Gli attacchi DDoS come strumento di minaccia in differenti scenari: Cybercrime, Hacktivism, Information Warfare

Raoul Chiesa - Security Brokers, Inc.
Cyber Crime Conference Roma 2013

DDoS attacks as 'pressure tools' in different scenarios: cybercrime, hacktivism, information warfare


→ Presentazione

Andrea Zapparoli Manzoni

� Founder, General Manager, Security Brokers

� Founder, CEO, iDIALOGHI

� Membro del GdL «Cyberworld» presso CASD/OSN

� Membro del GdL «Cyberworld» presso CASD/OSN

� Membro CD Assintel / Coordinatore GdL ICT Security

� Membro CD e Docente Clusit (SCADA, Social Media Sec,

Antifrode, DLP…)

� Co-autore Rapporto Clusit 2012 e 2013

→ Presentazione

Raoul Chiesa

� Founder, President, Security Brokers

� Principal, CyberDefcon UK

� Senior Advisor on Cybercrime presso l’UNICRI (United Nations

Interregional Crime & Justice Research Institute), 2004-oggi

� Membro del PSG, ENISA (Permanent Stakeholders Group,

European Network & Information Security Agency) 2012-2015

Coordinatore e Membro del GdL «Cyberworld» presso CASD/OSN

� Coordinatore e Membro del GdL «Cyberworld» presso CASD/OSN

� Socio Fondatore, Membro del Comitato Direttivo e del Comitato

Tecnico-Scientifico del CLUSIT, 2000-oggi

� Comitato Direttivo AIP/OPSI, Osservatorio Privacy e Sicurezza

� Board of Directors, ISECOM, 2000-oggi

� Board of Directors, OWASP Italian Chapter 2007-oggi

� Socio Fondatore, @, 1997

→ Chiariamo subito una cosa fondamentale…

L’attacco DDoS a Spamhaus non è “il più grande attacco su Internet di tutti i tempi” ☺☺☺☺

→ Però è vero che gli a?acchi DDoS stanno aumentando, e molto

Analizzando per il Rapporto Clusit 2013 i 1.652 attacchi noti più gravi / significativi degli

ultimi 24 mesi emerge chiaramente un trend: nel 2012 gli attacchi DDoS sono aumentati

di oltre il 600%, contro un aumento medio degli attacchi in genere del 252%. Non solo

numericamente, ma anche come “potenza di fuoco”. (ecco perché siamo qui oggi!).

I DDoS sono cheap, facili da realizzare, chi li fa non corre rischi e… funzionano.

→ Ricevere un a?acco DDoS da 300 Gbps (come Spamhaus) non è uno scherzo, anzi...

E’ più del doppio della banda utilizzata ieri nei momenti di picco dal MIX di Milano ☺☺☺☺

-> 300 Gbps sono sufficienti per buttare fuori da Internet una nazione medio-grande.

→ Ok ma cosa sono gli a?acchi DDoS ? Come funzionano?

Attacchi Volumetrici (flooding) Botnet based. Saturazione via TCP SYN, ICMP, UDP…

Attacchi TCP State-Exhaustion Esaurimento risorse firewall, IDS/IPS, load balancer

Attacchi Application-layer DDoS di specifici servizi (anche pochi pacchetti)

Attacchi Application-layer DDoS di specifici servizi (anche pochi pacchetti)

Attacchi DNS Amplification Utilizzo di open relay DNS server come amplificatori

Attacchi “ibridi” Tecniche miste: flood, application, DNS….

= 50-60x amp!

→ La situazione 2012 in un grafico

→ La situazione a?uale in un grafico (oggi alle 11:45)

NB sotto quel pallino rosso c’è l’Italia. Questi sono i DDoS in corso in questo momento.

→ Chi viene colpito? Da chi? Perché?

Vengono colpite sempre più categorie di soggetti, da un numero crescente di attaccanti:

Cyber Warriors / Nationalist Hackers � Paesi nemici ( Estonia 2007, Syria 2012, etc)

Elite mercenary units � Sistemi critici (Banche, Trasporti, Borse, Telco, Media)

Org. Cyber Crime � Aziende (per ricatto o ritorsione), Istituzioni, LEAs (sfida, ritorsione)

Hacktivists � Aziende, Media, Istituzioni, area Gov-Mil (per protesta, per fare notizia)

Flash mobs (script kiddies, youths) � bersagli random in base “all’umore”

3 considerazioni:

- Stanno arrivando le mobile botnets (da milioni di smartphone compromessi ciascuna)

-Tramite i Social si stanno creando botnets da decine di milioni di bot (es. Butterfly Botnet)

- Strumenti come LOIC, RefREf, KillApache, Slowloris, THC-SSL-DOS mettono i DDoS a

portata dei bambini.

→ Prospera un florido mercato di DDoS “as a service”

Sorry. You should have attended the Conference to see this slide.

→ Tipologia e Distribuzione degli A?accanY

Più Cyber Crime, più Hacktivism, più attività di Cyber Warfare =

più attacchi DDoS x tutti!

→ Il Succo del Discorso: $$$, Trust e Reputation

Gli attacchi DDoS possono essere estremamente dannosi:

Perdite economiche (fermo dei sistemi, perdita di business, effetto domino su terze parti)

Perdita di trust da parte di clienti, partner, finanziatori

Danno di immagine

Uso strumentale da parte di competitors

Uso come decoy / diversivo (per coprire attacchi mirati e silenziosi)

Uso come amplificatore di danno insieme ad altri attacchi (cyber e non) ���� blended


E’ un problema molto serio, che va gestito in anticipo.

→ Grazie!

Raoul Chiesa - Security Brokers, Inc.

Andrea Zapparoli Manzoni

[email protected]

Raoul Chiesa

[email protected]