In particolare, quest’attacco blocca l’accesso a qualsiasi server pubblico ed è in grado di paralizzare molto velocemente il web o il mail server di un’azienda. Per arrivare ad un risultato tanto spettacolare, l’attacco agisce sul tempo di reazione dei server al traffico TCP, la finestra (timer) TCP si adatta infatti ai dati scambiati. Concretamente ciò significa che un hacker invia queries al server indicando che non può ricevere la risposta immediatamente. Il server accumula quindi molto rapidamente i dati in memoria fino a saturarsi e a non essere più in grado di rispondere a queries legittime.
Un altro tipo di attacco DoS già noto ma mai implementato prima in un tool specifico, è stato impiegato di recente, ad esempio, dai simpatizzanti dell’opposizione iraniana. L’attacco HTTP “Slowloris” non sfrutta alcuna falla bensì una regolare funzione dei web server che consente l’invio di queries parziali. In questo caso, il web server che riceve solo una parte della query, alloca delle risorse per poterla trattare, ma non può rilasciarle finché non ha ricevuto tutti i dati della query stessa. La moltiplicazione di richieste di questo tipo cagiona velocemente una saturazione delle risorse del server ed un Denial of Service.
“Questi attacchi sono stati ideati specificamente per eludere i firewall basati su signature”, conferma Fabien Thomas, CTO di NETASQ, che aggiunge “proprio come l’attacco DNS scoperto da Dan Kaminsky, queste minacce possono essere rilevate e bloccate esclusivamente attraverso una comprensione adeguata delle loro dinamiche ed un’analisi del comportamento delle connessioni”. I dispositivi NETASQ analizzano il comportamento di ogni singola connessione TCP / HTTP e chiudono automaticamente le connessioni illecite, liberando immediatamente le risorse dei server.
Sin dalla sua fondazione NETASQ é stata pioniere e leader tecnologico nell’ambito dell’analisi protocollare e comportamentale, dimostrando nel tempo l’efficacia della sua protezione day-0.
“Se da un lato siamo lieti poter nuovamente confermare l’efficacia proattiva del nostro motore di prevenzione contro le intrusioni, dall’altro questi attacchi sono un monito alla vigilanza in vista delle vacanze estive. Il nostro reparto R&D é molto attento all’insorgere di nuove minacce ed aggiunge regolarmente nuove protezioni day-0 al nostro sistema, per garantire la massima sicurezza alla nostra clientela”, conclude Thomas.
- Pirro Jacopo -