Il ruolo degli IoT negli attacchi DDos. Come iniettori o specchi.

13 Febbraio 202427 Marzo 2024 Giovanni Popolizio amplified reflection, Attacco DDoS, Cybersecurity, DDoS Attack, Distributed Deny of Service, Iot e DDos, MLDS, multi-location defence schem, sicurezza informatica, SSDP

Iot e DDos

Oggi molti dispositivi intelligenti (IoT) supportano la comunicazione IPv6. L’IPv6 fornisce uno spazio di indirizzamento molto più ampio del IPv4. Questo è il motivo per cui i dispositivi IoT hanno iniziato ad indirizzare e a connettersi in rete in IPv6. Tuttavia, un gran numero di dispositivi dell’internet “degli oggetti” può essere utilizzato in modo improprio dagli hacker. Un metodo preferito dagli aggressori negli ultimi anni è l’attacco DDoS portato dagli apparecchi IoT.

Negli ultimi anni, negli attacchi Distributed Deny of Service (DDoS) si sono verificati due importanti cambiamenti : la “riflessione amplificata” (amplified reflection) e l utilizzo degli IoT. Insieme hanno motivato fondate preoccupazioni di sicurezza relative alla superficie d’attacco offerta potenzialmente dagli IoT per il DDoS. Infatti gli IoT possono essere utilizzati come come riflettori nel amplified reflection .

SSDP e MLDS

Gli attacchi che utilizzano i quattro protocolli ci mostrano modelli in cui:

Il “riflettore” satura, senza sostenere la massima velocità di amplificazione, per tassi di iniezione molto bassi (tra 10 e 100 sondaggi (probe)/sec). Quindi, se da un lato i dispositivi IoT, in generale, non sarebbero considerati buoni riflettori, dall’altro sarebbero buoni iniettori. Qualsiasi aggressore, molto specializzato, potrebbe quindi utilizzare più iniettori mantenendo bassi i tassi di iniezione. Ciò richiederebbe certamente un maggiore coordinamento da parte dell’aggressore, ma tende a ostacolare il rilevamento.

La proliferazione dell’Internet degli oggetti (IoT) ha portato a un rapido aumento degli attacchi di “riflessione” SSDP (Simple Service Discovery Protocol). Tuttavia, i tentativi di difesa da questi attacchi sono molto scarni. Solo con alcuni consigli ingegneristici avanzati si possono mitigare questi attacchi.

Tipico esempio di schema ingegneristico complesso è il cosiddetto schema di difesa multilocalizzazione ( multi-location defence scheme -MLDS). L’MLDS opera in più luoghi e da più luoghi, lavorando su tutta la catena di attacco: si partire dalle fonti di attacco fino alle vittime.

Gli aggressori di solito utilizzano una rete bot per lanciare gli attacchi, ma i bot possono agire come difensori per realizzare strategie di difesa nel nostro MLDS. Questo è un approccio non convenzionale per rendere efficace la difesa.

Di conseguenza, negli ultimi anni la “riflessione amplificata” e IoT hanno fissato nuovi standard per gli attacchi DDoS. Con questa motivazione, diversi tipi di dispositivi tipici degli IoTi (frigoriferi, tele Raspberry Pi, gateway ADSL e telecamera IP, e chi più ne ha ne metta ) che fungono da riflettori (o specchi) negli attacchi DDoS e che utilizzano i protocolli SNMP e SSDP sono stati sottoposti a test di velocità di transito pacchetti per verificare il loro punto di saturazione. Cioè si va a calcolare il loro punto di saturazione che andrà a coincidere con la velocità massima di amplificazione.

Ricapitoliamo

Il Simple Service Discovery Protocol (SSDP) è un protocollo di rete utilizzato principalmente nelle reti locali per scoprire dispositivi e servizi disponibili. È un componente chiave del framework UPnP (Universal Plug and Play), che consente ai dispositivi di comunicare tra loro e di offrire servizi come la condivisione di file, la stampa di rete e la riproduzione multimediale. SSDP si basa sul protocollo di trasporto HTTP (Hypertext Transfer Protocol) e utilizza il metodo di richiesta-risposta per individuare i dispositivi e i servizi sulla rete.

Gli attacchi SSDP sfruttano le caratteristiche di questo protocollo per condurre attacchi di amplificazione DDoS (Distributed Denial of Service). In breve, gli aggressori inviano richieste SSDP falsificate a un gran numero di dispositivi che supportano questo protocollo, costringendoli a inviare risposte a un indirizzo IP specificato dall’attaccante. Poiché le risposte dei dispositivi possono essere molto più grandi delle richieste iniziali, gli attacchi SSDP possono generare un’enorme quantità di traffico di rete, sovraccaricando le risorse del bersaglio e causando interruzioni del servizio.

Per contrastare gli attacchi SSDP e altre minacce DDoS, è stata proposta la strategia di difesa multilocalizzazione (MLDS). Questo schema di difesa si basa sull’idea di distribuire le risorse di difesa in più posizioni nella rete, affrontando così l’attacco su più fronti. L’MLDS non solo si concentra sulla mitigazione degli attacchi esistenti, ma mira anche a prevenire la propagazione degli attacchi attraverso una risposta coordinata e tempestiva.

In pratica, l’MLDS coinvolge l’implementazione di contromisure in vari punti della rete, dalla periferia al nucleo. Queste contromisure possono includere filtri di traffico, sistemi di rilevamento e risposta agli intrusi (IDS/IPS), limitazione della larghezza di banda e altre tecniche di mitigazione. Inoltre, l’MLDS può sfruttare l’intelligenza artificiale e l’apprendimento automatico per rilevare e rispondere in modo dinamico agli attacchi in tempo reale, migliorando così l’efficacia complessiva della difesa.

Utilizzando l’MLDS, le organizzazioni possono migliorare la resilienza della propria infrastruttura di rete contro gli attacchi DDoS, riducendo al contempo l’impatto negativo sulle prestazioni e sulla disponibilità dei servizi online. La combinazione di strategie di difesa avanzate come l’MLDS con la costante vigilanza e l’aggiornamento delle politiche di sicurezza può aiutare a proteggere le reti digitali da una vasta gamma di minacce informatiche in continua evoluzione.