Attacco informatico: cos’è, come funziona, obiettivo e come è possibile prevenirlo: Attacco Denial-of-service (DoS)

attacco birthday

Un attacco informatico è definibile come un’attività ostile nei confronti di un sistema, di uno strumento, di un’applicazione o di un elemento che abbia una componente informatica.

È un’attività che mira ad ottenere un beneficio per l’attaccante a discapito dell’attaccato.

Oggi analizziamo l’attacco Denial-of-Service

Tempo di lettura stimato: 8 minuti

Esistono diverse tipologie di attacco informatico, variabili in base agli obiettivi da raggiungere e agli scenari tecnologici e di contesto:

  • attacchi informatici per impedire il funzionamento di un sistema,
  • che puntano alla compromissione di un sistema,
  • alcuni attacchi mirano a conquistare dati personali posseduti da un sistema o da un’azienda,
  • attacchi di cyber-activism a supporto di cause o campagne di informazione e comunicazione
  • ecc…

Tra gli attacchi più diffusi, in tempi recenti, ci sono gli attacchi a scopo economico e gli attacchi per i flussi di dati. Dopo aver analizzato diverse tipologie di attacchi nelle settimane scorse, oggi vediamo l’attacco Denial-of-Service.

Coloro che operano l’attacco informatico, in solitaria o in gruppo, sono chiamati Hacker

Attacco Denial-of-Service

L’attacco Denial-of-Service ha come obiettivo quello di occupare fino a esaurire le risorse di un sistema, in modo tale che il sistema stesso non è in grado di rispondere alle richieste di servizio. Un attacco DoS è anche un attacco alle risorse del sistema, e viene avviato da un alto numero di altre macchine host che sono infettate da un software maligno controllato dall’attaccante.

A differenza degli attacchi che sono progettati per consentire all’attaccante di ottenere o aumentare l’accesso, il denial-of-service non fornisce benefici diretti agli attaccanti. L’unico risultato ottenuto è quello di rendere inutilizzabile il servizio. Quindi, se la risorsa attaccata appartiene a un concorrente commerciale, allora il beneficio per l’attaccante è concreto.

Un altro scopo di un attacco DoS può essere quello di portare un sistema offline in modo che un altro tipo di attacco possa essere lanciato. 

L’attacco DoS può essere di diversi tipi:
Attacco Teardrop:

fa sì che i campi di lunghezza e di offset di frammentazione nei pacchetti sequenziali Internet Protocol (IP) si sovrappongano l’uno all’altro sull’host attaccato; il sistema attaccato tenta di ricostruire i pacchetti durante il processo, ma non ci riesce. Il sistema bersaglio si confonde e si blocca. Se non ci sono patch a disposizione per proteggersi da questo attacco DoS, disabilitate SMBv2 e bloccate le porte 139 e 445;

Attacco Smurf:

comporta l’utilizzo di IP spoofing e ICMP per saturare una rete bersaglio con il traffico. Questo metodo di attacco utilizza richieste ICMP echo mirate a indirizzi IP broadcast. Queste richieste ICMP provengono da un indirizzo “vittima” spoofato. Per esempio, se l’indirizzo della vittima è 10.0.0.10, l’aggressore dovrebbe spoofare una richiesta ICMP echo da 10.0.0.10 all’indirizzo broadcast 10.255.255.255. Questa richiesta andrebbe a tutti gli IP nell’intervallo, con tutte le risposte che tornano al 10.0.0.10, intasando la rete. Questo processo è ripetibile, e può essere automatizzato per generare una forte congestione della rete.

Per proteggere i vostri dispositivi da questo attacco, è necessario disabilitare i broadcast diretti agli IP ai router. Questo impedirà che la richiesta di broadcast ICMP echo arrivi ai dispositivi di rete. Un’altra opzione sarebbe quella di configurare gli endpoint per impedire loro di rispondere ai pacchetti ICMP da indirizzi broadcast;

Attacco Ping of Death:

utilizza pacchetti IP per pingare un sistema bersaglio con una dimensione IP superiore al massimo di 65.535 byte. I pacchetti IP di questa dimensione non sono consentiti, quindi l’attaccante frammenta il pacchetto IP. Una volta che il sistema di destinazione riassembla il pacchetto, si possono verificare buffer overflow e altri crash.

Gli attacchi di ping of death possono essere bloccati utilizzando un firewall che controlla la dimensione massima per i pacchetti IP frammentati;

Attacco TCP SYN flood:

in questo caso un attaccante sfrutta l’uso dello spazio buffer durante un handshake di inizializzazione della sessione del Transmission Control Protocol (TCP). Il dispositivo dell’attaccante inonda la piccola coda in-process del sistema di destinazione con richieste di connessione, ma non risponde quando il sistema di destinazione risponde a tali richieste. Questo fa sì che il sistema di destinazione vada in time out mentre aspetta la risposta dal dispositivo dell’attaccante, il che fa sì che il sistema si blocchi o diventi inutilizzabile quando la coda di connessione si riempie.

Ci sono alcune contromisure per un attacco TCP SYN flood:

  • Mettere i server dietro un firewall configurato per fermare i pacchetti SYN in entrata.
  • Aumentare la dimensione della coda di connessione e diminuire il timeout sulle connessioni aperte.

sono i milioni di sistemi infettati con malware sotto il controllo degli hacker, utilizzati per effettuare attacchi DoS. Questi bot o sistemi “zombie” vengono utilizzati per effettuare attacchi contro i sistemi di destinazione, spesso riempiendo la larghezza di banda e le capacità di elaborazione del sistema di destinazione. Questi attacchi DoS sono difficili da tracciare perché le botnet si trovano in diverse località geografiche.

Gli attacchi botnet possono essere mitigati da:

  • Filtri RFC3704, che negherà il traffico da indirizzi spoofed e aiuterà a garantire che il traffico sia tracciabile fino alla sua corretta rete di origine. Per esempio, il filtraggio RFC3704 eliminerà i pacchetti provenienti da indirizzi fasulli.
  • Black hole filtering, che blocca  il traffico indesiderato prima che entri in una rete protetta. Quando viene rilevato un attacco DDoS, l’host BGP (Border Gateway Protocol) dovrebbe inviare aggiornamenti di routing ai router degli ISP in modo che indirizzino tutto il traffico diretto ai server vittime verso un’interfaccia null0 all’hop successivo.

Prevenzione attacco Denial of Service

Devi assolutamente procurarti un software antivirus efficace e affidabile.
Se il tuo budget è limitato, online puoi trovare numerosi antivirus gratis.

È importante tenere sempre aggiornato il browser che usiamo per navigare su Internet ed eventualmente installare uno strumento di analisi in grado di verificare la presenza di vulnerabilità nel codice di un sito Web.

SECURITY ASSESSMENT

E’ il processo fondamentale per misurare il livello attuale di sicurezza della tua azienda.
Per far questo è necessario coinvolgere un Cyber Team adeguatamente preparato, in grado di procede a un’analisi dello stato in cui versa l’azienda rispetto alla sicurezza informatica.
L’analisi può essere svolta in modalità sincrona , tramite un’intervista effettuata dal Cyber Team o anche asincrona , tramite la compilazione on line di un questionario.

SECURITY AWARENESS: conosci il nemico

Più del 90% degli attacchi hacker ha inizio da un’azione del dipendente.
La consapevolezza è la prima arma per combattere il rischio cyber.

MANAGED DETECTION & RESPONSE (MDR): protezione proattiva degli endpoint

I dati aziendali rappresentano un enorme valore per i criminali informatici, per questo motivo gli endpoint e i server sono presi di mira . E’ difficile per le tradizionali soluzioni di protezione contrastare le minacce emergenti. I criminali informatici aggirano le difese antivirus, approfittando dell’impossibilità da parte dei team IT aziendali di monitorare e gestire gli eventi di sicurezza 24 ore su 24.

MDR è un sistema intelligente che monitora il traffico di rete ed esegue un’analisi comportamentale
del sistema operativo, individuando attività sospette e non volute.
Tali informazioni sono trasmesse a un SOC (Security Operation Center), un laboratorio presidiato da
analisti di cybersecurity, in possesso delle principali certificazioni in cybersecurity.
In caso di anomalia, il SOC, con servizio gestito 24/7 , può intervenire a diversi livelli di severità, dall’invio di un’e mail di avvertimento, fino all’isolamento del client dalla rete.
Questo consentirà di bloccare potenziali minacce sul nascere e di evitare danni irreparabili.

SECURITY WEB MONITORING: analisi del DARK WEB

Il dark web indica i contenuti del World Wide Web nelle darknet (reti oscure) che si raggiungono via Internet attraverso specifici software, configurazioni e accessi.
Con il nostro Security Web Monitoring siamo in grado di prevenire e contenere gli attacchi informatici, partendo dall’analisi del dominio aziendale (es.: ilwebcreativo.it ) e dei singoli indirizzi e mail.

CYBERDRIVE: applicazione sicura per la condivisione e modifica dei file

CyberDrive è un file manager cloud con elevati standard di sicurezza grazie alla crittografia indipendente di tutti i file. Garantisce la sicurezza dei dati aziendali mentre si lavora nel cloud e si condividono e si modificano documenti con altri utenti . In caso di perdita di collegamento, nessun dato viene memorizzato sul PC dell’utente. CyberDrive evita che i file possano essere persi per danni accidentali o esfiltrati per furto, sia esso fisico o digitale.

«THE CUBE»: la soluzione rivoluzionaria

Il più piccolo e potente datacenter in-a-box che offre potenza di calcolo e protezione dai danni fisici e logici. Progettato per la gestione dei dati in ambiti edge e robo, ambienti retail, studi professionali, uffici remoti e piccole aziende dove spazio, costo e consumo di energia sono fondamentali. Non necessita di sale CED ed armadi Rack. Posizionabile in qualunque tipo di ambiente grazie all’estetica d’impatto in armonia con gli spazi di lavoro. «The Cube» mette la tecnologia software enterprise al servizio della piccola e media impresa.

Letture Correlate

Ercole Palmeri

Autore

14 thoughts on “Attacco informatico: cos’è, come funziona, obiettivo e come è possibile prevenirlo: Attacco Denial-of-service (DoS)

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *