Abbiamo chiesto all’esperto cos’è lo spoofing, il cyberattacco che ha colpito tante aziende italiane nelle scorse settimane

Subbuglio in rete nella settimana di Halloween. A far paura, non sono stati dolcetti o scherzetti, ma una serie di attacchi diretti ad alcune aziende italiane. I criminali informatici hanno bersagliato siti come Lottomatica, mettendoli completamente KO. Diverse grandi realtà sono state ricattate con richieste di denaro e hanno subito grossi danni di immagine. Episodi come questi ci mettono sull’attenti: ci fanno chiedere se sia possibile aumentare le nostre difese e come farlo, perché le minacce crescono e si diversificano. Abbiamo fatto alcune domande a Marco d’Itri, Network manager and system administrator di Seeweb, per chiarire alcuni dubbi e ottenere qualche risposta.

La cyber security è un tema sempre più attuale. Ci spieghi in breve cosa è successo la scorsa settimana in Italia?

A partire dal 15 ottobre, i clienti di moltissime reti italiane sono stati colpiti dal danno collaterale di una campagna di attacchi denial of service diretti ad alcune aziende italiane di gioco online. Diverse fonti mi hanno confermato che lo scopo di questi attacchi è l’estorsione. Si è trattato di attacchi a riflessione, cioè che hanno sfruttato i server> incolpevoli dei nostri clienti per generare traffico diretto ai veri bersagli: gli attaccanti hanno inviato a servizi come HTTP e SMTP dei pacchetti SYN, l’inizio di una connessione TCP, e questi hanno normalmente risposto con altri pacchetti SYN-ACK. Trattandosi anche di attacchi falsificati (“spoofed“), gli attaccanti hanno inviato i pacchetti iniziali modificandone l’IP d’origine in modo che sembrassero provenire dai bersagli: di conseguenza i bersagli hanno ricevuto in risposta miliardi di pacchetti al secondo che hanno saturato i loro sistemi e connessioni ad Internet. LEGGI ANCHE: Spotify Kids, lo streaming a misura di bimbo (e a prova di privacy, dicono) Il problema per alcuni nostri clienti è stato che questo traffico, anche se piccolo in termini di banda utilizzata (l’attacco più grande che abbiamo gestito era solo di qualche Gbps), è in grado di saturare qualsiasi tipo di firewall perché questi possono gestire un numero limitato di nuove connessioni.

Cos’è un attacco spoofing e quali sono le tecniche usate dagli hacker in un attacco di questo tipo?

Attacchi come questo sono possibili perché certi service provider, per dolo o per inerzia, permettono ai propri clienti di inviare traffico falsificandone l’IP sorgente. Questo è un problema vecchio quanto Internet, e sono oltre 20 anni che gli operatori cercano di risolverlo. Negli ultimi anni Internet Society ha promosso l’iniziativa MANRS per diffondere tra gli ISP le migliori pratiche sulla sicurezza di Internet e del routing, e Seeweb è stata la prima rete italiana ad aderire. Abbiamo potuto farlo immediatamente perché le misure richieste erano per noi normale amministrazione e già implementate da molti anni.

In che modo è possibile prevenire questo tipo di attacchi?

È facilissimo generare attacchi denial of service di decine di Gbps (ma anche di centinaia!), quindi in pratica non è possibile prevenirli. Per motivi tecnici ed economici non è pratico, per un sito che non sia sistematicamente sotto attacco, adottare un sistema di protezione sempre attivo: a quel punto il meglio che si può fare è rivolgersi a fornitori di servizi che siano in grado di riconoscere e mitigare gli attacchi DoS in pochi minuti.

Come ci si accorge di un attacco hacker e cosa bisogna fare quando ci si rende conto di essere vittima di un attacco?

Quando si tratta di servizi online tipicamente il primo che se ne accorge è il proprio fornitore di hosting o server, se è competente: a quel punto segnalerà tempestivamente al cliente i problemi e lo aiuterà a riparare i danni e rendere sicuri i servizi.

Quali sono, oggi, i dati relativi ai cyberattacchi? Come possiamo proteggere i nostri dati?

Seeweb da sempre è molto attenta alla gestione degli incidenti di sicurezza e negli anni il nostro Security Operations Center (SOC) ha sviluppato procedure e software per intervenire in modo tempestivo ed efficiente le migliaia di segnalazioni di incidenti che riceviamo ogni anno. Per esempio, dall’inizio del 2019 abbiamo gestito e segnalato ai nostri clienti oltre 650 siti compromessi per inviare spam o pubblicare pagine per phishing e altrettanti incidenti in cui le credenziali di posta di un cliente sono state rubate o indovinate e usate per inviare spam. Un altro problema che ultimamente è diventato molto comune (oltre 600 casi gestiti nel 2019) ma rimane poco compreso dai clienti è l’abuso da parte di spammer dei “moduli di contatto” dei loro siti, che li usano per inviare spam a terzi. Questi incidenti, oltre a causare una interruzione dei servizi, spesso causano problemi di reputazione ai propri siti o server: possono essere segnalati come pericolosi dai browser e dai motori di ricerca e le proprie email possono essere considerate spam anche per settimane.

Cosa consigli per difendere la sicurezza del proprio sito e salvaguardare il brand?

Usare password impossibili da indovinare e diverse per ciascun servizio online, e conservarle in un password manager e tenere aggiornati religiosamente il sistema operativo e i software applicativi sia dei propri server che dei propri computer personali.