico travolge la destinazione, il suo server, servizio, sito Web o rete viene reso inutilizzabile.
Le connessioni di rete su Internet sono costituite da diversi livelli del modello Open Systems Interconnection (OS). Diversi tipi di attacchi DDoS si concentrano su livelli particolari. Alcuni esempi:
- Livello 3, il livello di rete. Gli attacchi sono noti come Smurf Attacks, ICMP Floods e IP/ICMP Fragmentation.
- Livello 4, il livello di trasporto. Gli attacchi includono SYN Floods, UDP Floods ed esaurimento della connessione TCP.
- Livello 7, il livello Applicazione. Principalmente, attacchi crittografati con HTTP.
Botnet
Il modo principale in cui viene eseguito un DDoS è attraverso una rete di computer o bot controllati da remoto e hackerati. Questi sono spesso indicati come “computer zombi”. Formano ciò che è noto come “botnet” o rete di bot. Questi vengono utilizzati per inondare siti Web, server e reti mirati con più dati di quelli che possono ospitare.
Le botnet possono inviare più richieste di connessione di quante un server possa gestire o inviare quantità enormi di dati che superano le capacità di larghezza di banda della vittima presa di mira. Le botnet possono variare da migliaia a milioni di computer controllati dai criminali informatici. I criminali informatici utilizzano le botnet per una varietà di scopi, incluso l’invio di spam e forme di malware come il ransomware. Il tuo computer potrebbe far parte di una botnet, a tua insaputa.
I milioni di dispositivi che costituiscono l’Internet of Things (IoT) in continua espansione vengono hackerati e utilizzati per diventare parte delle botnet utilizzate per fornire attacchi DDoS. La sicurezza dei dispositivi che compongono l’Internet delle cose non è generalmente così avanzata come il software di sicurezza che si trova in computer e laptop. Ciò può rendere i dispositivi vulnerabili da sfruttare per i criminali informatici nella creazione di botnet più estese.
L’attacco Dyn del 2016 è stato compiuto tramite il malware Mirai, che ha creato una botnet di dispositivi IoT, tra cui fotocamere, smart TV, stampanti e baby monitor. La botnet Mirai dei dispositivi Internet of Things potrebbe essere ancora più pericolosa di quanto apparisse all’inizio. Questo perché Mirai è stata la prima botnet con codice open source. Ciò significa che il codice utilizzato per creare la botnet è disponibile per i criminali informatici che possono modificarlo ed evolverlo per utilizzarlo in futuri attacchi DDoS.