2
CAPITOLO 1
Gli attacchi di distributed DoS avvenuti a febbraio 2000
1.1 7 Febbraio, l’ennesima dimostrazione della vulnerabilità e permeabilità della
rete.
Gli attacchi messi a segno all’inizio del Febbraio 2000 contro alcuni dei siti più
visitati del pianeta, da Yahoo! ad Amazon sono l’ennesima, plateale dimostrazione della
vulnerabilità e permeabilità della Rete [1]. Probabilmente si è trattato del più grosso
attacco mai organizzato a danno delle società che operano sul Web.
Tutto è iniziato alla 10 e 20 di mattina del 7 Febbraio scorso. I computer della sede
centrale di Yahoo!, a Santa Clara in California, vengono improvvisamente inondati da una
enorme quantità di dati. In pochi minuti arriva lo stesso numero di richieste che arriva in
un anno, mandando in tilt i server
1
. Per 2 ore e 45 minuti gli utenti non riescono più a
collegarsi a Yahoo!, che abitualmente è accessibile per il 99.3% del tempo.
Gli esperti della società stimano che il black out è costato circa 100 milioni di page
wiews in meno, cioè una perdita che si aggira attorno ai 500mila dollari.
Laura Priddy, vicepresidente di Global Center, il sistema su cui “gira” Yahoo!
afferma di non aver mai visto nulla del genere e diagnostica che per portare a termine una
azione di disturbo così massiccia sia occorso uno sforzo concentrato, un gruppo di persone
o un software sofisticato in grado di generare un simile livello di traffico [2].
Il giorno seguente altri colossi del Web subiscono la stessa sorte. Sono oscurati
Amazon, il sito di aste eBay, il grande magazzino Buy.com. E poi tocca ai siti
d’informazione, tra cui la stessa Cnn.
1
server : un computer o un programma che fornisce un determinato tipo di servizio ad un
programma client in esecuzione su un computer remoto.
3
1.2 Reazioni agli attacchi [3]
La risonanza di questi attacchi è stata enorme ed è stata in grado di provocare
fragore nel già scoppiettante mondo di Internet.
Come succede quasi sempre in casi di sabotaggi informatici sono stati additati
come colpevoli gli hacker.
Anche il Web è stato inondato da centinaia di articoli sull’evento, all’interno però
del quale sono trapelate opinioni discordi. E’ vero che alcuni espertissimi programmatori
dimostrano la loro abilità e si guadagnano i galloni di hacker, proprio forzando i sistemi di
sicurezza informatica di banche, grosse società o enti governativi. Di solito sono però gli
hacker a vantarsi delle proprie imprese; il loro scopo è appunto dimostrare che non c’è
alcun sistema di sicurezza in grado di resistere.
In questo caso, invece la comunità hacker, ha subito tenuto a prendere le distanze.
In una lettera pubblicata il 9 Febbraio da 2600 – The Hacker Quarterly, una specie di
rivista ufficiale degli hacker, appare una secca smentita: “Siamo spiacenti per gli attacchi
DoS (Denial of Service) subiti dai principali siti commerciali su Internet. Non possiamo
però consentire ai media di addossare la colpa sugli hackers. Finora, i media corporativi
hanno riportato informazione errate, a riguardo di questa storia, incolpando gli hackers pur
ammettendo di non avere idea di chi fosse dietro questi attacchi”. Insomma gli hacker si
difendono.
La più celebre delle riviste sulla rete,”Wired”, dedica agli attacchi degli hacker un
articolo con un titolo singolare, “Sa di cattiveria”. L’articolo sottolinea, infatti, che
l’attacco non sembra rientrare in nessuna delle azioni dimostrative tradizionali dei pirati
informatici.
Non c’è volontà di mettere alla prova un nuovo sistema di attacco e manca la
usuale rivendicazione dell’ attacco da parte del gruppo. Wired arriva ad ipotizzare che alla
radice dell’attacco ci sia un gruppo di adolescenti poco esperti della rete che definisce
“scimmie impacchettatrici”, che bombardano i siti con “pacchetti” di informazioni senza
uno scopo specifico.
Anche il sito inglese della Bbc, si sofferma sulla modalità di attacco con un articolo
dal titolo ” Come la Rete è stata ferita”. L’articolo paragona la tecnica di attacco a quella
di un telefonista folle che bombardi di chiamate un numero facendolo trovare occupato a
tutti quelli che cercano di chiamare. L’autore del pezzo sottolinea anche il singolare
tempismo e la grande sincronia dei pirati che si sono impadroniti, grazie a questa tecnica,
di più di 50 computer sparsi in tutto il mondo, per bombardare di dati Yahoo!
4
Salon, la rivista che si occupa dei principali trend del mondo dell’informatica e
della rete dal punto di vista del costume sostiene, invece, che i media hanno montato
l’evento, seminando il panico. In un articolo di Scott Rosemberg dal titolo “La paura in
rete:usciremo dall’isteria” , mette infatti in evidenza la facilità con cui si diffonde il panico
a proposito della rete. Per Salon, in fondo, l’attacco ha solo buttato giù la connessione con
alcuni dei siti principali per un paio d’ore senza ledere i milioni di altri siti esistenti e
quindi no va preso troppo sul serio.
Di opinione diametralmente opposta il New York Times che titola “La forza di
internet si è dimostrata essere la sua debolezza”. Per il quotidiano della grande mela il
punto è che gli hackers hanno colto una smagliatura nei sistemi di protezione che potrà
essere difficilmente rimarginata. Infatti questa volta i pirati non sono entrati nel sistema
per vie indirette: non hanno, ad esempio, forzato accessi legati alle reti locali dei siti che
hanno attaccato. Sono entrati, invece, dalla porta principale da cui entrano i clienti per fare
le ordinazioni o per scrivere le mail: una porta che potrà difficilmente essere chiusa
proprio perché Internet è per definizione un sistema aperto.
Questo è anche il punto di vista di Zdnet, uno dei siti di riferimento per tutto quello
che accade nel mondo dell'informatica e della Rete. Per Peter Coffee autore di un articolo
intitolato "Un Web sicuro richiede un nuovo contratto sociale", il problema è ancora più a
monte. La Rete, afferma Coffee, è come una città piena di case con porte di ingresso senza
serratura, chiunque può entrare e rubare quello che c'è. La soluzione, per Coffee, tuttavia
non è chiudere ogni accesso libero ad Internet, ma la crescita di una consapevolezza sui
pericoli e sui rischi che la Rete comporta e lo stabilirsi di un equilibrio tra libertà totale e
totale chiusura.
Insomma, un nuovo contratto sociale per difendere il Web e per vivere nella
società della Rete.
5
1.2.1 Clinton dichiara guerra ai pirati informatici [4]
Negli Stati Uniti gli hacker, dopo questi attacchi non interessano più solo solo
Hollywood, ma sono ormai finiti ai primi posti nell’agenda del presidente Clinton e del
suo staff. Il presidente in persona ha chiesto all’F.B.I. di scendere in campo con velocità e
determinazione, stanziando 37 milioni di dollari per aumentare i mezzi a disposizione dei
Federali. [5]
Per capire il grado di preoccupazione di Washington, basta ascoltare le
dichiarazioni del ministro della giustizia, Janet Reno il quale afferma: “la lotta ai
sabotatori è da oggi una delle priorità della nostra Amministrazione. Non daremo tregua a
queste persone e siamo sicuri che al più presto sarà fatta chiarezza sull’episdio. Puniremo e
cercheremo di prevenire questi reati con la massima determinazione”. Il problema è di
vitale importanza per l’economia e la società americana, ”un settore che sta alla base del
nostro futuro”, aggiungendo che “in ogni caso questi pesanti attacchi non basteranno a
minare lo sviluppo del commercio elettronico e di tutte le altre attività connesse alla
crescita di internet”.
Ron Dick dell’ F.B.I sostiene che un ragazzo quindicenne con un piccolo computer
sarebbe in grado di scatenare una azione piratesca. Quindi afferma “ La sicurezza della
Rete deve essere compito dell’intera società”.
A tale scopo, il Presidente Clinton ha patrocinato la nascita negli Stati Uniti di un
Centro Nazionale per la cibersicurezza. Si tratta di una rete di monitoraggio costituita dalle
principali società del settore appoggiate appunto dal governo federale di Washington.
Clinton ha detto che questi attacchi sono ovviamente molto preoccupanti e al fine di
rafforzare la sicurezza della rete, ha reso noto la creazione del centro anti-hacker, cui il
congresso contribuirà con nove milioni di dollari, dopo un incontro alla Casa Bianca con
“guru” del settore come Charles Wang, presidente della “Computer Associates”, Harris
Miller, capo dell’ ”Information Technology Associaton of America”, e “Mudge”, leader
dell’organizzazione di ex pirati informatici “AtStake”. L’idea di dare vita al Centro è
venuta dal segretario al commercio William Daley dopo un colloquio con i leader di un
centinaio di società di informatica ed e-commerce organizzato dall’ufficio per le politiche
della scienza e della tecnologia della Casa Bianca.
6
1.2.2 L’FBI interroga ‘Coolio’, L’Hacker che ha bloccato Yahoo [6]
Gli sforzi dell’ F.B.I per cercare i responsabili di questi attacchi, hanno condotto
all’ individuazione dei presunti colpevoli. Il primo pirata informatico a cadere nelle maglie
dell’F.B.I. è stato “Coolio”
2
; è di nazionalità statunitense e secondo le prime indagini
sarebbe responsabile del blocco di Yahoo! L’altro hacker individuato è canadese e il suo
pseudomino in Rete è ”Mafiaboy”. Le forze dell’ordine, per individuare i presunti
colpevoli si sono avvalse della collaborazione di David Brumley, un programmatore della
Stanford Univrsity, che ha individuato l’intrusione degli hacker all’interno dei computer
dell’università ed è quindi riuscito a localizzarli tramite il numero identificativo con cui
ogni computer si collega alla rete. Gli hacker avevano utilizzato proprio i sistemi
informatici della Stanford University e dell’ Università di Santa Barbara per lanciare
l’attacco ai siti Internet.
2
Coolio : pseudonimo utilizzato in rete
7
CAPITOLO 2
Gli attacchi DoS: tipologie, modalità e opinioni di esperti
2.1 Definizione, modalità e tipologie di attacchi DoS [7]
Gli attacchi che hanno messo in ginocchio la Rete nel Febbraio 2000 sono stato un
tipico caso di “Distributed Denial of Service”(DDoS). Per Denial of Service (DoS) si
intende generalmente un attacco progettato allo scopo di impedire le regolari funzioni di
un sistema o comunque causarne un degrado delle prestazioni. Nel contesto delle reti, un
simile risultato lo si ottiene tipicamente con l’invio di informazioni opportunamente
“forgiate”. Il DoS può essere causato ad esempio dal volume stesso dei dati passato alla
vittima, che provoca la saturazione delle risorse del sistema
3
, o dal contenuto di questi,
appositamente progettato per sfruttare le vulnerabilità presenti nei servizi o nei protocolli,
siano queste concettuali o di implementazione hardware o software.
Con DDoS non si intende nient’altro che un attacco DoS effettuato in modo
distribuito che consiste nel dividere il carico di attacco su diverse macchine sparse per la
rete, mentre una o più sovrintendono allo svolgimento dell'attacco. Si vuole anche
dimostrare ad esempio che saturare un link
4
piuttosto grande non è difficile quanto si
crede.
In sintesi si tratta di un sistema per automatizzare e coordinare un attacco DoS nel
quale gli attaccanti siano molteplici.
Il concetto di DoS distribuito era già presente in pacchetti commerciali che
effettuavano il calcolo del Capacyty Managment, cioè dei benchmark
5
usati per analizzare
le prestazioni di un sistema informatico a regime, sotto carico. In pratica si avevano delle
stime utili agli amministratori di sistema per sapere quando, cosa e in che modo modificare
il sistema per aumentare le prestazioni del sistema stesso.
3
Identificato col nome di starvation.
4
link : un’area, parola, frase o immagine che collega il documento Web che la contiene ad un
altro.
5
benckmarking: test effettuato quando si confrontano due programmi progettati per svolgere la
stessa serie di compiti o due elaboratori per valutarne le . Il test è anche un controllo della
macchina rispetto alle prestazioni dichiarate dal costruttore
8
Le modalità degli attacchi DoS [8] che considererò sono le seguenti:
Bandwidth consumption
Essenzialmente consiste nel generare una quantità di traffico tale da consumare tutta la
banda a disposizione di un sito, tagliandolo fuori dalla rete. Esistono due situazioni:
a) Nella prima gli attaccanti hanno a disposizione una banda molto più ampia delle
vittima. In questo caso è facile per gli attaccanti saturare tutta la banda a
disposizione della vittima inondando quest'ultima di una quantità enorme di
traffico privo di senso.
b) Nella seconda avviene in contrario. E' la vittima ad avere più banda degli
attaccanti. Questi ultimi però non si danno certo per vinti e, usando delle tecniche
di "amplificazione" del traffico, riescono comunque a generarne tanto da saturare la
banda della vittima.
Resource starvation
Rispetto al tipo di attacco precedente si tende a saturare altre risolse del sistema
piuttosto che i link di rete. Tali componenti possono essere tempo di CPU, memoria di
sistema, spazio su disco, handles di file, etc. In generale un sistema sotto questo attacco
diventa inservibile oppure collassa.
Bug software
L'attaccante sollecita il sistema della vittima in modo da attivare situazioni che
sono gestite scorrettamente dal software di sistema. Esempi di questo tipo di attacchi sono
quelli che si basano sui bug presenti nello stack di rete (WinNuke, IP frag overlap), sul
buffer
6
overflow o errori presenti in HW dedicato.
L'attacco Ip fragmentation overlap si basa su una vulnerabilità presente nelle
implementazioni software dello stack IP, per quanto riguarda il riassemblaggio della
sequenza dei pacchetti. La tecnica consiste nel generare una sequenza di pacchetti costruita
"ad arte" in modo da provocare il crash o il reboot del sistema.
6
Buffer : Parte della memoria del computer riservata temporaneamente ai dati in trasmissione da
un punto (o dispositivo) all’altro.
9
Un altro esempio è un bug presente in una istruzione dei processori Pentium di
Intel che era capace di mandare in crash un sistema indipendentemente dal sistema
operativo utilizzato.
Attacchi basati su routing o DNS
L'attaccante manipola le tabelle di routing , o la cache di un server DNS
7
, in modo
da deviare tutto o parte del traffico della rete verso una destinazione diversa o verso un
"buco nero".
Schema di attacco basato sul routing
figura 1
7
DNS : Domain Name Server, servizio che consente di ottenere l’indirizzo IP di un computer dal
suo nome di dominio.
10
Schema di attacco basato sul DNS
figura 2
Mi soffermerò ora su alcune delle tecniche [8] più freqenti utilizzate durante un
attacco DoS.
Spoofing
L'attaccante manipola il pacchetto
8
che sta trasmettendo in modo da cambiare il
valore presente nel campo sorgente del pacchetto. Il destinatario crederà che il mittente di
un pacchetto ricevuto sia diverso da quello reale.
8
pacchetto : la più piccola unità inviata attraverso una rete. E’ un termine generico usato per
descrivere blocchi di dati ad ogni livello, ma soprattutto a livello programma.
11
figura 3
Nell'esempio in figura (3) l'utente presente su PC1 vuole spedire un messaggio
oltraggioso verso l'utente su PC3. Per non farsi scoprire crea un pacchetto di dati con il
campo di origine modificato con l'indirizzo di un terzo utente, PC2, ignaro di tutto. PC3
riceve il messaggio credendo che il mittente sia PC2 e di conseguenza la sua reazione sarà
diretta verso PC2 e non verso il verso mittente del messaggio.
Flooding generico (UDP, ICMP)
L’ obbiettivo di tali attacchi è essenzialmente quello di saturare la banda del
bersaglio o altre risorse come ad esempio il CPU time dei dispositivi di rete.
SYN flooding
Questo attacco usa una debolezza nella implementazione/configurazione del
protocollo
9
di connessione "three way handshake
10
", usato per aprire una sessione.
Presenta un grande vantaggio perchè necessita di pochissima banda per ottenere l'effetto
voluto.
9
Protocollo : una descrizione formale del formato dei messaggi e delle regole che devono seguire
due computer affinchè lo scambio possa avvenire. I protocolli possono essere di basso livello, es
come spedire bit o byte attraverso la rete, o di alto livello, es come scambiarsi documenti. TCP/IP
è di basso livello, HTTP è di alto livello.
10
Handshake : Trasmissione che ha luogo all’inizio di una sessione tra due computer che
comunicano. Questo tipo di trasmissione consente ai due computer di stabilire un accordo sulle
modalità di trasmissione.
12
Il protocollo di connessione tra due PC normalmente funziona in tre fasi. (Fig 4)
figura 4
a) A vuole comunicare con B e per aprire una sessione gli manda un pacchetto "SYN"
e aspetta una risposta da B.
b) Quest'ultimo ricevuta una richiesta di connessione cambia il suo stato da
"LISTEN" in "SYN RECEIVED", cioè si rende conto che c'è una richiesta da parte
di A e mette la sua richiesta in una coda delle connessioni potenziali, ma non
ancora stabilite. Per concludere allora B spedisce ad A un pacchetto con
"SYN/ACK" e attende da A la conferma della connessione.
c) Quando A riceve il "SYN/ACK" di B spedisce a sua volta un altro ACK e ritiene la
connessione stabilita. B riceve l'altro ACK di A e passa dallo stato "SYN
RECEIVED" in "ESTABILISHED" e cancella A dalla coda delle richieste
potenziali.
Durante un attacco la vittima è B. L'attaccante gli spedisce dei SYN il cui indirizzo
sorgente è un "buco nero", cioè una macchina non raggiungibile (spoofing, fig 5); in
questo modo le risposte della vittima vengono tutte perse. L'attaccante spedisce
continuamente richieste di connessione allo scopo di far riempire la coda delle connessioni
potenziali fino ad esaurire tutte le risorse allocate allo scopo, che normalmente sono
limitate. Infatti, sebbene un server possa accettare moltissime richieste di servizio,
normalmente è configurato per avere una coda delle connessioni "potenziali" molto
limitata.
Ricevi informazioni sui nostri servizi, sulle offerte e non perdere news e consigli su università e lavoro.
