Spamhaus vs CyberBunker, attacco DDoS: voce agli esperti

Spamhaus vs CyberBunker, attacco DDoS: voce agli esperti

Sul recente attacco DDoS avvenuto in seguito alla disputa fra Spamhaus e CyberBunker sono già state scritte molte parole. Hardware Upgrade ha chiesto un dettaglio tecnico a Marco Giuliani, CEO della società di sicurezza informatica italiana Saferbytes. Ecco i retroscena

di pubblicato il nel canale Sicurezza
 

Alle origini del problema

La difficile lotta al crimine informatico sembra aver raggiunto in quest'ultima settimana un nuovo record tra gli eventi di maggior rilievo degli ultimi venti anni. La disputa, questa volta, è nata tra Spamhaus, organizzazione internazionale fondata nel 1998 e attiva nella lotta contro lo spam, e CyberBunker, internet provider olandese rinomato per aver spesso ospitato siti web collegati alle attività di spam e per aver indirettamente partecipato in passato ad attacchi DDoS. CyberBunker è stato recentemente anche l'hoster di una pericolosa organizzazione internazionale dedita al crimine informatico denominata Russian Business Network (RBN).

L'inizio delle ostilità è iniziato il 18 marzo scorso, dopo che Spamhaus, responsabile del filtraggio di quasi l'80% dello spam giornaliero a livello mondiale, ha deciso di inserire CyberBunker nella black-list dei provider, arrecando un grave colpo al provider olandese. Dopo poche ore l'infrastruttura Spamhaus è stata violentemente attaccata da un attacco DDoS che ha rapidamente congelato gran parte della sua operatività.

Sebbene non sia dato sapere chi sia il mandante o i mandanti dell'attacco DDoS, la mole dell'attacco - stimata inizialmente intorno ai 10 Gbps - è stata sufficiente per convincere Spamhaus a chiedere aiuto a CloudFlare, provider di servizi di Content Delivery Network e gestore di server DNS, con l'intenzione di ottenere come effetto una protezione in grado di poter ammortizzare l'impatto dell'attacco distribuendolo sulla propria ampia rete.

La società CloudFlare, attiva da pochi anni ma con già numerosi successi internazionali alle spalle grazie ai propri servizi, è riuscita ad attenuare l'attacco, rendendo i servizi di Spamhaus nuovamente raggiungibili.

"L'impatto dell'attacco è stato veramente notevole, direi unico nel suo genere, partendo da un flusso "standard" per queste tipologie di attacchi di 10 Gbps per arrivare rapidamente ad oltre 75 Gbps, fino ad arrivare a cifre incredibili di 300 Gbps" ha dichiarato Marco Giuliani, CEO della società di sicurezza informatica italiana Saferbytes che si occupa di sviluppo di prodotti e soluzioni per la sicurezza dei sistemi informatici.

Fino a qui nulla di nuovo, "normale" routine negli attacchi DDoS. Tuttavia, nel momento in cui i mandanti dell'attacco si sono resi conto che i propri sforzi contro Spamhaus non erano più efficaci perché filtrati da CloudFlare, hanno deciso di attaccare indirettamente CloudFlare stessa, tentando di mettere fuori servizio la rete del provider. Ed è in questo momento che l'intera rete mondiale ha risentito - parzialmente - di questo attacco.

"CloudFlare è un servizio che, per propria natura e poter funzionare, necessita di avere contatti diretti con vari fornitori di banda a livello internazionale ed inoltre i propri server sono collegati direttamente ai vari punti di snodo internazionali, quali il London Internet Exchange, l'Amsterdam Internet Exchange, il Frankfurt Internet Exchange, l'Hong Kong Internet Exchange. Grazie a questa rete di collegamenti CloudFlare riesce a bilanciare l'immensa mole di traffico e e attenuare eventuali attacchi DDoS. Ed è proprio qui il punto dolente. I mandanti dell'attacco, rendendosi conto di non riuscire a saturare l'infrastruttura CloudFlare, hanno spostato il proprio attacco sui singoli peer che forniscono connettività a CloudFlare e sui vari nodi di internet exchange , i quali a loro volta si sono visti arrivare singolarmente un attacco di dimensioni critiche" ha spiegato alla redazione di Hardware Upgrade Marco Giuliani.

 
^