Attacchi informatici su base volontaria, con software del tipo low orbit ion cannon che gli anonymous chiedevano ai loro adepti di andare ad installare sul loro dispositivo. Su scala grande questo per quanto si molto sempice come attacco e’ molto efficace.
Meta’ degli attacchi DDOS hanno almeno 1gbit per seconds come volume. All’aumentare del numero di device e’ molto piu’ facile portare a termine questo tipi di attacchi. Si riesce a saturare il collegamento internet di una intera area.
Adesso si usano servizi amplificatori dato che il kernel ora di base va a rifiutare pacchetti con header malfatti o di dimensioni strane in genere. Ora ci sono sistemi per cui io faccio una richiesta piccola ma ho una grande risposta. Questo e’ il concetto di base di questi nuovi sistemi.
La seconda caratteristica e’ quella di usare UDP, perche’ le tecniche di amplificazione sfruttano un meccanismo di spoofing per gli indirizzi di destinazione. L’idea qual’e’ abbiamo il nostro attacker. Questo ha una vittima e c’e’ un servizio di amplificazione. Queste cose sono tre computer internet distribuiti, contatto il servizio di amp e come dest addess metto la vittima 🤣
Con UDP il target riceve la risposta e basta, e’ immediata come funzioanalita’. Un tempo era diventato famoso Memcached, questo era comodo per andare a salvare in memoria informazioni in maniera rapida. Questo veniva usato per fare caching di informazioni in maniera rapida. Questo era nato per migliorare i tempi di risposta da dischi o db. Questi servizi non sono fatti per essere esposti ai client, ma spesso si espone con un indirizzo pubblico per comodita’ (sono proprio server). Questi venivano lasciati aperti su porte standard e alla fine sono stati trovati e inseriti all’interno del flusso dia attacco.
Quando parliamo di DDOS di solito abbiamo dietro una botnet e facciamo riferimento ad una rete di robot, per cui si fa riferimento a tutti i computer infetti a tutta la struttura di comando e controllo. D solito che cosa succede? Abbiamo un attaccante che vuole andarsi a creare una struttura di attacco, compromette dei deivice e poi rimane in attesa di attaccare. Questi bot hanno spesso una reverse shell, cosi’ anche se ci sono firewall in ingresso per la rete in cui e’ presente il bot, alla fine chissene, tanto mi contatta il bot con la reverse shell e mi contatta sul device command and control. Le comunicazioni con command and control le facciamo con protocolli di chat, ma ora si usano https cosi’ da non andare a destare alcun tipo di sospetto. Cosi’ il bot alla fine si vede che apre solamente una connessione https verso un sito, vai a sapere poi che cosa si sta dicendo. A volte si usa anche DNS e si fanno richiesta dns. Questo passa in osservato 99% delle volte.
Una botnet possiamo usarla per fare DDoS, SPAM (per fare phishing, truffe, …) oppure scansione di macchine e installazione di malware.
La botnet mirai ha cercato di andare a sfruttare l’evoluzione di internet, andando a sfruttare la maggiore banda che ora possiamo avere (e anche tutti i smart devices che sono sempre accessi, pensiamo anche al frigo smart, etc. …). Mirai era diventata famosa perche’ e’ stata famosa per andare ad attaccare DNS grossi e hanno creato problemi non da poco a tutti → attacco indiretto. Sfruttava le vuln di dispostivi iot alla fine in cui la sicurezza non e’ assolutamente il massimo. Solitamente questi device hanno pw di default e hanno una sorta di qualche linux embedded con aperto tellnet o ssh al massimo. Se son username e password entro e faccio quello che voglio. Avevano fatto dei sistemi di scansione di internet e provavano ad entrare dappertutto e ci sono riuscito per milioni di devices. Questo sistema e’ stato poi anche copiato da sistemi tipo andromeda (botnet recente).
Le botnet si possono andare ad affittare per fare attacchi tranquillamente.
Come mi difendo? Andare a ricercare le sorgenti del traffico e’ inutile. Niente attribuzione. Metto un firewall? Blocco tutti i pacchetti i UPD, lascio solamente https. Questo non va perche’ comunque lo metto nella mia rete ma in punto in cui il collo di bottiglia e’ sopra il livello di quel firewall. Come faccio?? Chiamo l’ISP e chiedo supporto e alla fine riesco a trovare qualcuno che riesce a regolare il traffico e vede che ci sta troppo traffico e vi comunica ufficialmente che siamo vittime di un DDoS, nel caso fortunato se sono un cliente piccolo che vende localmente e’ mettere un filtro sulla localizzazione geofrica e accettare solamente roba italiana. Cosi’ riesco a filtrare il 90% dei pacchetti DDoS, ma dipende quanto pago l’ISP e se si puo’ fare, ma dipende anche se la botnet e’ in Italia o meno perche’ magari mi hanno targettato molto bene. La vera soluzione dipende dalla natura dell’attacco. Posso andare a replicare i contenuti in centinaia di server distribuiti quindi alla fine l’utente non viene mandato sul sito principale ma sul sito replica piu’ vicina a me, in questo caso e’ come se il DDOS venisse distribuito e non solamente su unico sito web.
Alla fine pero’ questi attacchi continuano in un certo senso ad avere senso perche’ il risultato finale e’ che sale la bolletta dell’uso di servizi cloud per chi li paga e questo puo’ essere una forma di ricatto praticamente.
Ci sono dei servizi che si chiamano lavatrici di traffico per cui alla fine vanno a scremare traffico che non e’ fatto da umani → cloudflare <premi qua>, captcha etc. … usano variate tecniche per far passare solamente il traffico buono.
E’ possibile che su questa parte non prenda moltissimi appunti perche’ sono reduce da diversi corsi di crittografia, quindi bene o male le basi sono sempre: cifrario di cesare → vigenere → one time pad → storia della macchina enigma e poi principi di kerckhoff (https://en.wikipedia.org/wiki/Kerckhoffs's_principle). Confidenzialita’, Integrita’, disponibilita’