venerdì 7 agosto 2009

DDoS - Distributed Denial of Service

Da giovedì in rete non si parla d'altro che del "disservizio" sofferto da Twitter, il popolare servizio di "Social Networking" e messaggeria istantanea. Gli utenti di Twitter si sono trovati improvvisamente privi del servizio che tanto preferiscono.

Tecnicamente, si è trattato di un DDoS (Distributed Denial of Servce), ovvero del tentativo (riuscito) di "offuscare" un servizio in rete, messo in atto col coinvolgimento di molte centinaia (c'è chi dice migliaia) di postazioni i cui utenti probabilmente erano del tutto ignari.

Per poter portare a termine un DDoS, l'attaccante deve avere a disposizione una Botnet, ossia una rete di computer "schiavi" (detti "zombie") che possano essere attivati remotamente, via Internet,  a comando. Ecco perché non si sottolinea mai abbastanza l'importanza di installare e tenere sempre aggiornato l'antivirus e ogni altra protezione del computer aziendale o di casa.

Poco importa se dietro a questi attacchi ci sia un'azione di spionaggio industriale, concorrenza sleale, un tentativo di impadronirsi dei dati delle carte di credito, un'azione politica di servizi segreti o terroristica, oppure uno o più mitomani psicopatici. Anzi, come ben evidenzia l'articolo di Wired, quest'ultima categoria è forse la più pericolosa, dal punto di vista della Sicurezza, in quanto scarsamente prevedibile a priori.

Che cosa si può fare, dal punto di vista della Sicurezza, per evitare che i nefasti effetti di un DDoS si abbattano sui nostri beneamati Server Aziendali, sul costosissimo Portale, sulla irrinunciabile WebMail? La risposta non può essere contenuta in una sola parola, ma deve essere fondata sui metodi e sui mezzi di prevenzione, sulla costante attenzione verso la sicurezza delle reti interne e delle infrastrutture di comunicazione verso Internet. Non bisogna compiere l'errore, per esempio, di costruire una fantastica "Linea Maginot" che protegga frontalmente le nostre risorse, dimenticando che quella piccola porticina, costituita dal "Desktop Remoto" abilitato per facilitare gli interventi in "reperibilità" dei sistemisti, si può facilmente trasformare in un Cavallo di Troia estremamente pericoloso.

In conclusione, tanto per fare un esempio preso dalla mia esperienza professionale, se arrivando la mattina al lavoro mi accorgo che il mio IP Address (riservato e "potentissimo") è stato usato durante la notte da qualcun altro, comincio a preoccuparmi e a indagare per scoprire chi l'ha usato e in quale modo. E' successo stamattina: meno male che avevo messo in piedi un meccanismo per controllare questo tipo di eventi.