Il ruolo degli IoT negli attacchi DDos. Come iniettori o specchi.

Iot e DDos

Oggi molti dispositivi intelligenti (IoT) supportano la comunicazione IPv6. L’IPv6 fornisce uno spazio di indirizzamento molto più ampio del IPv4. Questo è il motivo per cui i dispositivi IoT hanno iniziato ad indirizzare e a connettersi in rete in IPv6. Tuttavia, un gran numero di dispositivi dell’internet “degli oggetti” può essere utilizzato in modo improprio dagli hacker. Un metodo preferito dagli aggressori negli ultimi anni è l’attacco DDoS portato dagli apparecchi IoT.

Negli ultimi anni, negli attacchi Distributed Deny of Service (DDoS) si sono verificati due importanti cambiamenti : la “riflessione amplificata” (amplified reflection) e l utilizzo degli IoT. Insieme hanno motivato fondate preoccupazioni di sicurezza relative alla superficie d’attacco offerta  potenzialmente dagli IoT  per il DDoS. Infatti gli IoT possono essere utilizzati come come riflettori nel amplified reflection .

 

ddos-iot
ddos-iot

 



SSDP e MLDS

Gli attacchi che utilizzano i quattro protocolli sono stati testati mostrandoci un modello in cui:

Il “riflettore” satura, senza sostenere la massima velocità di amplificazione, per tassi di iniezione molto bassi (tra 10 e 100 sondaggi (probe)/sec). Quindi, se da un lato i dispositivi IoT, in generale, non sarebbero considerati buoni riflettori, dall’altro sarebbero buoni iniettori. Qualsiasi aggressore, molto specializzato, potrebbe quindi utilizzare più iniettori mantenendo bassi i tassi di iniezione. Ciò richiederebbe certamente un maggiore coordinamento da parte dell’aggressore, ma tende a ostacolare il rilevamento.

La proliferazione dell’Internet degli oggetti (IoT) ha portato a un rapido aumento degli attacchi di “riflessione” SSDP (Simple Service Discovery Protocol). Tuttavia, i tentativi di difesa da questi attacchi sono molto scarni.  Solo con alcuni consigli ingegneristici avanzati si possono mitigare questi attacchi.

Tipico esempio di schema ingegneristico complesso  è il cosiddetto schema di difesa multilocalizzazione ( multi-location defence scheme -MLDS). L’MLDS opera in più luoghi e da più luoghi, lavorando su tutta la catena di attacco:  si  partire dalle fonti di attacco fino alle vittime.

Gli aggressori di solito utilizzano  una rete bot per lanciare gli attacchi, ma i bot possono agire come difensori per realizzare strategie di difesa nel nostro MLDS. Questo è un approccio non convenzionale per rendere efficace la difesa.

Di conseguenza, negli ultimi anni la “riflessione amplificata” e IoT hanno fissato nuovi standard per gli attacchi DDoS. Con questa motivazione, diversi tipi di dispositivi tipici degli IoTi (frigoriferi, tele Raspberry Pi, gateway ADSL e telecamera IP, e chi più ne ha ne metta ) che fungono da riflettori (o specchi) negli attacchi DDoS e che utilizzano i protocolli SNMP e SSDP sono stati sottoposti a test di velocità di transito pacchetti per verificare il loro punto di saturazione. Cioè si va a calcolare il loro punto di saturazione che andrà a coincidere con la velocità massima di amplificazione.