Parlando di sicurezza informatica si sente spesso il temine DDoS. Prima addentrarci nell’argomento consentitemi di fare un rapido accenno al comando “PING” uno dei principali strumenti utilizzati dagli amministratori di rete per controllare lo stato della stessa. Il PING è uno strumento fondamentale in quanto consente di verificare immediatamente se un determinato computer è connesso alla rete e se ci sono problemi di latenza fra il computer che fa la richiesta e il computer interrogato. Alla base del comando c’è il fatto che, salvo alcune eccezioni, la gestione della rete di un sistema operativo è concepita per inviare una risposta automatica, di tipo echo reply, ogni qual volta riceve una richiesta da un pacchetto di dati di tipo echo request. È facile intuire che il comando PING, se si inviano continue richieste con pacchetti di grosse dimensioni, può mettere in crisi la gestione della rete del sistema interrogato fino al momento in cui l’hardware non è più in grado di rispondere. Se lo si fa per accertarsi della qualità della rete parliamo di stress test ma se lo si fa per bloccare un server internet allora parliamo di DoS (Denial of Service), un vero e proprio attacco da cyber criminali. Quando poi l’attacco viene portato in contemporanea da più macchine si parla di DDoS (Ditributed Denial of Service).
UNA PRECISAZIONE: con queste brevi note vogliamo dare una panoramica a solo scopo didattico dei principali strumenti utilizzati per portare un attacco DDoS. L’articolo 640 ter del codice penale rende perseguibili l’accesso abusivo ad un sistema informatico o telematico protetto da misure di sicurezza, o il mantenimento in esso contro la volontà espressa o tacita di chi ne ha diritto. La pena è la reclusione fino a tre anni.
La classificazione degli strumenti di attacco Dos/DDoS
Studiare e capire come viene portato un attacco DoS o DDoS è fondamentale per poter prevenire le attività che potrebbero mettere in crisi il nostro server internet. Cloudflare, l’azienda di Palo Alto impegnata a migliorare internet sviluppando tecnologie “intelligenti” e coinvolgendo gli utenti, mette a disposizione, per chi vuole approfondire l’argomento “sicurezza informatica” tutte le informazioni necessarie per capire come funzionano gli attacchi DoS e DDOS e quali sono gli strumenti maggiormente utilizzati. Una prima categoria include i tools progettati per eseguire i cosiddetti test di stress sulle reti in modo da mettere in condizioni i progettisti e gli amministratori della LAN aziendale di verificare la robustezza dell’infrastruttura hardware e dei software di protezione. Una prima categoria di strumenti include i “Low and Slow” che, come si intuisce dal nome, inviano lentamente piccole quantità di dati su più connessioni lasciando aperte le porte di connessione del server sotto attacco fino a che il sistema non riesce a gestire di più. Un tipo di strumento particolarmente pericoloso, che difficilmente viene identificato dalla vittima, sono quelli a livello applicativo. Il programma, che può essere lanciato da più attaccanti contemporaneamente, stabilisce una serie di connessioni http che mettono in crisi il bersaglio che difficilmente riesce a riconoscere le richieste pericolose da quelle provenienti, normalmente, dai reali visitatori del sito. Un’ultima categoria di strumenti sono quelli che attaccano al livello dei protocolli di rete, inviando grandi quantità di dati utilizzando vari protocolli UDP. Se lanciati da una sola macchina, in genere, non sono particolarmente pericolosi ma se sono più macchine ad attaccare assumono la forma di un vero attacco DDoS. Inutile dire che, come per molte cose pericolose, il miglior modo per prevenire danni è studiare il pericolo stesso e mettere in campo tutte le misure di sicurezza.