Mise, “Ecco come lavora il Cert Nazionale: alcuni esempi di attività quotidiana”

Home PA Digitale Sicurezza Digitale Mise, “Ecco come lavora il Cert Nazionale: alcuni esempi di attività quotidiana”

Molte azioni condotte dal CERT Nazionale, basate sui dati ricevuti da Shadowserver, hanno come obiettivo la riduzione del rischio di vedere macchine italiane utilizzate per attacchi di incidenti di tipo DDoS. In particolare si tratta di azioni che mirano a segnalare configurazioni scorrette (o comunque sconsigliate) di sistemi di rete e potenzialmente sfruttabili per condurre attacchi di tipo DDoS ai danni di terze parti

7 Luglio 2016

R

Rita Forsi e Sandro Mari, Ministero dello Sviluppo Economico

Nel contesto delle diverse attività operative svolte dal CERT Nazionale conseguenti sia agli impegni internazionali che a quelle assegnati per legge a livello nazionale, si vogliono qui descrivere alcune di queste attività che, svolte su base pressoché giornaliera, costituiscono un servizio offerto ad una vasta platea di Internet Service Provider per la riduzione del rischio di incidenti.

Tali servizi sono resi possibili dal fatto che il CERT Nazionale può a propria volta beneficiare di altri servizi svolti da associazioni internazionali che forniscono informazioni in via esclusiva ad alcuni soggetti con rilevanza nazionale.

La “Shadowserver Foundation”, nata nel 2004, è una di queste associazioni, avente come missione quella di ricercare e fornire informazioni utili all’intera comunità di soggetti che si occupano di sicurezza delle informazioni e delle reti.

Shadowserver ricerca e fornisce informazioni di particolare interesse per la sicurezza informatica dell’intera community attraverso analisi della rete, compresa la cosiddetta “dark internet” ed avvalendosi di collaborazioni volontarie di esperti di sicurezza di tutto il mondo. Le attività di analisi si sviluppano su diverse direttrici: e-fraud, botnet intelligence, analisi di malware e di comportamenti malevoli in rete, attraverso l’impiego di honeypot estese, scansioni specifiche della rete e reti di sinkhole.

Tra gli obiettivi della struttura alcuni sono di grande interesse per i CERT nazionali, anche in considerazione dei risultati e della profondità delle analisi effettuate e messe a disposizione. In particolare le indagini sulle nuove tecnologie per il controllo delle reti di bot, unitamente allo sviluppo di tecniche per la raccolta e l’analisi di dati relativi alle botnet stesse ed ai flussi di traffico, rappresentano una fonte informativa di grande efficacia, soprattutto quando correlata ad altre fonti.

L’attività del CERT nazionale

Shadowserver fornisce al CERT Nazionale, in virtù del ruolo istituzionale da questo ricoperto, informazioni riguardanti l’intero spazio di indirizzamento italiano, che vengono quindi utilizzate sia per la prevenzione di incidenti che per la bonifica di eventuali compromissioni rilevate in rete.

Le informazioni ricevute sono infatti di varia natura, ma classificabili in due macro categorie: quelle che si riferiscono a vulnerabilità o a configurazioni scorrette di apparati in rete e quelle che si riferiscono a compromissioni vere e proprie rilevate in rete, quali l’appartenenza di macchine a particolari botnet ed utilizzate dai relativi sistemi di Command and Control per attività illecite, prime fra tutte l’invio di spam o il furto di credenziali. L’affidabilità dei dati forniti da Shadowserver, sulla base delle analisi del CERT Nazionale e dei ritorni degli Operatori, è risultata estremamente elevata.

Si vogliono qui descrivere alcune attività condotte dal CERT Nazionale che, basate sui dati ricevuti da Shadowserver, hanno come obiettivo la riduzione del rischio di vedere macchine italiane utilizzate per attacchi di incidenti di tipo DDoS. In particolare si tratta di azioni che mirano a segnalare configurazioni scorrette (o comunque sconsigliate) di sistemi di rete e potenzialmente sfruttabili per condurre attacchi di tipo DDoS ai danni di terze parti.

Al riguardo Shadowserver ha attivato, fra gli altri, due progetti denominati “Open NTP Version Scanning” e “Open Chargen Service Scanning” che, attraverso estese campagne di scansione sulla rete, vanno ad individuare, rispettivamente, macchine pubblicamente accessibili che rispondono ad interrogazioni sul protocollo “NTP” oppure hanno attivo il servizio “Chargen” – Character Generator. In tali condizioni le macchine potrebbero essere utilizzate per attacchi di tipo DDoS Reflection and Amplification ai danni di terze parti. La tecnica impiegata prevede che una serie di macchine compromesse, verosimilmente appartenenti a qualche botnet, vengano istruite ad inviare richieste di tipo NTP o Chargen “fingendosi” la macchina vittima – tecnicamente si parla di spoofing di indirizzo; le macchine mal configurate inviano a questo punto le risposte – reflection – alla macchina vittima. Le risposte, sia per la loro numerosità che per le loro dimensioni, molto più grande di quella delle richieste, data la natura dei protocolli esposti, creano un effetto di “amplification” con conseguente denial of service per la vittima.

L’utilizzo di macchine con protocollo NTP o Chargen “aperto” da parte dei criminali risulta particolarmente appetibile per l’elevato coefficiente di amplificazione che si può raggiungere, ovvero per il volume dei pacchetti di risposta all’interrogazione.

In definitiva, per evitare l’utilizzo sopra descritto, tali protocolli dovrebbero essere configurati per l’accesso solo da reti autorizzate.

Il CERT Nazionale si è fatto promotore di campagne informative ai relativi Operatori ed Internet Service Provider che risultano avere macchine esposte ed utilizzabili per questo tipo di attacchi.

Con l’ultima campagna informativa di fine marzo relativa all’esposizione del protocollo NTP (in particolare per richieste di tipo “Version”, che assicurano il coefficiente di amplificazione maggiore), sono state circa 500 le macchine segnalate, appartenenti ad oltre 40 Operatori. Di queste solo un centinaio sono le macchine segnalate già nella prima campagna di settembre 2015, a conferma di una risposta positiva da parte degli Operatori interessati.

Analogamente le macchine con protocollo Chargen esposto sono risultate, nell’ambito dell’ultima campagna di maggio, oltre 600, appartenenti a circa 30 reti differenti. In questo caso ben 250 sono state segnalate già nell’ambito della prima campagna (aprile 2015), con una percentuale di risposta inferiore.

Nuove campagne saranno avviate con l’obiettivo di sensibilizzare gli amministratori per una corretta configurazione dei sistemi, laddove utilizzabili per attività malevole in rete.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!