Nello scorso marzo, si è registrato il più grande attacco Ddos della storia, che ha colpito la rete Cloudflare ed era indirizzato, in modo particolare, verso SpamHaus, una società che si occupa di protezione dallo spamming. L’ampiezza dell’attacco è stata di 120 Gbit/s, nettamente superiore alla media e anche ai picchi registrati in passato.
Marco Gioanola, consulting engineer presso Arbor Networks Italia, rileva come negli ultimi mesi, questo genere di attacco, che blocca il funzionamento dei siti Web, sia tornato ad aumentare, dopo un paio d’anni di stabilizzazione: “Nei primi tre mesi del 2013, il numero di attacchi Ddos superiori ai 10 gbit/s è già pari a tre quarti di quelli registrati in tutto lo scorso anno”. A cosa si deve questa recrudescenza? “Qualcosa è certamente successo – riprende Gioanola – e proprio il caso di Spamhaus, troppo presto minimizzato, segna un salto di qualità da tenere attentamente sotto osservazione. Non si tratta più di semplici attacchi dimostrativi, facilmente intercettabili, ma di azioni tese a danneggiare i bersagli e a individuare i punti di debolezza”.
Arbor Networks è uno specialista di Ddos mitigation e monitora attentamente l’evoluzione delle minacce compiute attraverso il “bombardamento” dei siti da colpire, allo scopo di bloccarne, almeno temporaneamente, il funzionamento. Secondo il report prodotto al termine del primo trimestre 2013, la dimensione media degli attacchi è stata di 1,77 Gbit/s, con un incremento del 19,5% rispetto allo stesso periodo del 2012. Stanno crescendo, però, gli incidenti nati da range compresi fra i 2 e i 10 Gbit/s, che ora rappresentano il 21,5% di tutti gli attacchi, contro il 15% dello scorso anno.
Al di là di questa recrudescenza, va considerato che oltre il 62% degli incidenti deriva da attacchi sotto 1 Gbit/s. Considerando che le grandi e medie aziende hanno connessioni di almeno 10 Gbit/s, si potrebbe pensare che il problema non sia poi così serio: “In realtà non è così – commenta Gioanola – perché le soluzioni di protezione mediamente adottate possono funzionare efficacemente solo in parte. Tipico è l’esempio del firewall, da molti giudicato più che sufficiente, ma che in realtà non serve a bloccare un Ddos. Anzi, ci si accorge che un attacco è in corso proprio quando il firewall va in crash”.
Considerando che più o meno tutte le aziende con un brand noto e/o un sito Web che è parte integrante del business possono essere oggetto di un attacco (molte lo sono state, ma tendono a non rivelarlo pubblicamente), la soluzione ideale sarebbe una soluzione di Ddos mitigation gestita in proprio (con banda ridondata) o acquisita come servizio dal proprio Isp di riferimento. Soprattutto in Italia, tuttavia, la sensibilità su questi temi appare ancora scarsa, ma incidono anche problemi di natura strutturale: “A monte di tutto – conclude Gioanola – c’è l’arretratezza tecnologica dell’infrastruttura Internet. Sta comunque crescendo la soglia di attenzione soprattutto degli Isp, mentre le aziende industriali o quelle dell’e-commerce si muovono in modo decisamente più lento”.