Stato di internet / security - STATO DI INTERNET 2018 ANALISI DELL'ANNO - Akamai
←
→
Trascrizione del contenuto della pagina
Se il tuo browser non visualizza correttamente la pagina, ti preghiamo di leggere il contenuto della pagina quaggiù
Stato di internet / Analisi dell'anno
STATO D I I N T E R N E T 2 0 1 8
[stato di internet] / security
ANALISI DELL'ANNO
VOLUME 4, NUMERO 5
Stato di internet / Analisi dell'anno
SOMMARIO
LETTERA DALL'EDITOR 3
UFFICIO DEL CSO 4
12 MESI DI STORIE 8
Novembre 9
Dicembre 10
Gennaio 10
Febbraio 11
Marzo 12
Aprile 12
Maggio 13
Giugno 14
Luglio 14
Agosto 15
Settembre 15
Ottobre 16
PROSPETTIVE 17
2
Stato di internet / Analisi dell'anno
L E T T E R A DA L L ' E D I TO R
Un altro anno volge al termine. In questo numero del Rapporto sullo stato di Internet/
Security, abbiamo deciso di ripercorrere alcuni degli eventi ai quali abbiamo preso parte,
nonché la ricerca effettuata dal nostro team negli ultimi 12 mesi. Prenderemo in esame
anche alcune delle storie che hanno fatto da sfondo al settore della sicurezza quest'anno.
È facile dimenticare tutto quello che è successo.
Il Rapporto sullo stato di Internet/Security ha avuto una significativa evoluzione nell'arco
dello scorso anno, con l'obiettivo di diventare più interessante e coinvolgente. Il nostro
rapporto non parla più soltanto di attacchi DDoS e web, ma anche di DNS, di bot
e dell'intera gamma di argomenti relativi alla sicurezza, che solo Akamai riesce ad
approfondire. Abbiamo anche abbandonato la rigida cadenza trimestrale, con l'obiettivo
di pubblicare sei (o più) rapporti all'anno.
Una delle sfide più grandi affrontate è stata quella di raccontare storie anziché parlare di
statistiche. Il nostro obiettivo è fornire ai lettori il contesto e le implicazioni dei problemi
e delle sfide che si verificano. Continuiamo a pubblicare sul nostro blog le informazioni
che riguardano i tipi e le quantità di attacchi. I lettori ci hanno fatto capire che per quanto
i numeri globali siano importanti, sono i dettagli sui singoli attacchi a far comprendere
l'impatto sui singoli ambienti.
Abbiamo invitato il nostro Chief Security Officer (CSO), Andy Ellis, a scrivere un'analisi
sulle tendenze del settore della sicurezza e sul modo in cui potrebbero influenzarci nel
prossimo anno. Non si tratta necessariamente di "previsioni", ma di considerazioni di un
veterano nel settore della sicurezza, con oltre due decenni di esperienza. Una delle tante
cose che rendono diverso il nostro CSO è che guida le nostre attività legate alla sicurezza
da 15 anni, il che lo rende uno dei security executive con maggiore esperienza nel
settore. Ciò gli conferisce la panoramica storica e l'esperienza pratica necessarie a capire
da dove veniamo e in quale direzione potremmo andare in futuro.
Non c'è dubbio che il 2018 sia stato un anno interessante per i professionisti della
sicurezza di tutto il mondo e che il 2019 molto probabilmente velocizzerà i cambiamenti
già in corso. Cinque anni fa, il nostro settore lottava ancora per attirare l'attenzione delle
divisioni aziendali a cui forniamo supporto. Oggi, la sicurezza delle informazioni è un
argomento di conversazione importante in quasi tutte le organizzazioni. Ma non è stato
un cambiamento indolore. A volte, ha causato tanti problemi.
Analizzare la strada percorsa nell'ultimo anno è un passaggio essenziale per pianificare
l'anno seguente. Quali sono le lezioni apprese nel 2017 e nel 2018 di cui tenere conto in
futuro?
3
Stato di internet / Analisi dell'anno
Ufficio del CSO
plus ça change, plus c’est la même chose
- Jean-Baptiste Alphonse Karr
Se c'è una verità nel settore della sicurezza in Internet, è che ogni anno è caratterizzato dall’incremento
delle stesse tendenze. Nel 1998, durante l'operazione Desert Fox, gli avversari hanno usato un
attacco DoS distribuito, che sfruttava anche la vulnerabilità teardrop, per provare a danneggiare
le reti USCENTAF (all'epoca io ero tecnico addetto alla difesa, perciò mi ricordo l'entusiasmo
nell'identificare l'attacco, eseguire i test di una configurazione e distribuirla al di fuori dei sistemi di
sicurezza perimetrali). Tutto ciò non è strategicamente diverso da quanto si verifica nei centri operativi
per la sicurezza (SOC), siano essi di proprietà di Akamai o no: sono solo cambiate le dimensioni e
l'automazione.
Perciò, se guardiamo al 2019, è molto facile notare i modelli derivati dagli anni passati, suggerire che
continueranno e supporre che probabilmente continueranno ad evolversi quasi nello stesso modo in
cui hanno fatto finora.
4
Stato di internet / Analisi dell'anno
DDoS di forza bruta
Il DDoS è sempre un buon punto da cui iniziare, in gran parte perché le tendenze relative ai DDoS
sono estremamente stabili. Potrebbe essere molto semplice pensare agli attacchi lungo due assi
diversi: sfruttamento e larghezza di banda. La larghezza di banda è semplicemente la misurazione
del traffico che un avversario può generare in un determinato momento. Storicamente, abbiamo
visto crescere le dimensioni degli attacchi più grandi di circa il 9% a trimestre, vale a dire che sono
raddoppiate ogni due anni. Tuttavia, è interessante notare che non si tratta di una crescita costante.
Un nuovo picco viene raggiunto, insieme alla curva QoQ del 9%, ogni volta che un avversario scopre
un nuovo modo per creare una botnet o una riflessione, come nel caso degli attacchi Mirai o degli
attacchi di riflessione memcached.
Tra nuovi picchi, accadono due cose. Innanzitutto, le parti interessate, come amministratori di sistemi e
operatori ISP, intraprendono le azioni necessarie per ridurre il numero di sistemi da poter usare per un
attacco. In secondo luogo, gli avversari iniziano a lottare per il controllo di quelle risorse, pertanto le
botnet iniziano a frammentarsi, riducendo le dimensioni dei singoli attacchi.
Dal punto di vista dell'efficacia, ciò non è in effetti deleterio per l'autore dell'attacco. In genere, le
dimensioni degli stili di difesa DDoS non scalano in modo lineare. Gli attacchi più grandi avvengono
ai margini della rete, nei punti in cui sono attivi servizi come Kona Site Defender o Prolexic Routed di
Akamai. Le difese di medio livello sono ubicate al centro degli ISP e forniscono ai proprietari dei siti
servizi di comunicazione "puliti". Le difese più piccole, sulle soluzioni in loco, risiedono solo all'interno
dei data center di destinazione. Per un avversario la cui botnet non è sufficientemente grande per
colpire un sistema di difesa basato su edge, un attacco a qualcuno che usa solo difese basate sui data
center è comunque efficace, anche con un centesimo di tali dimensioni.
Dal momento che gli attacchi DDoS basati sulla larghezza di banda arrivano sotto diverse forme,
è interessante notare che le dimensioni massime degli attacchi sembrano essere ristrette a una curva
di crescita trimestrale del 9%. Interessante, ma non inspiegabile. Piuttosto che essere provocati da
un qualche limite naturale, la spiegazione più probabile è che la crescita sottostante di Internet possa
limitare la capacità di aggregazione delle botnet. La capacità di Internet attenua il danno totale
che può generare un attacco DDoS: quanto più lontano si trova un obiettivo dai componenti di una
rete, minore sarà il traffico che confluirà nei collegamenti congestionati tra l'obiettivo e la sorgente
dell'attacco.
Attacchi a livello di applicazione
Mentre la larghezza di banda è l'asse degli attacchi DDoS al quale la maggior parte delle persone
pensa, altrettanto critico è lo sfruttamento. Lo sfruttamento è semplicemente una misura dell'efficienza
dei singoli attacchi rispetto alla quantità di traffico generata. Più elevato è lo sfruttamento di un
attacco, più "danni" può provocare con la stessa quantità di traffico. In genere, un flood di larghezza
di banda dedicato ha uno sfruttamento molto basso, poiché l'autore dell'attacco, nel migliore dei casi,
sta semplicemente scambiando risorse con i difensori: ciascuna scheda di rete utilizzata in un attacco
annulla una scheda di rete nelle misure di difesa. Cosa peggiore (dal punto di vista dell'avversario),
5Stato di internet / Analisi dell'anno
è economico difendersi da molti flood di larghezza di banda, in quanto il filtraggio avviene a monte,
nei commodity router. Gli attacchi ad alto sfruttamento sono molto più interessanti e spesso, nella
tassonomia di difesa, vengono definiti attacchi "ridotti e lenti". L'attacco Slowloris ne è un esempio
perfetto: un avversario con una manciata di sistemi può abbattere in modo efficace enormi farm di
server sul web.
Dal punto di vista di un autore degli attacchi, gli attacchi ad alto sfruttamento sono straordinariamente
potenti, ma di solito non durano tanto quanto gli attacchi a elevato consumo di larghezza di banda.
Raramente gli attacchi ad alto sfruttamento sfruttano i difetti architettonici fondamentali; invece,
prendono di mira i difetti o le sviste a livello tecnico, laddove le risorse non vengono ben gestite. In
genere, si tratta di sviste correggibili. Tuttavia, come in ogni corsa agli armamenti, le nuove tecniche
via via scoperte vengono messe sul campo, funzionano per un po' e poi vengono abbandonate una
volta intraprese le misure correttive. Questo "abbandono" implica che piccole botnet continuano ad
utilizzare queste tecniche anche un decennio dopo l'applicazione ufficiale di patch, prendendo di mira
numerosissimi sistemi sottoposti a scarsa manutenzione.
Credential stuffing
Ma il DDoS non è l'unico strumento utilizzato dagli autori degli attacchi, anche se è quello che tutti
notano quando va a buon fine (come l'interruzione Dyn di qualche anno fa). Gli autori degli attacchi
desiderano accedere ai sistemi anche in modi diversi che non riguardano solo le interruzioni. Prendete
ad esempio gli attacchi di alto profilo più recenti, nel settore del controllo dell'account, che spesso
iniziano con il credential stuffing. Questo attacco si basa sul punto debole più grande del web: le
password. Gli utenti, di fronte alla sfida di dover gestire gli account su decine di siti web, spesso
riutilizzano la stessa password su più account.
Gli avversari mirano proprio a queste password riutilizzate. Iniziano col raccogliere i nomi utente e
le password note, spesso divulgate in occasione di violazioni dei dati. Il sistema violato in origine
non importa: che si tratti di un social network o di un retailer, sam.gamgee@shiremail.middleearth
(password: R0s!3Cotton) è ancora un buon set di credenziali note. Le credenziali di più siti vengono
spesso combinate in insiemi di dati più ampi, apertamente scambiati tra gli autori degli attacchi.
Questo database di credenziali viene trasferito su una botnet, dove varie macchine nella botnet
tenteranno di accedere tramite ognuna di queste credenziali. La maggior parte delle credenziali non
funziona e c'è da aspettarselo. Ma se un nome utente e una password funzionano? Ora, l'avversario
può attaccare direttamente l'obiettivo o, più probabilmente, aggiungere le credenziali a un elenco
di elementi da vendere ad un altro avversario. Alcune di queste botnet di credential stuffing tentano
di accedere molto rapidamente, creando un forte picco di tentativi di accesso non riusciti. Ciò fa sì
che un sito web possa identificare in modo relativamente semplice la botnet dell'autore dell'attacco
ed escluderla. Ma molti avversari programmano la propria botnet per effettuare scansioni "ridotte e
lente" senza essere individuati dai motori di rilevamento basati sulla velocità.
6Stato di internet / Analisi dell'anno
Il Gig Adversary
Uno sviluppo particolarmente interessante degli ultimi anni è la "vendita di credenziali valide a un altro
avversario". Storicamente, la gran parte dei gruppi antagonisti ha sempre agito secondo un'impegnativa
integrazione verticale, con attività che variavano dalla costruzione di botnet alla compromissione dei
sistemi. Per varie ragioni, il mercato degli avversari si è spostato sempre di più verso un approccio simile a
quello della "gig" economy. Molti avversari si specializzano in uno degli aspetti dell'ecosistema avversario
e "comprano" l'accesso ai dati di livello inferiore (come le violazioni dei dati) per poi, dopo un giro di
credential stuffing, poter vendere un elenco di account pronti ad essere violati. Anche se non si tratta di un
modello nuovo, l'aumento del suo utilizzo per la creazione di reti booter o per la convalida di credenziali
rubate, è indice di una crescente mercatizzazione del panorama degli avversari. E la mercatizzazione
tende a creare economie di scala ancora più grandi, mentre gli specialisti migliorano l'efficienza dei
propri componenti di mercato, per battere la concorrenza. Pertanto, dovremo aspettarci di vedere una
specializzazione e una monetizzazione maggiori.
Criptovalute e cambi
Nessuna di queste prospettive per il 2019 potrebbe essere completa senza prendere in considerazione
la blockchain (o meglio, le criptovalute). Sebbene la blockchain non si sia fatta ancora molta strada
tra le criptovalute, il valore crescente delle criptovalute ha portato con sé anche degli avversari.
Mentre alcuni avversari mirano alto, attaccando le criptovalute o perpetrando il 51% degli attacchi,
altri puntano più in basso. L'aumento del cryptojacking, ossia l'inserimento di software di generazione
di criptovalute basato su adware, è un esempio di avversari che mirano alla fascia più bassa del
continuum. Acquistando direttamente le pubblicità, inserendole tramite adware o immettendole su
connessioni HTTP non protette, gli autori degli attacchi possono monetizzare a loro favore la vostra
capacità di elaborazione. Ma farlo su larga scala diventa ancora più conveniente.
In un certo senso, questo è stato il passo successivo più logico, ossia passare dai cryptominer a lungo
termine eseguiti su server compromessi a un'economia di attacchi gig.
Protezione futura
Queste tecniche di attacco e la miriade di tecniche che ho saltato per ragioni di brevità [non ci sei
riuscito. --Ed.] continueranno a diffondersi, evolvendosi in più attacchi simili tra loro a una prima
occhiata. Per molti versi, questa è una buona cosa. Dei solidi programmi di sicurezza e protezione
potrebbero prendere in considerazione cambiamenti rivoluzionari nel campo della sicurezza, come il
passaggio a un sistema di sicurezza Zero Trust. Altri potrebbero prendere in considerazione piccole
modifiche evolutive, come una maggiore attenzione alla gestione dei bot. Ma le filosofie di sicurezza
di base rivelatesi efficaci nel passato fungeranno da ottime guide nel 2019 e oltre. E le filosofie che
non hanno avuto ancora successo? Probabilmente, continueranno a non funzionare.
7Stato di internet / Analisi dell'anno
12 mesi di storie
Prendere in considerazione le notizie e le ricerche effettuate
in un anno intero non è mai un compito facile. La scelta degli
argomenti importanti e d'impatto dipende notevolmente dal punto
di vista della persona che effettua la valutazione. I nostri sforzi si
concentrano principalmente sulle storie raccontate presso Akamai,
ma vorremmo considerare anche alcune storie che vi possono
essere sfuggite o avete dimenticato. Guardando indietro, ci sono
stati straordinari cambiamenti dallo scorso novembre. Ci sono poi
state alcune storie che in teoria potevano accadere in un qualsiasi
anno dell'ultimo decennio.
8 8Stato di internet / Analisi dell'anno
Novembre A novembre 2017, Akamai ha aggiunto una nuova organizzazione alla sua azienda, Nominum. In
qualità di organizzazione specializzata nella protezione degli utenti a livello aziendale e carrier-grade,
Nominum ha seguito un approccio diverso alla sicurezza rispetto agli strumenti attualmente utilizzati
da Akamai. Anziché bloccare gli attacchi alla base, Nominum esamina le richieste DNS e blocca il
traffico verso le strutture CnC (Command and Control) della botnet, oscurando i domini utilizzati.
Il team degli analisti di dati presso Nominum non era estraneo alla ricerca e pochi giorni dopo essersi
unito ad Akamai ha pubblicato il proprio rapporto sulla sicurezza della divulgazione dei dati Nominum
Data Science. Il rapporto si basa soprattutto sulla ricerca che il team sta conducendo per fornire
protezione ai clienti ed esamina più aspetti dell'utilizzo del DNS per il phishing, le botnet e i malware.
Quasi nello stesso momento in cui il team Nominum stava pubblicando il proprio rapporto, abbiamo
pubblicato il Rapporto sullo stato di Internet Q3 2017 / Security. In questo rapporto, abbiamo preso
in esame la botnet WireX e le iniziative congiunte intraprese da almeno sei aziende di sicurezza,
compresa Akamai. Questa botnet ha evidenziato il motivo per il quale la cooperazione tra aziende
è così importante per l'integrità di Internet. Abbiamo anche rispecchiato la ricerca di Nominum
discutendo delle botnet Fast Flux, che utilizzano le informazioni sul DNS in rapida evoluzione per
eludere i difensori.
Paesi di origine degli attacchi alle applicazioni web
in tutto il mondo, Q3 2017
< 100.000
100.000 - 1 mln
1 mln - 5 mln
5 mln - 10 mln
10 mln - 25 mln
> 25 mln
ND
In un'altra ricerca, Google ha pubblicato uno studio che stima che ci siano stati oltre 1,9 miliardi di
nomi utente a disposizione del mercato nero. Se non altro, le stime di Google possono essere state
prudenti e sono state foriere di eventi futuri. L'Open Web Application Security Project (OWASP)
ha pubblicato il suo elenco annuale delle più gravi 10 carenze di sicurezza delle applicazioni, che
praticamente è rimasto in gran parte uguale. Sebbene non sia una ricerca, un'altra storia importante di
novembre è stata la pubblicazione delle linee guida della Casa Bianca sulla divulgazione delle carenze
delle applicazioni. La discussione relativa alle modalità con le quali i governi dovrebbero gestire le
vulnerabilità software rilevate è tutt'altro che chiusa, ma queste regole offrono una base dalla quale
partire.
9Stato di internet / Analisi dell'anno
Dicembre La chiusura dell'anno non ha portato tregua nel campo della sicurezza. Anzi, se la vostra
organizzazione opera direttamente o indirettamente nel settore retail, dicembre è uno dei mesi più
stressanti dell'anno, in quanto spesso gli attacchi aumentano per trarre vantaggio dal sovraccarico
dei sistemi e del personale. Tuttavia, esistono prove del fatto che persino i cattivi prendono qualche
giorno di vacanza da Internet a Natale. Detto questo, il nostro team di ricerca non ha riposato a lungo
e ha pubblicato un articolo sul blog, relativo agli algoritmi di generazione dei domini solo pochi giorni
prima dell'inizio del nuovo anno.
Non tutte le ricerche e le pubblicazioni generate da Akamai scaturiscono da progetti interni. Ci dedichiamo
regolarmente a ricerche e a rispondere alle minacce rilevate da ricercatori esterni. A dicembre, è riemersa
una vulnerabilità vecchia di quasi vent'anni, chiamata ROBOT o il Ritorno della minaccia Oracle di
Bleichenbacher. Comprendere la natura di potenziali vulnerabilità come ROBOT e del modo in cui
influenzano i nostri clienti è una delle responsabilità più grandi del team di sicurezza di Akamai.
Un'altra area di responsabilità per il nostro team è l'interazione con i nostri clienti e con le forze
dell'ordine. Se necessario, condividiamo i dati con organizzazioni che favoriscono il rintracciamento
e l'arresto dei criminali. L'FBI ha reso pubblico l'arresto delle persone coinvolte nella botnet Mirai a
dicembre. Akamai è stata la prima grande azienda presa di mira da Mirai. Si tratta di un altro incidente
che mette in evidenza la necessità di cooperazione tra le aziende, persino tra quelle concorrenti.
In tutto il mondo, l'impegno dimostrato dal collettivo degli Anonymous è stato dimostrato dagli eventi
annuali battezzati OpUSA e OpIsrael. Ogni anno, questa "protesta" viene annunciata con un certo
clamore e pubblicizzata come ritorsione contro gli Stati Uniti e Israele. Vengono effettuati attacchi
DDoS e web defacing di varia efficacia, ma spesso l'annuncio stesso è ciò che fa più notizia.
Dopo che la ricerca di Google ha rivelato l'esistenza di 1,9 miliardi di credenziali a novembre, non
dovrebbe essere una sorpresa il fatto che i ricercatori della società di sicurezza 4iQ abbiano trovato un
deposito di 1,4 miliardi di credenziali in un unico file, messo a disposizione nelle zone buie di Internet.
Le prove suggeriscono che la maggior parte degli account sia stata ricavata da violazioni già note,
ma, da dopo l'accaduto, questo file è stato utilizzato sia da ricercatori che da criminali per affinare le
proprie tecniche.
2018 Sarebbe difficile trovare un inizio anno più esplosivo della rivelazione delle due vulnerabilità Meltdown
e Spectre, il 3 gennaio. Tutte le CPU moderne sono state interessate da questi bug nella funzione
Gennaio di "esecuzione speculativa" dei chip moderni e i sistemi Akamai non hanno fatto eccezione. Poiché
queste vulnerabilità influenzano il funzionamento di base dei chip moderni, molto del tempo di
quest'anno è stato impiegato per gestirne le conseguenze. Sono stati scoperti dei nuovi modi per
trarre vantaggio da questa funzione solo pochi mesi dalla sua iniziale scoperta, sebbene ad ora non sia
stato rilevato un utilizzo molto diffuso.
I post sul blog non sono l'unico modo per diffondere le nostre conoscenze nel mondo. Molti dei
nostri ricercatori hanno presenziato alla Botconf di Montpellier, in Francia. Non è inusuale che uno o
più dipendenti Akamai abbiano effettuato presentazioni in eventi come l'RSA, il Black Hat, il Defcon,
a eventi locali come il Derbycon o più specializzati come il Botconf. In qualità di organizzazione,
abbiamo sempre sostenuto queste presentazioni come un contributo fondamentale per il settore della
sicurezza.
10Stato di internet / Analisi dell'anno
Anche se gli autori degli attacchi avessero preso qualche giorno di vacanza per Natale, le settimane
immediatamente precedenti sono state frenetiche tanto per gli autori degli attacchi quanto per i
difensori. In "Phishing in vacanza" (in inglese), il nostro team Enterprise Threat Protector ha dimostrato
come grazie alle violazioni dei domini sia possibile carpire la fiducia degli utenti. Pensateci due volte
prima di fare clic su un link che promette la possibilità di vincere cellulari o console di gioco.
Non sorprende quasi nessuno che al centro delle notizie sulla sicurezza di gennaio ci siano stati
Meltdown e Spectre. Le vulnerabilità più gravi in ampie sezioni di Internet sembrano verificarsi con una
frequenza ogni anno sempre maggiore. La buona notizia è che la capacità del settore di rispondere a
tali eventi sembra essere in continua maturazione.
Febbraio Abbiamo rilasciato la nostra prima grande pubblicazione dell'anno: il rapporto sullo stato di Internet -
Q4 2017. Questa edizione del rapporto ha visto la partecipazione dell'ospite speciale Christina
Kubecka, CEO di HypaSec, che ha parlato della sua ricerca sui server ancora vulnerabili ai DNS.
Il numero di server vulnerabili all'epoca era molto più alto di quanto dovesse esserlo e lo è ancora
adesso.
La botnet Mirai è stata (ed è) un problema per Akamai e il rapporto ha riguardato molti aspetti diversi
della botnet e della sua evoluzione. Abbiamo anche dato seguito alle notizie sull'arresto di dicembre
con un articolo che parlava dell'importanza della cooperazione nella community per la lotta ai malware
come Mirai.
Abbiamo anche sottolineato i due sforzi compiuti dai nostri ricercatori. Il primo è stato quello di
osservare il modo in cui Akamai pianifica la connettività su larga scala, mentre il secondo ha preso
in esame un paio di vulnerabilità venute alla luce alla fine del 2017, parlando anche del perché
fosse necessario tenerle d'occhio. Attingendo dalla ricerca effettuata in questo rapporto e in quello
precedente, abbiamo pubblicato uno dei primi articoli Syn City, "Il Borg mi ha mangiato i dati di
accesso" (in inglese). Ogni tanto, fa bene divertirsi un po' con i titoli.
Sebbene non sia un tipo di attacco denial of service tradizionale al quale penseremmo noi di
Akamai, una vulnerabilità di WordPress ha aperto una potenziale superficie di attacco DoS a livello
di applicazione nei sistemi privi di patch. Sebbene non abbia un impatto diretto su Akamai, quando
individuiamo una vulnerabilità generale in un'applicazione che possiamo contribuire a sconfiggere,
riteniamo sia nostro dovere comunicarlo al pubblico.
Come se i problemi iniziali relativi alle vulnerabilità Meltdown e Spectre non fossero stati abbastanza
negativi, abbiamo visto proliferare una serie di metodi di sfruttamento alternativi nel corso dell'anno.
Le vulnerabilità Meltdown/Spectre sono state ulteriormente complicate poiché le modifiche apportate
a livello del sistema operativo non si sono rivelate completamente efficaci rispetto a un problema
riguardante l'architettura.
La fine di febbraio ha segnato un evento molto importante per Internet. Il team SIRT (Security
Intelligence and Research Team) di Akamai e altri team simili di altre organizzazioni hanno iniziato a
notare e ad approfondire il discorso su un nuovo vettore DDoS di riflessione utilizzato negli attacchi.
È stato scoperto che un servizio Unix con vulnerabilità note, memcached, è stato reso vulnerabile
su Internet grazie a modifiche apportate alle configurazioni predefinite di molte distribuzioni Linux.
Questa ricerca ha concesso ad Akamai e ad altri qualche giorno di preavviso prima del verificarsi del
più grande attacco DDoS mai visto su Internet.
11Stato di internet / Analisi dell'anno
L'ultimo giorno di febbraio è stato decisamente stimolante: un attacco da 1,3 Tbps ha colpito un
cliente Akamai. Gli attacchi di avvertimento precedenti, verificatisi nello stesso mese, erano stati
soltanto delle prove dei memcached come riflettore. Quando poi è stato sferrato l'attacco più grande,
è divenuto subito quello con il massimo picco di traffico mai visto su Internet: un record ancora
imbattuto. Grazie alla prontezza degli amministratori di rete di tutto il mondo, i server memcached
sono stati rapidamente esclusi dal bacino dei potenziali riflettori. Ma, allo stesso tempo, i proprietari
delle botnet hanno colto questo nuovo vettore e, mentre sempre più autori di attacchi utilizzavano
memcached, diminuiva l'entità raggiungibile da parte di un singolo attacco.
ALL BORDER Bit al secondo
1.500 G
1.000 G
Bit al secondo
5.00 G
0G
17,26 17,27 17,28 17,29 17,30 17,31 17,32 17,33 17,34 17,35
Bit in entrata Bit in uscita Bit mitigati
Marzo Ma questo non vuol dire che, improvvisamente, il memcached non sia più una minaccia. Le modalità
di utilizzo di questo riflettore si sono evolute rapidamente, con autori di attacchi proprietari di un
indirizzo di portafoglio Monero nel proprio traffico di attacchi, al quale le vittime devono inviare
denaro se vogliono far cessare gli attacchi. Al contempo, i difensori hanno iniziato a parlare di
un "interruttore di emergenza" nel memcached, che potesse consentire loro di svuotare la cache
utilizzata per alimentare gli attacchi. Il problema per le organizzazioni era che lo strumento è finito
con l'essere già di per sé un attacco, senza mai essere utilizzato come valido mezzo di difesa.
Il credential stuffing, ossia l'uso di strumenti automatizzati per effettuare tentativi di accesso multipli
ai siti target, è diventato un problema sempre più diffuso. Dunque, i nostri ricercatori hanno preso
in considerazione uno degli strumenti più famosi, SNIPR. Il fatto che gli strumenti di controllo degli
account, come SNIPR, siano relativamente potenti e semplici da usare è probabilmente il motivo per
il quale questo problema non verrà risolto tanto presto.
Aprile La RSA Conference ad aprile di quest'anno è stato un piacevole cambio di ritmo. L'RSA è l'evento
al quale le aziende devono partecipare per presentarsi ai clienti, ai partner e alla concorrenza. Per
via della sua importanza, molte aziende considerano questa conferenza una pietra miliare nel loro
calendario sulla sicurezza.
Abbiamo pubblicato il Rapporto sullo stato di Internet - Security relativo alle informazioni del gestore
(primavera 2018) durante la settimana dell'RSA. Questo rapporto si è aperto con l'ospite Megan
Stifel, CEO, consulente di Silicon Harbor, che ha esaminato l'importanza della collaborazione e della
condivisione dei dati, sottolineando, ancora una volta, uno dei nostri temi per il 2018. Il rapporto ha
previsto anche una ricerca approfondita sulle vulnerabilità del protocollo WPAD (Web Proxy Auto-
Discovery), sui domini Zero-Day e sull'evoluzione di diverse botnet.
12Stato di internet / Analisi dell'anno
Cronologia eventi importanti Mirai
30.09.2016 31.10.2016 18.01.2017
18.09.2016 Rilascio del codice L'attacco a Liberia Autore Mirai
Attacchi sorgente Mirai Lonestar ha inizio identificato
verso OVH
01.08.2016 21.09.2016 21.10.2016 26.11.2016 23.02.2017
Superfici Mirai Picco degli attacchi Attacchi Dyn Exploit CWMP Arresto dell'autore
Krebs on Security Deutch Telekom dell'attacco
Deutch Telekom
ATTACCHI PIÙ IMPORTANTI NUOVI EXPLOIT ALTRI EVENTI
In una serie di articoli sul blog intitolati "il lato oscuro delle API" (1, 2), un nostro ricercatore ha iniziato
ad attirare l'attenzione sul fatto che le organizzazioni sanno molto poco riguardo al traffico che attraversa
le interfacce utilizzate per l'interazione tra i vari computer. Considerando che il traffico API ora costituisce
più del 25% di tutto il traffico web riscontrato da Akamai, riteniamo che anche questa sia una questione
che dovrebbe riguardare le organizzazioni.
Sebbene il protocollo Universal Plug and Play (UPnP) non fosse un vettore DDoS nuovo per nessuna
metrica, un aumento nel suo utilizzo ha portato i nostri ricercatori a pubblicare un white paper.
Analogamente ai problemi che hanno provocato le questioni memcached, l'UPNP è un protocollo
che non sarebbe mai dovuto essere diffuso su Internet, cosa che purtroppo accade di frequente.
Abbiamo concluso aprile con altre riflessioni sugli attacchi memcached. In quanto riflettore, il servizio
memcached ha mostrato il fattore di amplificazione più grande mai visto. Poiché gli autori degli
attacchi possono mettere tutto quello che vogliono nella cache, in teoria possono aumentare il traffico
500.000 volte. Ecco perché speriamo di non vedere altri vettori come questo.
Una nota positiva è stato l'annuncio fatto da Europol sullo sforzo congiunto tra più paesi, per arrestare
le persone responsabili del sito WebStresser, anch'esso ad aprile. Apparentemente impegnato
nell'eseguire test sotto sforzo sui siti dei clienti, in realtà si trattava del sito di "DDoS-for-hire" più
grande di Internet. In cambio di qualche dollaro, i clienti potevano puntare le botnet del sito contro
qualsiasi bersaglio, il che spesso accadeva. Sebbene la chiusura del sito non abbia ridotto di molto il
numero di attacchi rilevati da Akamai, di certo ha inviato un messaggio ai siti che offrono servizi simili.
Maggio I fiori della primavera sono belli, ma la nuova ricerca potrebbe essere ancora meglio ed è per questo
che abbiamo iniziato il mese con un lungo post di ricerca sui domain reputation system. È seguito
un white paper che riguardava diverse minacce di phishing viste di recente. Sembra che i messaggi
positivi, ossia quelli che offrono entusiasmo o speranze al lettore, siano più popolari e più efficaci nei
tentativi di phishing.
Nel mese di maggio è ricorso anche il primo anniversario degli attacchi ransomware WannaCry. Ve li
ricordate, vero? Un membro del nostro team ha dato uno sguardo al problema principale che ha reso
possibile WannaCry: il debito di sicurezza. Sfortunatamente, non si tratta di un problema per il quale
abbiamo fatto tanti progressi a livello di settore.
13Stato di internet / Analisi dell'anno
Giugno Il rapporto sullo stato di Internet/sicurezza per l'estate 2018 ha rappresentato un'evoluzione significativa
nella generazione dei nostri rapporti. I dati basati su statistiche, il fulcro del rapporto, sono finiti in due
diversi articoli sul blog, Numeri degli attacchi DDoS e Attacchi alle applicazioni web, ma anche in un
articolo di ricerca sugli attacchi memcached. Le informazioni contenute in questi articoli sono importanti
per molti dei nostri lettori e riteniamo di raggiungere un'audience maggiore tramite il blog.
Il rapporto stesso era incentrato su due attacchi DDoS interessanti, oltre agli attacchi botnet nei settori
alberghiero e dei viaggi. Abbiamo attinto dalla ricerca sugli attacchi botnet, per proporre delle teorie
sui probabili attacchi in occasione della Coppa del Mondo. È importante notare anche che questo
problema segnalato dal rapporto ha rappresentato la modifica visiva più grande mai fatta nel rapporto.
Come già detto, le attività del collettivo Anonymous sono un problema ricorrente e quando è stata
annunciata l'Operazione Icarus, abbiamo pensato fosse il caso di analizzarla e avvisare i lettori del suo
potenziale. Fortunatamente, l'operazione non è stata così grave, ma si tratta del tipo di lavoro che i
nostri ricercatori svolgono con regolarità.
A giugno, ci sono state conseguenze inaspettate in merito al GDPR, delle quali si è cominciato
a parlare ampiamente. Al fine di rispettare le linee guida europee, molte organizzazioni hanno
cominciato a setacciare il database WHOIS per evitare potenziali violazioni, il che significa che
ricercatori e forze dell'ordine non possono più fare affidamento su tali dati. Il governo federale degli
Stati Uniti ha pubblicato anche un rapporto del presidente in merito alle botnet. Il titolo completo è
molto più lungo, ma questo rapporto mette in evidenza l'importanza del problema delle botnet.
Luglio La seconda metà dell'anno è iniziata col prendere in considerazione uno strumento detto
DrupalGangster. Ciò fa emergere un tema comune: il riutilizzo e l'evoluzione degli strumenti per
trarre vantaggio dalle nuove vulnerabilità man mano che vengono rilevate. Perché creare un nuovo
strumento quando si può modificarne uno già disponibile?
Sebbene non sia una storia sulla sicurezza, siamo fieri di vedere Akamai a sostegno di Girls Who Code
per il quarto anno consecutivo. Se non conoscete il progetto, il suo obiettivo è quello di offrire alle
giovani donne dell'ultimo anno di liceo la possibilità di imparare a scrivere il codice.
Approfittare il più possibile dei nostri dati è un lavoro a tempo pieno. Quest'estate, abbiamo affidato
alla stagista del team il compito di rinnovare l'aspetto dei dati relativi agli attacchi alle applicazioni
web. Ne è uscito un ottimo lavoro. Nei primi tre articoli sul blog, sono stati normalizzati i dati sugli
attacchi contro la popolazione e la connettività. Abbiamo così ripensato il modo in cui rappresentiamo
alcuni dei nostri dati.
In "Il router di tutti i mali" (in inglese) abbiamo preso in esame il malware VPNFilter proveniente
dalla Russia. Sebbene alcune persone non pensino tecnicamente ai router di casa come a dispositivi
IoT (Internet of Things), potrebbero sbagliarsi. Non siamo l'unica organizzazione che si preoccupa di
queste cose, illustrate in un articolo su come vengono usati i dispositivi IoT negli attacchi DDoS.
14Stato di internet / Analisi dell'anno
Agosto L'altra pietra miliare nell'agenda del nostro settore è il triumvirato tra Black Hat, Defcon e BSides.
La partecipazione al Security Summer Camp (come lo chiamano in molti), durante la bollente estate
di Las Vegas, è una delle aspirazioni condivise da hacker, ricercatori e professionisti della sicurezza.
Mentre molti dei nostri colleghi si trovavano a Las Vegas, in sede si è verificato un problema molto
più grande. Un ricercatore aveva rivelato un paio di vulnerabilità nell'UDP e nel TCP, potenzialmente
sfruttabili per sferrare un attacco volto all'esaurimento delle risorse sulle piattaforme più moderne.
La vulnerabilità dell'UDP è stata risolta il 6 agosto, mentre la sua gemella TCP è stata risolta il
14 agosto. La comunicazione tra il ricercatore, l'NCSC finlandese e molte altre organizzazioni ha
reso possibile la disponibilità di patch in modo molto tempestivo.
Il progetto della nostra stagista estiva iniziato a luglio è culminato con la pubblicazione di altri due
articoli ad agosto. Il primo, scherzosamente intitolato Spaghetti di dati (in inglese), prende in esame
alcune delle modalità con le quali gli scienziati manipolano i dati per scoprire cosa possano rivelare.
L'articolo finale della serie, Diversità e densità degli attacchi alle applicazioni web, tratta dei punti più
interessanti emersi dai dati. In futuro, vedrete altre di queste mappe.
A differenza delle vulnerabilità dell'UDP/TCP precedenti di questo mese, la vulnerabilità Apache Struts
scoperta il 23 agosto non ha riguardato direttamente Akamai, ma ha comunque avuto un impatto
su alcuni dei suoi clienti. Una parte del nostro lavoro è quella di comunicare l'impatto di problemi di
questo tipo ed è per questo che abbiamo dato seguito alla cosa con ulteriori dati sulla rapidità con la
quale si sono verificati picchi nei modelli degli attacchi. Un indizio: non ci è voluto molto.
Il mese si è concluso con un altro articolo sul blog, parte della nostra serie "Il lato oscuro delle API",
che si è focalizzato sugli effetti di un attacco DDoS sulle API del vostro sito.
Settembre Se lavorate per un'organizzazione globale, è importante ricordare che solo perché è estate nella
vostra metà di mondo, non significa che sia estate ovunque. A noi è stata ricordata questa cosa ed è
per questo che abbiamo apportato un'altra piccola modifica ai rapporti, iniziando a denominarli per
numero di uscita. Il numero 4 del rapporto si è concentrato sul credential stuffing, nello specifico su
due diversi attacchi ai danni di organizzazioni di servizi finanziari che si avvalgono della protezione di
Akamai. Sin dalla pubblicazione del rapporto, abbiamo sentito da molti dei nostri colleghi che Akamai
non è l'unica organizzazione ad aver notato l'aumento di questo tipo di attacchi.
400.000
291.101 richieste di accesso dannose all'ora
300.000
Bot Manager abilitati
Traffico normale: 105.975 tentativi di accesso legittimi all'ora
200.000
100.000
0
15Stato di internet / Analisi dell'anno
Nella nostra ricerca continua, abbiamo fatto emergere un'altra botnet in continua evoluzione. La botnet
Tsunami/Kaiten, una "cugina" di Mirai, è stata attivamente sviluppata prendendo le mosse da altre
botnet IoT. Ciò continuerà a verificarsi finché la sicurezza di tutti i dispositivi IoT non diventerà una
priorità dei produttori.
Immaginate per un momento cosa succederebbe se le basi dell'attendibilità di Internet cedessero
Ottobre
in qualche modo. Si tratta di un vero problema e uno dei metodi per evitare questo danno sarebbe
cambiare le chiavi che tengono tutto al sicuro. ICANN si occupa della chiave di firma principale (KSK,
Key Signing Key) del root per Internet e ha annunciato che avrebbe finalmente sostituito le chiavi
dell'intera infrastruttura DNSSEC. Per quanto potenziale causa di disastro, la modifica della chiave non
ha di fatto suscitato molto clamore. Per fortuna.
Cosa fanno i ricercatori della sicurezza per divertirsi? Partecipano agli esercizi Capture The Flag, come
quello proposto da HackerOne. Se non avete mai partecipato a uno di questi eventi, sono occasioni
in cui potrete farvi un'idea di ciò che succede quando si annientano vulnerabilità di questo tipo. Se
siete hacker (nel senso buono del termine) che fanno questo stesso tipo di lavoro per divertimento,
vi piaceranno alcune delle mosse necessarie a completare questo CTF.
Per chi non ha familiarità con le intestazioni di risposte di sicurezza, i nostri ricercatori hanno scritto un
articolo su come e perché questa intestazione HTTP dovrebbe essere parte integrante del vostro set di
strumenti per la sicurezza. Ancora meglio, questo è il primo di una serie di articoli che si basa sull'uso
di queste intestazioni per migliorare la sicurezza del vostro sito.
Un altro esempio di "cosa fanno i ricercatori per divertirsi" viene fatto nell'articolo sul blog "Presa in
esame di un kit di phishing denominato Luis" (in inglese). Il nostro ricercatore è stato indirizzato a un
archivio per un kit di phishing e l'ha scomposto per vedere cosa sarebbe emerso.
Lo stesso ricercatore si è poi annoiato e ha scoperto una vulnerabilità in un progetto, denominata
jQuery file upload. È emerso che quando vengono effettuate modifiche al software sottostante al
progetto, Apache in questo caso, tutti i presupposti fatti riguardo la messa in sicurezza del vostro
progetto possono essere messi da parte. Non appena è stata scoperta questa vulnerabilità, avevamo
presupposto non si trattasse di una cosa molto grave. Ma, dopo un ulteriore approfondimento su
jQuery, abbiamo scoperto che si trattava di un problema molto più grande di quanto pensassimo
all'inizio, il che probabilmente non dovrebbe sorprendere se si pensa al fatto che il progetto aveva
avuto oltre 7.800 biforcazioni diverse.
A volte, è interessante vedere come gli stessi prodotti che produciamo nella nostra azienda possano
ostacolare i nostri sforzi di ricerca. È emerso che i prodotti per la gestione dei bot interferiscono con la
ricerca condotta dai ricercatori della sicurezza. A volte, gli strumenti sono un'arma a doppio taglio, nel
senso che arrestano gli autori degli attacchi, ma ostacolano anche gli sforzi dei difensori.
16Stato di internet / Analisi dell'anno
Prospettive
più le cose cambiano, più restano uguali
- cit. di un francese
La sicurezza è un campo in continua evoluzione, sia che si parli di attacchi alle nostre reti, degli
strumenti utilizzati per difenderle o delle informazioni che raccogliamo per arrestare gli attacchi e
migliorare la difesa. Una delle cose che si imparano dopo molto tempo che si lavora in questo settore
è che il tasso di evoluzione è in continuo aumento. È probabilmente questo uno dei fattori che attirano
molti professionisti in questo campo.
Quando abbiamo pubblicato il Rapporto sullo stato di Internet/Security a novembre del 2017,
ci siamo soffermati su due aspetti dell'attività di Akamai: attacchi DDoS e alle applicazioni web.
Sin dagli esordi, questi sono stati i punti fondamentali del rapporto. Tuttavia, quando ad Akamai si
è aggiunto il team Nominum, con il suo rapporto e i suoi set di dati, è stato palese che potevamo
tralasciare questi argomenti per esplorare il più ampio mondo dei dati di Akamai.
Abbiamo raccolto i commenti dei lettori, passando da rapporti basati sulle statistiche a rapporti più
incentrati sulle storie raccontateci. Sebbene i dati statistici sulla quantità di attacchi rilevata e su quali
siano i protocolli più famosi siano importanti, abbiamo anche ascoltato le vostre richieste, per creare
rapporti su attacchi, regioni e settori più specifici. Stiamo ancora pubblicando le analisi statistiche in
forma di articoli sul blog, ma i rapporti futuri si concentreranno di più su eventi specifici anziché sui
trend globali. A meno che non si verifichino eventi interessanti e degni di nota a livello globale.
Il nostro obiettivo del 2019 è quello di continuare a parlare dei trend specifici del settore.
Pubblicheremo nuove informazioni in merito ad attacchi DDoS e alle applicazioni web a gennaio,
seguite poi, a febbraio, da un rapporto relativo ai diversi aspetti del traffico DNS che Akamai sta
analizzando. I bot dannosi, le botnet e l'abuso di credenziali continueranno a occupare un grande
spazio nei nostri rapporti all'inizio dell'anno. Il modello zero trust e tutto ciò che esso rappresenta sono
un'altra grande parte della nostra ricerca per il 2019.
La sicurezza è un campo in costante evoluzione e ogni anno riserva nuove sorprese. L'impatto delle
vulnerabilità memcached e Meltdown/Spectre è stato enorme nel 2018. Nonostante le previsioni fatte,
è palese che, allo scadere di quest'anno, nessuno sappia ancora cosa ci riserverà il 2019; è per questo
che Akamai continuerà a rivoluzionare la sua ricerca e ciò che offre ai suoi clienti nel suo rapporto sullo
stato di Internet/Security.
17Stato di internet / Analisi dell'anno
Ricercatori Ufficio del CSO
Tim April: Principal Architect Andy Ellis, Chief Security Officer
Jared Mauch: Senior Network Architect
Chad Seaman: Senior II, SIRT Engineer Responsabili editoriali
Larry Cashdollar: Senior II, SIRT Engineer Martin McKeay, Editorial Director, Senior Editor, Writer
Alexey Sarychev: Principal Software Engineer Amanda Fakhreddine, Sr. Technical Writer, Editor
Or Katz: Principal Lead Security Researcher
Ryan Barnett: Principal Security Researcher Team creativo
Elad Shuster: Senior Lead Security Researcher Georgina Morales Hampe e Kylee McRae, Project
Management
Daniel Abeles: Senior Security Researcher
Kaan Onarlioglu: Senior Security Researcher
Mike Kun: Information Security Manager, Security Sales
Meyer Potashman: Technical Program Manager II
Lydia LaSeur: SIRT Intern/ Data Scientist
Informazioni su Akamai
Akamai protegge e distribuisce experience digitali per le più grandi aziende a livello mondiale. L'Intelligent Edge Platform
di Akamai permea ogni ambito, dalle aziende al cloud, permettendo ai clienti e alle loro aziende di lavorare con rapidità,
efficacia e sicurezza. I migliori brand a livello globale si affidano ad Akamai per ottenere un vantaggio competitivo grazie a
soluzioni agili in grado di estendere la potenza delle loro architetture multicloud. Più di ogni altra azienda, Akamai avvicina
agli utenti app, experience e processi decisionali, tenendo lontani attacchi e minacce. Il portfolio Akamai di soluzioni per la
edge security, le web e mobile performance, l'accesso aziendale e la delivery di contenuti video è affiancato da un servizio
clienti di assoluta qualità, da analisi esclusive e da un monitoraggio 24/7/365. Per scoprire perché i principali brand del mondo
si affidano ad Akamai, visitate il sito https://www.akamai.com/it/it/, https://blogs.akamai.com/it/, o seguite @AkamaiItalia su
Twitter. Le informazioni di contatto internazionali sono disponibili all'indirizzo www.akamai.com/it/it/locations o contattando
telefonicamente il numero 877-425-2624. Data di pubblicazione: 12/18.
Domande? Inviate un messaggio e-mail a research@akamai.com
18Puoi anche leggere
