Attacco Denial-of-Service (DoS)

Che cos’è un attacco Denial-of-Service (DoS)?

Un attacco DoS (Denial of Service) è un attacco informatico intenzionale effettuato su reti, siti Web e risorse online per limitare l’accesso ai propri utenti legittimi. Questo di solito viene fatto sovraccaricando la rete o il sito di destinazione con false richieste di sistema, impedendo agli utenti legittimi di accedervi, a volte bloccando o danneggiando un sistema completamente. Gli attacchi DoS possono durare da poche ore a molti mesi.

Un tipo comune di attacco DoS prevalente sul Web è chiamato attacco DDoS (Distributed Denial of Service) che si basa su computer o dispositivi infetti di tutto il mondo in uno sforzo coordinato per bloccare l’accesso.

Come funzionano gli attacchi Denial of Service

Gli attacchi DoS sono in aumento perché poiché le aziende ei consumatori utilizzano più piattaforme digitali per comunicare e negoziare tra loro, questi attacchi informatici prendono di mira la proprietà intellettuale e le infrastrutture digitali. Gli attacchi informatici vengono in genere lanciati per rubare informazioni di identificazione personale (PII), causando notevoli danni alle tasche finanziarie e alla reputazione delle aziende. Le violazioni dei dati possono colpire contemporaneamente una società specifica o una serie di società. Un’azienda con protocolli di alta sicurezza in atto può essere attaccata attraverso un membro della sua catena di approvvigionamento con misure di sicurezza inadeguate. Quando più aziende sono state selezionate per un attacco, gli autori possono utilizzare un approccio DoS.

In un attacco DoS, i cyberattaccanti utilizzano in genere una connessione Internet e un dispositivo per inviare richieste rapide e continue a un server di destinazione per sovraccaricare la larghezza di banda del server. Gli aggressori DoS sfruttano una vulnerabilità del software nel sistema e procedono all’esaurimento della RAM o della CPU del server. Il danno in perdita di servizio causato da un attacco DoS può essere riparato in breve tempo implementando un firewall con regole di autorizzazione e negazione. Poiché un attacco DoS ha un solo indirizzo IP, l’indirizzo IP può essere facilmente recuperato e negato un ulteriore accesso utilizzando un firewall. Tuttavia, esiste un tipo di attacco DoS che non è così facile da rilevare: un attacco DDoS (Distributed Denial of-Service).

Attacco Distributed Denial-of-Service (DDoS)

Un attacco DDoS (Distributed Denial of Service) utilizza più dispositivi e connessioni infetti sparsi in tutto il mondo come una botnet. Una botnet è una rete di dispositivi personali che sono stati compromessi dai criminali informatici all’insaputa dei proprietari dei dispositivi. Gli hacker infettano i computer con software dannoso per ottenere il controllo del sistema e inviare spam e richieste false ad altri dispositivi e server. Un server di destinazione vittima di un attacco DDoS subirà un sovraccarico a causa delle centinaia o migliaia di traffico fasullo in entrata. Poiché il server viene attaccato da più fonti, rilevare tutti gli indirizzi da queste fonti potrebbe rivelarsi difficile. Separare il traffico legittimo dal traffico falso può anche essere impossibile da fare, quindi, un altro motivo per cui è difficile per un server resistere a un attacco DDoS.

A differenza della maggior parte degli attacchi informatici che vengono avviati per rubare informazioni sensibili, gli attacchi DDoS iniziali vengono lanciati per rendere i siti Web inaccessibili ai propri utenti. Tuttavia, alcuni attacchi DDoS vengono utilizzati come facciata per altri atti dannosi. Quando i server sono stati abbattuti con successo, i colpevoli potrebbero andare dietro le quinte per smantellare i firewall dei siti web o indebolire i loro codici di sicurezza per futuri piani di attacco.

Un attacco DDoS può essere utilizzato anche come attacco alla catena di approvvigionamento digitale. Se i cyberattaccanti non riescono a penetrare nei sistemi di sicurezza dei loro molteplici siti web di destinazione, possono trovare un collegamento debole che è connesso a tutti gli obiettivi e attaccare invece il collegamento. Quando il collegamento è compromesso, anche gli obiettivi primari verranno automaticamente influenzati indirettamente.

Esempio di attacco DDoS

Nell’ottobre 2016 è stato effettuato un attacco DDoS su un provider di DNS (Domain Name System), Dyn. Pensa a un DNS come alla directory di Internet che indirizza la tua richiesta o il traffico alla pagina web desiderata. Una società come Dyn ospita e gestisce il nome di dominio di società selezionate in questa directory sul proprio server. Quando il server di Dyn viene compromesso, ciò influisce anche sui siti Web delle società che ospita. L’attacco del 2016 a Dyn ha inondato i suoi server con una quantità enorme di traffico Internet, creando così una massiccia interruzione del web e chiudendo oltre 80 siti Web, inclusi i principali siti come Twitter, Amazon, Spotify, Airbnb, PayPal e Netflix.

Parte del traffico è stato rilevato da una botnet creata con un software dannoso noto come Mirai che sembrava aver interessato oltre 500.000 dispositivi connessi a Internet. A differenza di altre botnet che acquisiscono computer privati, questa particolare botnet ha acquisito il controllo sull’Internet delle cose facilmente accessibile Dispositivi (IoT) come DVR, stampanti e telecamere. Questi dispositivi debolmente protetti sono stati quindi utilizzati per effettuare un attacco DDoS inviando un numero insormontabile di richieste al server di Dyn.

I vandali informatici continuano a inventare nuovi modi per commettere crimini informatici per divertimento o per profitto. È fondamentale che ogni dispositivo che ha accesso a Internet disponga di protocolli di sicurezza per limitare l’accesso.