Bloccato attacco hacker di tipo DDoS e ripristinati i servizi

Bloccato attacco hacker di tipo DDoS e ripristinati i servizi

PuntoZero comunica che lunedì 24 luglio 2023, i tecnici dell’azienda insieme agli specialisti dei fornitori e con la preziosa collaborazione della Polizia Postale e del CSIRT (Computer Security Incident Response Team – Italia) istituito presso l’ACN (Agenzia per la cybersicurezza nazionale), hanno bloccato un attacco hacker di tipo DDoS (Distributed Denial of Service) che ha interessato i loro sistemi, tra cui il Centralino Unico di Prenotazione (CUP).

I sistemi di PuntoZero sono stati rapidamente ripristinati e sono nuovamente operativi. L’azienda ha voluto ringraziare i tecnici di PuntoZero, che hanno lavorato senza sosta per risolvere il problema, e gli specialisti della Polizia Postale e del CSIRT per il loro fondamentale contributo nella gestione dell’attacco.

Giancarlo Bizzarri, l’Amministratore Unico di PuntoZero, ha sottolineato l’importanza della collaborazione tra enti territoriali e le strutture preposte anche a livello nazionale, evidenziando che grazie all’intervento tempestivo dei tecnici e alla sinergia con la Polizia Postale e il CSIRT, l’attacco è stato prontamente bloccato, evitando rischi per i diritti e le libertà degli utenti e garantendo la sicurezza dei dati.

Bizzarri ha dichiarato: “Questa esperienza ci ha fatto capire quanto sia fondamentale investire in sicurezza informatica e formazione di specialisti. Con il supporto della Polizia Postale e del CSIRT, siamo riusciti non solo a fermare l’attacco rapidamente, ma anche a creare una rete di comunicazione che permette di allertare altri enti e prevenire futuri attacchi. Crediamo che la collaborazione tra pubblico e privato sia essenziale per affrontare queste sfide a livello di sistema.”

L’azienda si è scusata per eventuali disagi causati agli utenti e ha assicurato di continuare a rafforzare le misure di sicurezza per proteggere i dati e garantire la tranquillità dei cittadini.

Gli attacchi di tipo Distributed Denial of Service (DDoS), evoluzione dei classici attacchi DoS (Denial of Service), rappresentano uno degli strumenti malevoli più diffusi nei ricchi “arsenali” offensivi di cui dispongono i criminal hacker e le motivazioni che stanno alla base di un attacco DDoS possono essere di qualsiasi genere: si va dal semplice atto di cyber vandalismo all’estorsione. In passato, ad esempio, alcuni gruppi di cyber criminali hanno usato la minaccia di un attacco DDoS per intimorire le proprie vittime e costringerle a pagare un “pizzo” in Bitcoin.

In altri casi, invece, un attacco DDoS può servire ad un attaccante per attirare le attenzioni dei reparti IT di un’organizzazione e saturare le risorse a disposizione degli strumenti di difesa mentre è in corso un altro cyber attacco mirato al furto di dati o all’installazione di malware e backdoor sui computer della rete locale.

Cos’è un Denial of Service?

Cerchiamo ora di comprendere meglio cos’è e come funziona un Denial of Service. Partiamo dalla definizione del The Tech Terms Computer Dictionary:

“Un attacco Denial of Service è uno sforzo per rendere uno o più sistemi di computer non disponibili. In genere è indirizzato ai server Web, ma può anche essere utilizzato su server di posta, server DNS e qualsiasi altro tipo di sistema informatico. Gli attacchi DoS (Denial of Service) possono essere avviati da una singola macchina, ma in genere utilizzano molti computer per eseguire un attacco. Poiché la maggior parte dei server ha firewall e altri software di sicurezza installati, è facile bloccare i singoli sistemi. Pertanto, gli attacchi DDoS (Distributed Denial of Service) vengono spesso utilizzati per coordinare più sistemi in un attacco simultaneo“.

Come abbiamo già anticipato, però, esistono molte modalità di esecuzione di questo meccanismo di attacco e frequentemente ne appaiono di nuove.

Vediamo quindi di immaginare alcuni scenari tipici di un attacco DoS, le sue motivazioni e le conseguenze.

Prendiamo ad esempio una web application che genera rapporti sulle ore di lavoro e sui task dei dipendenti di un’azienda. Per ogni request, l’applicazione accede al suo database per estrarre tutti i dati utili per completare la richiesta ricevuta. Se il database contiene centinaia di migliaia di record, l’utente dovrà attendere qualche minuto per avere un report completo. Durante questi minuti, la CPU del server DB può raggiungere il 60% di utilizzo per cercare i dati corrispondenti.

Un attacco DoS basato su application layer invierà 10 task simili simultaneamente costringendo il sistema ad utilizzare il 100% della CPU rendendo di fatto il servizio inaccessibile agli altri utenti.

Si tratta di un esempio veramente semplice, ma aiuta a capire la strategia alla base di questi meccanismi di attacco ed è utile a individuare un Denial of Service in base all’ambito di attacco:

• DoS su user specifico: un attaccante potrebbe continuare ad eseguire il login come un determinato utente e se il sito adotta difese basate sul lock dopo un certo numero di tentativi, potrebbero estromettere l’utente reale impedendogli di fare il login. Durante un attacco complesso che sfrutta diversi meccanismi malevoli, ad esempio, un attaccante potrebbe trovare utile bloccare l’admin dall’accedere alla web app o al server.
• DoS su database: un attaccante potrebbe usare delle tecniche di SQL injection per modificare le tabelle e rendere il sistema instabile. Ma ancora: se un database è mal configurato, basterebbe eseguire delle query in modo insistente e massivo riuscendo così a metterlo fuori uso. Parlando di database di siti e-commerce o business critical, possiamo bene immaginare il danno.
• DoS su web app: Un attaccante potrebbe usare tecniche di buffer overflow per inviare request “forgiate” in un particolar modo per far andare in crash i processi e renderlo inutile. Per esempio, se non viene limitato l’inserimento dei caratteri nella sezione “contatti”, un utente potrebbe inserire migliaia di caratteri fino ad ottenere un 500 internal server error (o peggio), ottenendo a volte anche informazioni critiche. Un attacco del genere condotto da un solo utente potrebbe essere lieve, ma fatto da 100 persone contemporaneamente potrebbe avere gravi conseguenze.