Akamai pubblica il rapporto sulla Sicurezza relativo al primo trimestre 2015

Roberto Imbastaro

 Akamai Technologies, Inc. (NASDAQ: AKAM), leader mondiale nell’offerta di servizi di Content Delivery Network, annuncia il Rapporto sulla Sicurezza relativo al primo trimestre 2015. Il rapporto, che offre analisi e approfondimenti sullo scenario della sicurezza e delle minacce nel cloud, può essere scaricato alwww.stateoftheinternet.com/security-report.

 

Nel rapporto relativo al primo trimestre 2015 abbiamo analizzato migliaia di attacchi DDoS distribuiti osservati sulla rete PLXrouted e milioni di attacchi alle applicazioni Web sulla rete Akamai Edge. Raccogliendo i dati relativi agli attacchi alle applicazioni Web e unendoli ai report dei nostri team di ricerca sulla sicurezza siamo in grado di offrire una visione olistica di Internet e degli attacchi che si verificano quotidianamente”, dice John Summers, responsabile della business unit Cloud Security di Akamai. “Questo è il rapporto più completo mai realizzato da Akamai sul tema della sicurezza. Con questo report offriamo non solo un’analisi approfondita degli attacchi DDoS ma anche definiamo i parametri di base per i trigger degli attacchi alle applicazioni web, così da potere nei prossimi report valutare i trend degli attacchi a livello di rete e a livello applicativo”.

 

Attacchi DDoS in crescita

Il trimestre passato ha fatto registrare un nuovo record nel numero di attacchi DDoS registrati sulla rete PLXrouted, più che raddoppiati rispetto al primo trimestre 2014 e in crescita del 35% rispetto all’ultimo trimestre 2014.  Appare cambiato però il profilo degli attacchi. Lo scorso anno gli attacchi di breve durata con alto consumo di banda erano la norma. Nel primo trimestre 2015 il tipico attacco DDoS usava meno di 10 gigabit per secondo ma durava più di 24 ore. Nel periodo si sono registrati 8 mega attacchi, ognuno da oltre 100 Gbps; uno in meno rispetto al Q4 2014, ma un anno fa attacchi di questa entità erano molto rari. Il più grosso attacco DDoS osservato nel Q1 2015 ha raggiunto un picco di 170 Gbps.

 

Nel corso dell’anno passato sono mutati anche i vettori degli attacchi DDoS. Nel trimestre in esame, gli attacchi Simple Service Discovery Protocol (SSDP) hanno rappresentato oltre il 20% dei vettori di attacco, mentre erano del tutto assenti nei primi due trimestri 2014. Gli attacchi SSDP sono resi possibili da una “vulnerabilità” di milioni di dispositivi domestici e da ufficio (router, media server, webcam, smart TC e stampanti) presente affinché essi possano riconoscersi su una rete, stabilire la connessione e coordinare le attività. Se lasciati non protetti e/o malamente configurati, tutti questi dispositivi connessi a Internet possono essere usati come “riflettori”.

 

Ancora una volta nel Q1 2015 il settore del gaming è stato il più colpito da attacchi DDoS. Al primo posto dal secondo trimestre 2014, questo comparto è stato oggetto dl 35% degli attacchi DDoS. Il settore del software etecnologia è risultato il secondo più colpito, con il 25% degli attacchi.

 

Rispetto al Q1 2014

  • + 116,5% di attacchi DDoS
  • + 58,93% di attacchi DDoS al livello applicativo (Layer 7)
  • + 124,69% di attacchi DDoS al livello infrastrutturale (Layer 3 e 4)
  • + 42,8% della durata media degli attacchi: 24,82 contro 17,38 ore

 

Rispetto al Q4 2014

  • +35,24% di attacchi DDoS
  • +22,22% di attacchi DDoS allivello applicativo (Layer 7)
  • +36,74% di attacchi DDoS al livello infrastrutturale (Layer 3 e 4)
  • – 15,37% nella durata media degli attacchi: 24,82 contro 29,33 ore

 

Per il rapporto Q1 2015 Akamai ha concentrato la sua analisi su sette comuni vettori di attacchi DDoS che rappresentano da soli 178,85 milioni di attacchi osservati nel periodo sulla rete Akamai Edge. Questi sono: SQL injection (SQLi), local file inclusion (LFI), remote file inclusion (EFL), PHP injection (PHPi), command injection (CMDi), Java injection (JAVAi) e malicious file upload  (MFU).1

Nel corso del trimestre in esame, oltre il 66% degli attacchi a applicazioni web è stato attribuito a attacchi LFI. In particolare ciò è dovuto agli imponenti attacchi a due siti di ecommerce avvenuti in marzo e indirizzati al plugin RevSlider di WordPress.

 

Molto comuni anche gli attacchi SQLi, pari al 29% del totale. Una parte consistente di questi attacchi è riferito agli attacchi lanciati a due aziende operanti nel settore viaggi e hospitality. Gli altri cinque vettori hanno costituito il 5% rimanente di attacchi. Il settore retail è dunque risultato quello più colpito dagli attacchi a applicazioni web, seguito da media e intrattenimento e da alberghiero e viaggi.

 

Un anno fa, un picco di traffico generato da attacchi tramite utilizzo dei vettori da siti booter/stresser si aggirava tipicamente sui 10-20 Gbps. Questi siti ora sono diventati più pericolosi e capaci di lanciare attacchi da oltre 100 Gbps. Con nuovi metodi di attacco che compaiono ogni giorno, come quello di tipo SSDP, il danno potenziale rischia di aumentare nel tempo.

 

L’attacco DDoS IPv6 non è ancora un evento comune ma vi sono segnali che attori malevoli abbiano iniziato a sperimentare metodi di attacco DDoS IPv6. Una nuova serie di rischi associati al passaggio a IPv6 sta già impensierendo i fornitori di servizi cloud nonché i proprietari di reti aziendali e domestiche.  Molti attacchi DDoS IPv6 possono essere replicati usando protocolli IPv6 mentre alcuni nuovi vettori sono legati direttamente all’architettura IPv6. Molte delle caratteristiche di IPv6 possono permettere agli attaccanti di aggirare le protezioni basate su IPv4, creando una superficie di attacco DDoS più ampia ed efficace. Il rapporto delinea rischi e sfide che si prospettano nell’immediato futuro.

I primi attacchi SQL risalgono al 1998. Gli effetti di queste query possono andare oltre il semplice furto di dati e causare danni potenzialmente più gravi di quelli riconducibili alla sottrazione di dati. Questi attacchi possono infatti essere usati per modificare privilegi, eseguire comandi, infettare o corrompere dati. I ricercatori di Akamai hanno analizzato oltre 8 milioni di attacchi di questo tipo nel corso del trimestre, identificando i metodi e gli obiettivi più comuni.

 

Centinaia di aziende che si occupano di web hosting forniscono questo servizio per pochi euro al mese. In questi casi è probabile che il provider ospiti più account sullo stesso server. In pratica può accadere che centinaia di siti e domini si trovino sotto lo stesso indirizzo IP, permettendo a un malintenzionato di sequestrare molti siti in una volta sola. Una volta che anche un solo sito è stato compromesso, l’hacker può potenzialmente intercettare le directory del server, leggere gli elenchi di username e password e accedere file di altri account, ad esempio le credenziali dei database. Con queste informazioni l’hacker può modificare file in ogni sito su quel server. Il rapporto comprende anche una spiegazione delle vulnerabilità e raccomanda quali misure difensive adottare.