Akamai, rapporto sulla sicurezza: “Numero di attacchi Ddos raddoppiato rispetto a primo trimestre 2014”

Akamai ha pubblicato il suo Rapporto sulla Sicurezza relativo al primo trimestre del 2015, un documento che offre analisi e approfondimenti sullo scenario e sulle principali minacce nel settore del cloud. “Abbiamo analizzato – dice John Summers, responsabile della business unit Cloud Security della compagnia – migliaia di attacchi DDoS osservati sulla rete PLXrouted e milioni di attacchi alle applicazioni Web sulla rete Akamai Edge. Raccogliendo i dati relativi agli attacchi alle applicazioni Web e unendoli ai report dei nostri team di ricerca sulla sicurezza siamo in grado di offrire una visione olistica di Internet e degli attacchi che si verificano quotidianamente”. La crescita – Il trimestre passato ha fatto registrare un nuovo record nel numero di attacchi Denial of service registrati sulla rete PLXrouted, più che raddoppiati rispetto al primo trimestre 2014 e in crescita del 35% rispetto all’ultimo trimestre 2014. Appare cambiato però il profilo degli attacchi. Lo scorso anno gli attacchi di breve durata con alto consumo di banda erano la norma. Nel primo trimestre 2015 il tipico attacco DDoS usava meno di 10 gigabit per secondo ma durava più di 24 ore. Nel periodo si sono registrati 8 mega attacchi, ognuno da oltre 100 Gbps; uno in meno rispetto al Q4 2014, ma un anno fa attacchi di questa entità erano molto rari. Il più grosso attacco Denial of service osservato nel Q1 2015 ha raggiunto un picco di 170 Gbps. Nel corso dell’anno passato sono mutati anche i vettori degli attacchi. Nel trimestre in esame, gli attacchi Simple Service Discovery Protocol (SSDP) hanno rappresentato oltre il 20% dei vettori di attacco, mentre erano del tutto assenti nei primi due trimestri 2014. Gli SSDP sono resi possibili da una vulnerabilità di milioni di dispositivi domestici e da ufficio (router, media server, webcam, smart Tv e stampanti) presente affinché essi possano riconoscersi su una rete, stabilire la connessione e coordinare le attività. Se lasciati non protetti o malamente configurati, tutti questi dispositivi connessi a Internet possono essere usati come riflettori. Ancora una volta nel Q1 2015 il settore del gaming è stato il più colpito da attacchi DDoS. Al primo posto dal secondo trimestre 2014, questo comparto è stato oggetto dl 35% delle azioni malevole. Il settore del software e tecnologia è risultato il secondo più colpito, con il 25% degli attacchi. Riassumendo, rispetto al Q1 2014 si registrano: + 116,5% di attacchi DDoS + 58,93% di attacchi DDoS al livello applicativo + 124,69% di attacchi DDoS al livello infrastrutturale + 42,8% della durata media degli attacchi: 24,82 contro 17,38 ore E rispetto al Q4 2014: +35,24% di attacchi DDoS +22,22% di attacchi DDoS allivello applicativo +36,74% di attacchi DDoS al livello infrastrutturale – 15,37% nella durata media degli attacchi: 24,82 contro 29,33 ore IPv6 – L’attacco DDoS IPv6 non è ancora un evento comune ma vi sono segnali che attori malevoli abbiano iniziato a sperimentare questi nuovi metodi. Una nuova serie di rischi associati al passaggio sta già impensierendo i fornitori di servizi cloud nonché i proprietari di reti aziendali e domestiche. Molti attacchi Denial of service IPv6 possono essere replicati usando protocolli stessi, mentre alcuni nuovi vettori sono legati direttamente alla loro architettura. Molte delle caratteristiche di IPv6 possono permettere agli attaccanti di aggirare le protezioni basate su IPv4, creando una superficie di attacco DDoS più ampia ed efficace. Il rapporto delinea rischi e sfide che si prospettano nell’immediato futuro in questo senso. “Centinaia di aziende che si occupano di web hosting forniscono questo servizio per pochi euro al mese – sottolinea il rapporto – e in questi casi è probabile che il provider ospiti più account sullo stesso server. In pratica può accadere che centinaia di siti e domini si trovino sotto lo stesso indirizzo IP, permettendo a un malintenzionato di sequestrare molti siti in una volta sola. Una volta che anche un solo sito è stato compromesso, l’hacker può potenzialmente intercettare le directory del server, leggere gli elenchi di username e password e accedere file di altri account, ad esempio le credenziali dei database. Con queste informazioni l’hacker può modificare file in ogni sito su quel server”. 20 maggio 2015