Cyber Attacchi - 3 Tipi di Attacchi Informatici e Come Difendersi

Gli attacchi basati sul volume prendono di mira la larghezza di banda disponibile e sono caratterizzati da inondazioni UDP (User Datagram Protocol). Durante questi attacchi, i bot sovraccaricano le porte UDP con i pacchetti di dati, causando il crash del server. Insieme al protocollo di controllo della trasmissione (TCP), l'UDP è uno dei protocolli più utilizzati per il trasporto. Il livello di trasporto è il quarto del modello OSI e descrive in dettaglio l'architettura del protocollo di rete. Le inondazioni DNS funzionano in modo simile, bombardando il server DNS di richieste. Si tratta di server che traducono gli URL in indirizzi IP (come www.airbnb.com in 3.232.178.39).

Gli attacchi alle applicazioni, come suggerisce il nome, vengono lanciati a livello di applicazione, ovvero il più alto nel modello OSI, responsabile della regolazione del modo in cui le integrazioni interagiscono con gli utenti. I cosiddetti attacchi Slowloris inviano richieste incomplete, aumentando rapidamente il numero di connessioni aperte e impedendo al server di rispondere a richieste legittime. I server Web Apache sono un bersaglio particolarmente popolare di tali attacchi.

Gli attacchi al protocollo sfruttano le debolezze del protocollo Internet. Ad esempio, le inondazioni SYN falsificano l'handshake a 3 vie di un protocollo TCP. Questa "stretta di mano" determina come viene stabilita una connessione tra due dispositivi. Con i protocolli TCP, viene inviato un messaggio SYN al server, che risponde con ACK, seguito dalla conferma SYN-ACK dal client. Tuttavia, se il messaggio SYN contiene un indirizzo IP errato, il server continuerà ad attendere una risposta. Dopo troppe richieste di questo tipo, il server cesserà di funzionare.

Vengono ricevute troppe richieste dallo stesso indirizzo IP o posizione;

Picchi di traffico imprevedibili;

Una richiesta ping, che verifica la disponibilità di un host all'interno di una rete, restituisce un messaggio di errore "Timeout" per il server in questione;

Quando si tenta di accedere al sito Web, viene visualizzato un messaggio di errore 503.

Per contrastare gli attacchi basati sul volume, i router che utilizzano la metodologia anycast distribuiranno le richieste a server diversi. Il più delle volte, si tratta di servizi di sicurezza cloud che filtrano le richieste dannose, inoltrando solo quelle legittime. I buoni provider dispongono di reti potenti con un traffico di 60 terabyte al secondo (Tbps), che supera di gran lunga le capacità delle botnet.

Per gli attacchi al protocollo, i fornitori di servizi offrono una serie di programmi diversi che analizzano il comportamento degli utenti, contrastando i bot con i captcha. Questi richiedono l'inserimento di combinazioni di lettere e numeri illeggibili dai computer o la selezione di tutte le immagini contenenti un particolare oggetto.

I firewall delle applicazioni Web (WAF) creano una sorta di scudo tra client e server, aiutando a prevenire gli attacchi alle applicazioni. Questi funzionano come un portiere, impedendo l'ingresso a coloro che sembrano sospettosi.

Con la limitazione della velocità, i server consentiranno solo un numero specifico di richieste per periodo di tempo. Se viene impostato un limite SYN, UDP o Drop basso, il server rifiuterà tutti i pacchetti che lo superano.

A settembre 2017 i bot cinesi hanno inviato milioni di pacchetti di dati a vari server di Google. L'inondazione UDP ha registrato un traffico di 2,5 Tbps, rendendolo il più grande attacco DDoS mai misurato. Nonostante le sue dimensioni, non ha avuto conseguenze.

Nel febbraio 2020, Amazon Web Services (AWS) ha segnalato un attacco DDoS di tre giorni da 2,3 Tbps. Questo attacco multi-vettore ha sfruttato un punto debole del protocollo CLDAP (Connectingless Lightweight Directory Access Protocol), lo standard industriale per l'accesso agli indici. I clienti AWS non sono stati interessati.

Nell'ottobre 2016, Mirai, una famigerata botnet, ha attaccato i server appartenenti al provider DNS, Dyn. Poiché Dyn collega gli URL all'indirizzo IP appropriato, piattaforme come Twitter, GitHub, Reddit e Netflix sono state rese temporaneamente non disponibili. All'indomani dell'attacco, Mirai ha reso pubblico il codice che è stato sfruttato per lanciarlo.

L'impossibilità di accedere a determinati file che erano accessibili in passato;

File che appaiono improvvisamente senza estensione o con estensione .crypto;

File di testo (che terminano con .txt) con nomi sospetti come "_Decrypt your files" (Decripta i tuoi file) o "_Open me" (Aprimi).

Eseguire regolarmente il backup dei dati sensibili. Poiché il ransomware prende di mira le cartelle di backup, si consiglia di crittografarle e utilizzare l'archiviazione offline, come un disco rigido esterno, collegato solo per eseguire i backup.

Tieni aggiornato il software, poiché le versioni obsolete possono presentare punti deboli o vulnerabili.

Disinstalla i plugin non necessari e disattiva le macro.

Rendi obbligatorio che tutti gli script e il contenuto attivo siano confermati facendo doppio clic.

Se possibile, non installare il browser in locale al lavoro, ma utilizza un server terminale con una connessione desktop remoto.

Concedi raramente l'accesso in scrittura alle unità di rete e, anche in questo caso, solo con password complesse.

Consenti l'accesso remoto solo con connessioni VPN sicure e autenticazione a due fattori.

Utilizza firewall con filtraggio IP e servizi di whitelist. Questi ultimi sono elenchi che includono indirizzi IP affidabili e consentiti, a protezione del server.

Tieni dei workshop sulla sicurezza informatica. Grazie ad essi, i dipendenti possono imparare a riconoscere e-mail e siti Web sospetti e pericolosi.

Nel marzo 2019, un attacco ransomware ha paralizzato i sistemi IT di Norsk Hydro, obbligandola a realizzare la produzione manualmente per settimane. L'azienda non ha pagato il riscatto ed è stata in grado di recuperare le informazioni interessate grazie ai backup.

Il più grande produttore di carne del mondo, JBS, ha pagato un riscatto di 11 milioni di dollari nel maggio 2021 per riottenere l'accesso ai suoi sistemi IT. Il gruppo di hacker russo REvil ha rivendicato l'attacco.

Sempre nel maggio 2021, la fornitura di gas alla costa orientale degli Stati Uniti è stata interrotta dopo che i sistemi IT della Colonial Pipeline Company sono stati compromessi da un ransomware, utilizzando un punto di accesso VPN non protetto. La società ha pagato il riscatto di 4,4 milioni di dollari, tuttavia l'FBI è stata in grado di recuperare la maggior parte dei Bitcoin in seguito.

Usa password complesse composte da numeri, lettere maiuscole e minuscole e caratteri speciali. Cambiale almeno ogni sei mesi.

Assicurati che i tuoi firewall e programmi antivirus siano aggiornati.

Archivia i dati su unità esterne, come chiavette USB o dischi rigidi, crittografandoli e proteggendoli con una password complessa.

Elimina gli account per i dipendenti che non fanno più parte dell'azienda o dell'organizzazione. Concedi solo un accesso limitato alla rete organizzativa a non dipendenti o clienti.

Offri formazione ai dipendenti su phishing, siti Web dannosi e ingegneria sociale. Quest'ultima è un metodo con cui gli hacker sfruttano i social network per prendere di mira e sondare le loro vittime, incoraggiandole a fornire informazioni sensibili come le password.

Nel marzo 2020, gli hacker hanno ottenuto l'accesso ai server di CAM4, una piattaforma di chat video, rubando oltre 10 miliardi di file. Questi includevano nomi reali, chat e registri dei pagamenti, consentendo ai criminali di ricattare le vittime per anni.

Nel marzo 2018, i criminali informatici hanno violato i sistemi di una delle più grandi banche dati biometriche del mondo. Aadhaar, gestito dal governo indiano, archivia dati biometrici tra cui impronte digitali, foto e scansioni dell'iride per oltre un miliardo di cittadini indiani.

Nel novembre 2018, Marriott International ha annunciato che persone non autorizzate avevano avuto accesso ai dati delle carte di credito per 500 milioni di suoi clienti. L'attacco è avvenuto nel 2014 ma è stato notato solo nel 2018.