Intervista a Roberto Emanuele, direttore sistemi di Easybit

Quali sono stati I momenti salienti dell'attacco e quali contromisure avete preso?

L'attacco ha avuto diverse fasi con potenza e complessità crescente. La prima ondata aveva come obiettivo gli apparati di rete (un cosiddetto attacco syn flood) e li ha congestionati rendendo irraggiungibile il sito. Abbiamo quindi reagito installando un firewall  Linux e abbiamo ottenuto dal nostro provider, ITnet una maggiore disponibilità di banda. La seconda ondata è stata decisamete piu' violenta e complessa: combinava ad un attacco syn flood piu' potente da 300 Mbit (la potenza si misura in consumo di banda) con un attacco all'applicativo (get flood). In pratica decine di migliaia di computer chiamavano l'homepage del sito provocando un sovraccarico dei sistemi. Un pò come fare una telefonata, aspettare la risposta e chiudere il telefono, per poi ritelefonare immediatamente dopo.

La prima cosa che abbiano notato è stato che molte chiamate arrivavano dagli stessi computer, normalmente questi zombi sono installati sui PC e anche sui server, sistemi connessi in modo stabile e a larga banda con la rete. Quelli sui server sono stati i primi che abbiamo filtrato, in quanto era evidente che si trattava in larga parte di chiamate da macchine e non da esseri umani. Abbiamo poi contrastato l'attacco get flood filtrando selettivamente le richieste alla home page.  Ma l'attaccante era reattivo alle nostre azioni di difesa .

Nella terza ondata l'attacco è proseguito in maniera combinata syn e get flood ma la potenza del syn flood aumentava fino alle soglie del gigabit e la complessità del get flood aumentava fino a 1000 pagine diverse richieste  dalla botnet (la rete degli zombie). I nostri sistemi e i nostri firewall non potevano reggere quella potenza d'attacco. La situazione ci ha quindi costretto a rivolgerci ad un datawasher basato in Svizzera (il servizio lavatrice), che pero' filtrava troppo selettivamente e serviva solo un 60% del traffico ordinario. Il 40% dei nostri utenti non riusciva ad accedere al sito e continuavamo ad essere in ballo.

Con l'aiuto di Alessio Pennasilico, security evangelist di Verona, abbiamo installato una pila di 12 filtri Open BSD, una tecnologia Open Source di firewalling e network. Questo ci ha messo nel giro di 24 ore in grado di riprenderci il traffico, filtrare una bordata da 1 gigabit di attacco syn flood mitigando poi l'attacco get flood con l'aiuto di un algoritmo in grado di riconoscere le richieste degli zombi (o i sospetti tali).

 Finalmente avevamo ripreso a erogare il servizio ai nostri utenti.

L'attaccante ha quindi cambiato il fronte tentando di oscurare il servizio DNS che era posizionato presso Easybit, il nostro partner di tecnologia, riuscendo così ad oscurare un'ultima volta il sito. Mentre ci organizzavamo per il trasloco dei DNS  (operazione che richiede tra l'altro delle pratiche alle autorità di registrazione dei domini come il NIC.IT e quindi dei tempi di attivazione e propagazione sulla rete, è intervenuto il SOC (security operations center) del provider di rete del nostro partner che ha mitigato l'attacco a monte.

Spostati i DNS dietro la pila dei filtri Open BSD l'attacco era mitigato e l'attaccante aveva esaurito le sue cartucce.

La battaglia era durata 6 giorni e 6 notti contro un attaccante reattivo e tenace che ha ripetuto ancora due volte invano l'attacco nelle settimane successive.

E’ possible affrontare a livello di rete il problema?

Di fronte a delinquenza di questo tipo siamo tutti esposti, eppure la soluzione per proteggerci a monte sarebbe relativamente semplice da implementare e consiste nell’installare direttamente a livello degli Internet provider, nei bocchettoni di ingresso, le stesse tecnologie di filtraggio lasciando così alle porte della rete Internet italiana il traffico estorsivo proveniente da tutto il resto del mondo e particolarmente da questi paesi in cui i pirati prosperano.

Semplice in teoria, difficile in pratica. Questa è la classica situazione di stallo di un sistema complesso. Per un Internet provider infatti c’è un forte disincentivo a filtrare il traffico in quanto da un lato è un costo significati: investimenti, macchinari e costi di gestione. Dall’altro poichè una società di telecomunicazioni vende traffico filtrare un attacco significa minare il proprio stesso business.

Anche chi produce firewall, antivirus, router e server è ovviamente disincentivato a sconfiggere la pirateria. Come se non bastasse l’opinione pubblica avrebbe sicuramente molti dubbi e questioni fondamentali in merito al filtrare sistematicamente dati ed informazioni.

E’ la tipica situazione in cui la soluzione teorica relativamente
semplice ad un problema complesso è difficile da ottenere sotto un profilo pratico perchè il sistema è in stallo.

Annunci


Rispondi

Inserisci i tuoi dati qui sotto o clicca su un'icona per effettuare l'accesso:

Logo WordPress.com

Stai commentando usando il tuo account WordPress.com. Chiudi sessione / Modifica )

Foto Twitter

Stai commentando usando il tuo account Twitter. Chiudi sessione / Modifica )

Foto di Facebook

Stai commentando usando il tuo account Facebook. Chiudi sessione / Modifica )

Google+ photo

Stai commentando usando il tuo account Google+. Chiudi sessione / Modifica )

Connessione a %s...