OVH NEWS | INNOVAZIONI E TENDENZE IT


Scopri, comprendi, anticipa












05/10/2016
Condividi

Articolo scritto da OVH


La goccia DDoS non ha fatto traboccare il VAC *


Qualche settimana fa i riflettori sono stati puntati su OVH. Da un lato, centinaia di migliaia di telecamere IP violate e utilizzate per generare, nella settimana del 19 settembre, il più grande attacco DDoS mai registrato e a cui OVH abbia mai resistito. Dall'altro, le telecamere e i microfoni dei giornalisti di tutto il mondo, desiderosi di saperne di più su questo attacco fuori dalla norma per intensità, con picchi fino a 1 Tbps, e modus operandi, con oltre 145.000 di oggetti connessi attaccati per inviare richieste simultanee. Combattuta tra la volontà di garantire la massima trasparenza ai suoi clienti e i rischi derivanti dalla comunicazione di un attacco di tale portata, fino ad ora OVH non ha detto molto. Anche se tutti questi DDoS hanno fallito, le notizie riportate in alcuni articoli sono state davvero eclatanti. Abbiamo quindi deciso di prendere la parola per distinguere il vero dal falso... e rassicurare tutti!
*VAC: combinazione di tecnologie realizzate da OVH per la mitigazione degli attacchi DDoS





Lo scopo degli attacchi DDoS era l'"hacking" o il "sequestro di dati", come riportato in alcuni articoli?


Esistono tre tipi di attacchi informatici: quelli che mirano a interrompere un servizio, quelli che hanno l'obiettivo di derubare e divulgare file e quelli che alterano i dati. Gli attacchi DDoS che si sono verificati a fine settembre sono stati del primo tipo: avevano lo scopo di rendere irraggiungibile un servizio. In questo caso specifico, a essere attaccata non è stata esattamente OVH, ma un gruppo di clienti ospitati da OVH, di cui hanno tentato di mettere KO i siti. Il meccanismo di un attacco DDoS (Distributed Denial of Service attack, o attacco DoS distribuito) è abbastanza semplicendere: si tratta di sovraccaricare la banda passante di un server (il "tunnel" che porta fino alla macchina) o di monopolizzare le sue risorse fino all’esaurimento, inviando una moltitudine di connessioni simultanee da diversi punti della rete Internet (ecco perché "Distributed"). Niente a che vedere, quindi, con l'estrazione o la distruzione di dati.



OVH attaccata da "macchine zombie": inquietante, vero?


Sì, proprio come le immagini utilizzate per evocare l'argomento: una mano con un guanto in pelle nera che batte su una tastiera, un gangster incappucciato appostato nei pressi di un rack di server...
Sdrammatizziamo un po’: per lanciare un attacco DDoS è necessario avere a disposizione numerose macchine connesse a Internet. Per costruire questa rete di macchine in grado di coordinarsi per sferrare un attacco – quella che si chiama botnet –, gli hacker sfruttano i bug di sicurezza dei dispositivi. Ne prendono il controllo con discrezione, per potersene servire al momento giusto.
All’inizio questi "zombie" erano soprattutto i PC di persone comuni, infettati via email o tramite programmi scaricati illegalmente o da siti pornografici. In modo più marginale, in seguito i server sono stati inseriti all'interno delle botnet, operazione che richiede più o meno ingegno da parte degli hacker, a seconda che si tratti "semplicemente" di approfittare della negligenza di un amministratore che non ha protetto adeguatamente la propria macchina o di sfruttare una falla di sicurezza rilevata nel sistema operativo o nelle applicazioni installate. Poi è arrivato l'Internet of Things: dagli smartphone con fotocamera passando per i termostati, le TV e anche le auto, moltissimi dispositivi sono stati connessi a Internet... e i costruttori non si sono preoccupati oltre misura della loro forte vulnerabilità.

Questo pone diversi problemi, primo fra tutti il rispetto della privacy degli utenti di questi prodotti. Già nel 2014, un hacker russo aveva messo online il sito insecam.org per sensibilizzare i clienti e i costruttori relativamente all'inefficienza della sicurezza delle telecamere IP. Semplicemente e, in modo assolutamente illegale, si può accedere in tempo reale alle immagini delle telecamere IP non protette in modo adeguato, un po’ in tutto il mondo... Anche se riportata da tutti i media, questa iniziativa non ha provocato il clamore previsto. Un anno prima, quando gli esperti in sicurezza hanno iniziato ad allertare l'opinione pubblica sulla minaccia degli attacchi informatici rappresentata da oggetti connessi “infetti”, in molti pensavano fosse divertente che un frigorifero o un termostato potessero essere l'origine di un DDoS. Di fatto, questa profezia si è avverata prima del previsto!

E per un motivo specifico: non solo gli oggetti connessi sono sempre disponibili (contrariamente ai PC) e più facili da violare rispetto ai server (il monitoring rende più semplice l'individuazione dei programmi malevoli), ma sono anche più numerosi. Una telecamera “infetta” diventa presto schiava della botnet e partecipa alla propagazione del malware, perché a sua volta esegue lo scanner del net alla ricerca di altri dispositivi da contagiare... È in questo modo che in pochi mesi è stato possibile costruire reti di oggetti connessi infetti di grandissima portata, come quelle che hanno attaccato OVH. Durante gli attacchi recenti sono stati identificati diversi malware all'origine delle botnet, come Mirai (il cui codice sorgente è stato appena reso pubblico e il cui autore rivendica ben 380.000 device infettati) e Bashlite (il cui codice sorgente è stato diffuso a fine 2015, causando la comparsa di varianti del codice iniziale).

Ultima difficoltà, ma non meno importante: nella maggior parte dei casi, gli oggetti utilizzati per questi attacchi sono connessi a Internet attraverso reti domestiche, a loro volta connesse tramite ISP (Internet Service Provider). Alcuni di questi ISP attribuiscono in modo dinamico indirizzi IP temporanei ai loro utenti. In altre parole, se identifichiamo l’IP di una telecamera all’origine di un attacco, è possibile che dopo qualche giorno questo IP sia diventato quello di un utente legittimo della rete...



Le telecamere sono gli unici oggetti connessi responsabili? Quante sono? Quali reti utilizzano?


Abbiamo parlato tanto di telecamere perché sono estremamente numerose, per via del dei costi in costante diminuzione, ma abbiamo rilevato anche altri dispositivi infetti, tra cui alcuni DVR (Digital Video Recorder, cioè i piccoli server domestici utilizzati per registrare le immagini delle telecamere di videosorveglianza), NAS, router (modem xDSL) e Raspberry pi. Tutti questi device connessi hanno in comune l'esistenza di falle di sicurezza dovute a difetti di progettazione software, alla negligenza dei costruttori che spesso attribuiscono la stessa password di fabbrica predefinita a tutti i loro prodotti, o degli installatori, che non si prendono la briga di modificarle quando li implementano! Possiamo supporre anche l'esistenza di "porte trafugate": uno dei software in causa, contenente una backdoor, è stato commercializzato in white label a più fornitori. Non è quindi possibile escludere un'azione intenzionale. Infine, tutti questi dispositivi hanno potenza di calcolo disponibile e una banda passante con un'ampia capacità per l'invio dei flussi di richieste. Uno degli ultimi attacchi DDoS rilevati da OVH proveniva da dispositivi non sicuri distribuiti ai loro abbonati tramite ISP dell’Europa meridionale. Insomma, se le telecamere zombie vi hanno spaventato (sicuramente perché di notte non chiudono occhio, contrariamente a voi), preparatevi a tremare ancora un po’. Se la nostra inchiesta interna, ancora in corso, ha individuato più di 145.000 oggetti connessi infetti all'origine degli ultimi attacchi, il network service provider Level3 ha recentemente stimato il loro numero a oltre un milione. Ci troviamo, a dire il vero, solo al principio del problema. Senza considerare il fatto che, con la democratizzazione di VDSL, SDSL e della fibra, la velocità delle connessioni Internet è in costante aumento. Recentemente abbiamo constatato che 60 telecamere hackerate in Finlandia (un Paese molto ben connesso), potevano sferrare un attacco di una potenza simile a quella generata da 1.000 telecamere provenienti da Taiwan!



"OVH annegata da un attacco DDoS senza precedenti". Ci sono state vittime?


Un attacco DDoS non dura mai molto tempo, raramente supera i due minuti. Ma spesso si ripete ogni 10-15 minuti per ore, giorni o settimane. Come già spiegato , lo scopo di chi attacca è di rendere irraggiungibili un gruppo di siti, ma i mezzi utilizzati possono avere come effetto collaterale la saturazione della rete e, in questo caso, tutta o parte dell'infrastruttura dell’hosting provider attaccato potrebbe non essere più accessibile dagli utenti. Questo può causare, di fatto, dei timeout: i pacchetti inviati si mettono coda per entrare nel tunnel diventato troppo piccolo e, se non ci riescono, scadono e vengono persi (drop). Se questa situazione critica non si è presentata è perché possiamo dire che OVH ha resistito agli attacchi.
Tuttavia, per alcuni clienti si è verificata qualche conseguenza che vorremmo approfondire. Durante gli attacchi, gli utenti originari dei Paesi dell’Europa meridionale hanno riscontrato rallentamenti durante l'accesso ai server ospitati in OVH. Questo perché i DDoS provenienti da questa area geografica sono stati massivi e si sono verificate congestioni sulle nostre interconnessioni con un provider in Spagna. Abbiamo quindi accelerato i nostri investimenti nel nostro punto di presenza di Madrid e molto presto la nostra banda passante verrà moltiplicata per dieci.

Il VAC (combinazione di tecnologie realizzata da OVH per mitigare gli attacchi DDoS) protegge di default tutti i clienti OVH, ma si attiva solo quando l'attacco viene rilevato. Il traffico illegittimo viene filtrato affinché il server preso di mira resti raggiungibile. Alcuni clienti, che hanno esigenze specifiche di sicurezza, usufruiscono di un'opzione che mantiene il VAC permanentemente attivo. In questo caso, tutto il traffico viene filtrato anche quando non sono in corso DDoS. Nella settimana del 19 settembre, abbiamo disattivato questa opzione per liberare banda passante all'interno del VAC e poter ricevere l'attacco senza saturare i nostri dispositivi di protezione. Nei giorni successivi abbiamo riattivato la mitigazione permanente per i clienti interessati. Prima della fine del 2016, la prima generazione di protezione anti-DDoS del 2013, verrà sostituita da una nuova tecnologia sviluppata internamente sulla base di FPGA (circuiti integrati programmabili) e codici elaborati negli ultimi 18 mesi. Questo ci permetterà di fornire un VAC in grado di supportare attacchi DDoS con picchi fino a 5 Tbps, senza rallentamenti sulla nostra rete.

La potenza degli ultimi attacchi sembra mostruosa a prima vista, ma quello che bisogna capire è che pochi hosting provider hanno la possibilità di ricevere tali picchi, per il semplice fatto che la loro backbone si saturerebbe prima di raggiungerli. Abbiamo interconnessioni dirette con quasi tutti gli operatori Internet in Europa e negli USA e disponiamo di banda in eccedenza. Oggi contiamo più di 7 Tbps di connessione verso Internet. Questo spiega perché siamo stati in grado di ricevere un attacco di 1 Tbps, che supera il precedente record di 600 Gbps, senza saturare le nostre connessioni (ad eccezione del provider spagnolo di cui abbiamo parlato prima).



Qual é la situazione interna a OVH? La stampa parla di team "100% mobilitati", con un livello massimo di vigilanza. È stato attivato il piano Vigipirate?


Tutti sono sul piede di guerra. Compreso il capo cuoco della nostra mensa aziendale, che anche ieri ci ha preparato un delizioso DDoS di merluzzo al cartoccio. Scherzi a parte: se in questo momento ci siamo mobilitati al 100%, è per il nostro 4° OVH Summit dell'11 ottobre. Anche se l'intensità degli ultimi attacchi ci ha sorpreso, eravamo preparati... e siamo sicuri che ce ne saranno altri. Se un periodo di calma può seguire alla "resa" dell’autore all'origine del malware Mirai, che afferma di aver chiuso la backdoor che utilizzava per attaccare le telecamere, c'è da scommettere che presto compariranno nuove varianti, sempre più ingegnose. Insomma, ciò che si è verificato non ha nulla di eccezionale, a parte il boom mediatico che ha scatenato.

Noi continueremo a innovare, mantenere e migliorare i servizi che offriamo ai nostri clienti... e a gestire gli attacchi, fenomeno indissociabile dalla nostra attività di hosting provider. Ogni giorno, circa 1.200 clienti OVH vengono protetti dal nostro sistema anti-DDoS (VAC) senza nemmeno accorgersene. Una volta che l'attacco è passato, siamo noi ad informarli di quanto avvenuto. Abbiamo un intero team dedicato a questo progetto, che include anche ingegneri R&D, e vi investiamo tutte le risorse necessarie. Insomma, un attacco DDoS non è grave! Potenzialmente, tutti hanno un rivale che un giorno o l'altro cercherà di mettere i bastoni fra le ruote. Proprio per questo motivo in OVH l’anti-DDoS non è un'opzione, ma una protezione offerta di default a tutti i nostri clienti.



Chi sono i cattivi nella storia? Cosa vogliono dai buoni?


Alcuni sono stati un po’ frettolosi nel dire che la dimensione e le ambizioni di OVH ne avevano fatto un bersaglio molto ambito. La realtà è un p0’ più complicata. Iniziamo dal principio.

All’origine delle botnet dei recenti attacchi DDoS, ci sono dei supercattivi. Molto furbi, codificano i programmi (malware) che infettano gli oggetti connessi sfruttando i loro bug e pilotano la propria rete di oggetti zombie dal loro Command & Control (C2), maestro assoluto degli oggetti diventati schiavi. I supercattivi mettono poi queste botnet a disposizione del miglior offerente, a un prezzo proporzionale alla forza di attacco e ai danni che sono in grado di generare. E queste botnet, come i soldi che generano, non smettono mai di lavorare. Perché questi cattivi, pronti a pagare sull'unghia per offrire servizi di questo genere allo scopo di nuocere ai loro competitor o all'amante della propria moglie facendo cadere il sito della loro azienda, sono abbastanza numerosi.

Insomma, dire che OVH è un bersaglio privilegiato significa scegliere una strada un po’ troppo corta. La verità è che, considerando il numero di server e di applicazioni che ospitiamo, un certo numero di essi costituisce inevitabilmente un bersaglio. È ovviamente un parametro che abbiamo preso in considerazione da molto tempo, perché sappiamo che i DDoS non colpiscono necessariamente clienti che crescono in settori considerati concorrenziali o abituati a queste pratiche, ad esempio, il mondo del Gaming).
Il lato positivo della medaglia è che noi possediamo i mezzi per difenderci dagli attacchi.
Infine, inutile prenderci in giro, sul Web ci sono naturalmente progetti più o meno rispettabili. Alcuni potrebbero essere tentati di giustificare il ricorso agli attacchi DDoS nel quadro di battaglie che, ai loro occhi, sono giuste. Noi pensiamo che sia un errore. E continueremo a investire quanto necessario in protezioni sempre più efficaci affinché gli attacchi DDoS non diventino mai un mezzo di censura (un rischio spiegato chiaramente dall'esperto americano in sicurezza Brian Krebs).



Perché rendere pubblici, su Twitter, gli ultimi attacchi?


Octave Klaba, il nostro CTO, ha scelto di rendere pubblici su Twitter la serie di attacchi della settimana del 19 settembre, con l’obiettivo di attirare l'attenzione degli specialisti in sicurezza e delle autorità competenti sulla portata della botnet,la rete di oggetti connessi controllata dagli hacker, all’origine del DDoS e sull'intensità dei picchi di carico che OVH ha dovuto assorbire.

OVH, così come i grandi player del Web, ha la capacità di resistere ad attacchi di questo calibro - del resto, tutti vi hanno a che fare regolarmente, senza necessariamente parlarne. Ma questo non è il caso di operatori di dimensioni più modeste o di aziende che mantengono ancora internamente il loro IT. Ciò è dovuto in particolare a ragioni di costo delle protezioni da attuare e della capacità di rete eccedente di cui bisogna disporre in modo permanente per fronteggiare questi attacchi.

Resistere ai DDoS rivolti ai nostri clienti è il nostro lavoro! Impedire alle botnet, sempre più grandi, di nuocere non è invece la nostra missione. Non ne abbiamo il diritto, e probabilmente nemmeno i mezzi (eccetto per quanto riguarda la neutralizzazione dei C2 che sarebbero ospitati presso di noi) e questo implica la cooperazione di numerosi soggetti. Cosa possiamo fare, ad esempio, se i costruttori di dispositivi connessi non correggono i bug dei loro software o se i rivenditori non avvertono i loro clienti che il loro materiale è infetto?



Perché rifiutare, in seguito, di rilasciare dichiarazioni?


Se non abbiamo dato seguito alle numerosissime domande della stampa, è perché la comunicazione sugli agli attacchi DDoS è molto delicata e spesso controproducente. È infatti molto difficile spiegare come si è svolto un attacco e come lo abbiamo contrastato senza cedere informazioni preziose agli aggressori, ispirarne altri o causare la distruzione di prove che avrebbero potuto essere utilizzate dalle autorità giudiziarie nel corso di un'eventuale inchiesta. Dire di aver resistito a un attacco spesso ha la conseguenza di motivare gli assalitori a raddoppiare i loro sforzi e questo potrebbe spaventare i nostri clienti, che pensano erroneamente che OVH sia, più di altri, il bersaglio degli attacchi DDoS. Ecco perché continueremo a essere trasparenti e allo stesso tempo discreti quando si verificheranno i prossimi attacchi.
Se in questa occasione abbiamo evidenziato le informazioni approssimative e le inesattezze che sono state divulgate a questo proposito, ci teniamo a precisare che esistono anche articoli validi, di cui abbiamo riportato i link. Vi suggeriamo di leggerli, se siete interessati all'argomento!