Those who think it takes an army to wreak havoc on the web and disrupt the servers that run the Internet… are sadly mistaken
Hacker attacks are now commonplace, but the one on October 31 was devastating. It managed to disrupt numerous web services, first in the States and then spreading like wildfire across Europe, paralyzing the Internet. It was a massive DDoS attack.
Danish researchers at the TDC Security Operations Center have discovered, however, that a botnet – a network of malware-infected computers controlled by a single hacker – is not necessary, but a normal computer with a broadband connection of at least 15Mbps is enough to knock out major Internet servers. Esiste, infatti, una nuova tecnica – conosciuta come BlackNurse – che, invece di bombardare un server con terabyte di dati come nel caso del DDos, invia pacchetti Internet Control Message Protocol (ICMP) per bloccare il funzionamento di un sito web.
Attacchi sempre nuovi da contrastare
ICMP Type 3 è il protocollo utilizzato dai router e altri dispositivi di rete per inviare e ricevere messaggi di errore. I ricercatori danesi del TDC Security Operations Center spiegano che lo stratagemma risiede nella dimensione di questi pacchetti. Se vengono inviati pacchetti ICMP che superano la soglia compresa tra i 15 e i 18 Mbps, i processori di alcuni firewall come, per esempio, quelli di Cisco, Palo Alto Networks, SonicWall e Zyxel, non sono in grado di gestirli, si sovraccaricano e vanno letteralmente in tilt: non sono più in grado, insomma, di proteggere reti e server che sono tagliati fuori da Internet. Quello che sorprende è che per eseguire un attacco BlackNurse, come accennato all’inizio, basta un normalissimo notebook con una buona connessione a banda larga.
Fonte foto: Shutterstock
Non è necessario essere un tecnico informatico per mettersi al riparo dagli hacker. Scopri alcuni suggerimenti facili e immediati
Buone notizie in arrivo
I ricercatori danesi sostengono che esistono dei sistemi per combattere BlackNurse. TDC consiglia di impostare dei filtri software per prevenire questo tipo di attacchi e che si tratta principalmente di un problema circoscritto a quella tipologia di firewall che consente la ricezione di pacchetti ICMP dall’esterno. Palo Alto Networks fa sapere che i suoi firewall sono configurati per scartare automaticamente le richieste ICMP, a meno che l’azienda non modifichi le impostazioni di default e non segua le linee guida sulla protezione consigliate dal produttore. Anche Cisco, dal canto suo, non ritiene che questa scoperta del TDC rappresenti un grande problema per la sicurezza dei suoi firewall.
Fonte foto: Shutterstock
Hacker al lavoro
Morale della favola
Il vero pericolo, in tutta questa storia, è che non tutti i firewall sono progettati e configurati per seguire determinate regole e che alcune aziende possono aver avuto motivi per modificare le loro impostazioni e lasciare libero accesso ai dati ICMP. La scoperta dei ricercatori danesi, anche se la minaccia non è elevata, lancia comunque un monito: un attacco DDoS (Denial Of Service) può assumere diverse e inaspettate forme. And who knows how many are still unknown.