Paperino e i perfidi hacker di Unknown

Nel numero di Topolino di questa settimana c’è una storia molto divertente, un po’ più divertente se siete degli appassionati della sicurezza informatica.

La storia è della serie di DoubleDuck (ovvero Paperino agente segreto di una organizzazione contro il crimine), e si intitola appunto Unknown.

Chi sono gli Unknown? Ma ovviamente un gruppi di hacktivist come dire…. anonimi… 🙂

Gli hacktivst di Unknown

Cliccate per ingrandire.

Molto divertente anche l’immagine dell’hacker che smanetta al computer naturalmente con la maschera di Guy Paper Fawkes.

Quello che è ancora più interessante per chi è del mestiere è l’articolo a corredo della storia che, giocando un po’ sui termini e sul significato in italiano, fa una bella panoramica sulle varie tipologie di smanettoni informatici.

Hacker Topolino

La cosa molto interessante è che l’articolo, ad opera di Barbara Garufi, è scritto insolitamente bene, non solo per una rivista di fumetti, ma anche per una qualsiasi testata giornalistica italiana.

Troppo spesso infatti i media mainstream fanno confusione tra hacker, cracker, hacktivist e criminalità organizzata.

In questo caso invece l’articolo mette subito in chiaro i confini e le distinzioni. E lo fa semplicemente, in poche righe e con concetti molto lineari.

Tipi hacker

L’articolo continua con la corretta classificazione dei vari tipi di hacker, messi più o meno in ordine di pericolosità.

Il modo è molto simile, anzi credo sia abbastanza ispirato, al lavoro fatto da Raoul Chiesa e ISECOM sull’Hacker Profiling Project, di cui è disponibile anche un ottimo libro.

La conclusione della carrellata è, correttamente, con il profilo più pericoloso di tutti, il cyber-soldato, la figura che ha più tempo, risorse e armi a sua disposizione.

Cyber-Soldier

Notevole anche qui come in poche righe si spieghi chiaramente lo scenario di cyber-warfare, attuale e reale, che molti quotidiani titolati ignorano o trattano con superficialità.

Anche la storia stessa, non vi svelo il finale, è impostata correttamente per far capire la psicologia di un hacktivist. Certo una persona che opera molto spesso oltre il confine legale, ma non è mai rappresentata come cattivo. Nella storia i villain sono altri, molto più pericolosi e legati alla malavita organizzata internazionale.

Addirittura alla fine c’è un piccolo colpo di scena che fa sembrare molto simpatici al lettore gli hacktivist di Unknown, seppur commettendo dei reati.

Insomma, una storia da leggere e conservare.

E da far leggere a chi vuole capire bene i complessi profili hacker, e non solo ai ragazzi.

Anzi, dovrebbero leggerla molti adulti e molti responsabili di servizi e sistemi IT.

Annunci

Gli hacktivist e la guerra in Siria

I venti di guerra soffiano e purtroppo continueranno a soffiare su scenari classici, e la Siria potrebbe essere presto uno di quelli.

Stavolta però, proprio perché parliamo della Siria, la guerra combattuta non sul fronte del confine o delle città, ma sulla linea rossa del web e di internet, il cyberwarfare, avrà probabilmente la sua prima uscita pubblica.

Da anni gli analisti di sicurezza (informatica e non) di tutto il mondo studiano il fenomeno dei gruppi di hacktivist che combattono e si combattono una guerra parallela, più “fredda” di quella ufficiale. Se non altro perché non ha, per ora e per quel che ne sappiamo, morti ammazzati.

Questi gruppi sono sempre stati attivi, e sono sempre stati più o meno esplicitamente supportati dai rispettivi governi. Ogni tanto c’è qualche notizia sui media mainstream, in particolare quando ci sono frecciatine più o meno pesanti da parte dei vari governi, come ad esempio questa degli Stati Uniti contro gli attacchi hacker cinesi.

La Siria, dicevamo, è diversa. Ma perché?

Perché la Siria dispone del primo vero, pubblico e pubblicamente supportato dal suo governo gruppo di hacker destinati al cyberwarfare: il Syrian Electronic Army.

Per capire quanto sia attivo questo gruppo, basta fare una ricerca sul sito di Graham Cluley (uno degli analisti di sicurezza informatica più attenti su questo tema, dopo aver lavorato per anni in Sophos)

clueleysyria

E questi sono gli attacchi delle ultime settimane.

Come si può notare il target prediletto del SEA sono i principali media statunitensi.

Addirittura qualche giorno fa sono arrivati, tramite un semplicissimo attacco di tipo spear phishing, quasi a modificare la homepage del New York Times.

Dallo screenshot pubblicato proprio dal SEA si vede come avevano già modificato il feed delle notizie, inserendo un sito arabo pro-governo siriano

nytsea

Ma, come in tutti gli scenari di guerra classici, chi è attaccato non sta fermo a subire le conseguenze. Reagisce.

Mentre però in uno scenario classico sono gli stati a farsi la guerra, nel mondo degli hacktivist non c’è una distinzione chiara delle parti, anzi spesso la confusione di chi-si-allea-con-chi è tale che gruppi di hacktivist di una nazione possono agire in contrasto al loro stesso governo.

Proprio in questi giorni, sulla pagina Facebook del movimento LulzSec, è partita una pesante campagna di reclutamento di persone esperte in vari settori, proprio per agire in vista di un possibile attacco alla Siria.

LulzSec era (ma sarebbe meglio dire è) un gruppo di hacker e hacktivist molto famoso nell’ambiente, noto in particolare per l’Operazione Antisec, proprio in contrasto alle misure antiterrorismo del governo USA, che puniscono severamente anche le attività di hacking.

Alleati e partner di Anonymous in diverse operazioni, furono poi duramente colpiti quando uno dei loro capi si rivelò essere un informatore dell’FBI, e questo portò all’arresto di diversi altri esponenti di punta del gruppo.

Queste azioni comunque hanno solo rallentato l’attività del gruppo, che come detto in questi giorni di preparativi di una guerra in Siria sta raccogliendo le forze

lulz

lulzjihad

Il punto più interessante è che il target sono sì i siti jihadisti e in ogni caso il governo Siriano. Ma l’operazione nasce principalmente per aiutare chi si trova in Siria

lulztor

Ma non in ogni caso a supportare un possibile attacco USA.
Vista la palese ostilità del gruppo verso Washington.

In conclusione la situazione, come già detto, è molto confusa, ma probabilmente questi sono gli scenari con cui ci dovremo confrontare sempre di più nei prossimi anni.

Specialmente perché gli hacktivist tendono sempre ad agire in base ad una specifica ideologia, e quindi sono potenzialmente molto più pericolosi, meno prevedibili e più spregiudicati di un potenziale gruppo hacker militare o governativo.

Molto spesso infatti proprio i governi sfruttano questi gruppi per fare vere e proprie operazioni underground, ben al di la di qualsiasi legge nazionale ed internazionale.

Del resto come ha scritto Topiary, uno dei leader di LulzSec arrestati dopo il “tradimento” di Sabu, nel suo ultimo tweet

Altri esempi di social risk

Di cosa sia il social risk avevo già parlato, ma recentemente sono emersi due eventi che hanno evidenziato sia l’attualità della questione sia soprattutto i rischi reali che si corrono sottovalutando l’uso di questi strumenti.

Caso vuole che siano coinvolte le due principali aziende di fast food del mondo.

Il primo è senza dubbio quello successo a Burger King.

L’account twitter della società è stato violato ed è stato modificato per somigliare a McDonald’s, aggiungendo ovviamente un bel po’ di tweet offensivi…

Fonte abc News

Fonte abc News

Non si hanno i dettagli dell’attacco, ma sicuramente è dovuto ad una scarsa sicurezza. Di Twitter in primis (e ne ho già parlato proprio qualche giorno fa), che non dispone di una autenticazione a due fattori, ma soprattutto di chi gestisce il profilo, che ha impostato una password troppo semplice, e soprattutto non ha monitorato quello che stava succedendo.

Sicuramente non è stato un momento piacevole per la struttura di PR dell’azienda, ma la cosa grave è che l’incidente è nato da una palese sottovalutazione della sicurezza di certi strumenti.

L’altro caso lo riferisce Sophos, e riguarda (casualità) il concorrente: McDonald’s.
Quello che è successo stavolta è che è girato su Facebook una foto fake in cui un non meglio identificato ristorante McD esponeva un cartello molto razzista:

Fonte Sophos Naked Security

Fonte Sophos Naked Security

L’immagine ha avuto quarantamila condivisioni. Era fake perché il numero verde riportato sotto non era di McDonald’s ma addirittura dell’altro concorrente KFC.

Questo sicuramente mostra come su Facebook sia facile far girare delle bufale, ma soprattutto indica come sia necessario monitorare la presenza sui social newtork (tramite sentiment analysis), al fine di prevenire questo genere di eventi, e rispondere prontamente.

In questo caso McDonald’s non aveva ovviamente colpe, non essendo stata attaccata direttamente.
Ma senza un’accurato monitoraggio potrebbe subire un incidente ancora più grave, ad esempio perché la foto falsa potrebbe provocare un attacco pesante da parte di gruppi di hacktivist.

Bye!

Cos’è e come si gestisce il Social Risk

Questo articolo esce in crosspost con il blog Marketing Consumer, dove lo stesso tema è affrontato dal punto di vista della protezione dell’immagine dell’azienda, e fa parte della serie Spiegare la sicurezza.

Ho recentemente partecipato al Security & Risk Management Summit di Gartner. Tra i vari temi del convegno si è trattato anche di come le aziende debbano sempre di più occuparsi del social risk. Cioè di quanto le discussioni circa l’azienda sui social network possano provocare danni, anche molto gravi, all’immagine, al fatturato e alla sicurezza dell’azienda stessa.

La buona notizia è che ci sono gli strumenti per difendersi, come definire un’efficace social media policy, identificare un responsabile della social compliance e mettere in campo una squadra di marketing d’emergenza.

Questo argomento è particolarmente interessante perché riguarda non solo le strategie di marketing che un’azienda moderna deve mettere in pratica per difendersi, ma anche e soprattutto l’analisi e la prevenzione dei rischi. E, tanto per contestualizzare, il rischio principale di cui stiamo parlando è quello dell’hacktivism.

Sono stati portati diversi esempi, anche con testimonianze dirette di aziende, sui vari aspetti dell’interazione tra una società e il mondo dei social network. Si è passati da sensibilizzare i dipendenti a come proteggere la propria privacy (e di riflesso l’immagine dell’azienda), a come attivare delle policy corrette per gestire un grande evento.

Il caso più emblematico presentato è stato quello del CIO durante le ultime Olimpiadi di Londra, che non solo ha spinto gli atleti ad usare i social network definendo policy opportune (qui il documento dettagliato), ma le ha anche applicate duramente, laddove si siano verificate delle violazioni che potevano compromettere l’immagine delle Olimpiadi.

Quello su cui vorrei focalizzare l’attenzione è tuttavia una problematica molto particolare, ovvero come gestire le emergenze di comunicazione e marketing che possono emergere quando esplode un “incidente” sui social network, e in seguito sulla stampa mainstream.

Partiamo dall’inizio.

È sempre successo che possa arrivare, dall’interno o dall’esterno, un evento che possa nuocere all’immagine dell’azienda o del brand. Magari questo incidente viene poi ripreso dalla stampa e causa problemi o danni gravi per cui deve intervenire il reparto di public relations.

La gravità di questo incidente può aumentare se l’azienda lega molto la sua immagine o le sue azioni a concetti di tipo etico. Ad esempio se siete una compagnia petrolifera che si autodefinisce “green”, e poi vi beccano a trivellare un parco nazionale in Nuova Zelanda, allora la gente potrebbe reagire molto male. E come reazione intendo arrivare a concordare un’azione che possa provocare danno alla sicurezza dell’azienda, ai suoi dati riservati ed all’immagine dell’azienda sul web e sui media. Per esempio con un bel defacement.

Ora questo come fa a peggiorare con i social network? Perché nei gruppi online prima, e nei gruppi di Facebook e similari dopo, si concentra un’enorme quantità di energia. L’energia cresce perché in questi gruppi di persone, anche molto ampi, parlano costantemente del “nemico”. Ne parlano e non vedono l’ora di avercelo davanti. E il nemico può essere la multinazionale petrolifera, se il gruppo è di ambientalisti, o una qualsiasi azienda che ha a che fare con gli animali, se il gruppo è di animalisti, come in seguito.

Questa energia, se scatenata in seguito ad un incidente, provoca una reazione a catena enormemente più potente rispetto al normale flusso di eventi che veniva generato con il semplice intervento della stampa. Perché non dimentichiamocelo, stiamo nel mondo del Web2.0, dello user generated content. E perché le cose che avvengono su internet, oggi, restano lì per sempre.

Ed è proprio questa caratteristica a cambiare le carte in tavola e a richiedere interventi eccezionali e tempestivi.

Esaminiamo quindi un caso reale, citato al convegno, che illustra molto bene la tempistica di questi eventi. E insegna quali sono gli errori da evitare.

Alcuni di voi ricorderanno del negozio Petland di Akron, Ohio.
Petland è una catena in franchising di negozi di animali che puntava ad apparire particolarmente attenta alla cura dedicata ai piccoli amici domestici.

Il 29 luglio del 2009 una dipendente del negozio Petland di Akron  lascia due conigli maschi nella stessa gabbia, violando le politiche aziendali e la mission dell’azienda. Gli animali iniziano a picchiarsi selvaggiamente, tanto che la dipendente è costretta ad annegarli per evitare che muoiano di dolore dalle orribili ferite che si sono provocati. Ma la cosa più grave non è questa squallida e triste vicenda, quanto il fatto che la stessa ragazza posta sul suo profilo Facebook una foto sorridente tenendo gli animali morti come trofeo.

Questo evento scatena una serie di eventi riassunti in questo schema:

Akron Petland Incident Timeline

Fonte: Gartner

Il giorno dopo un amico su Facebook della ragazza segnala la cosa alla Humane Society, e successivamente alla PETA. La PETA chiede chiarimenti a Petland, che non considera adeguatamente la vicenda e non risponde alle richieste dell’organizzazione. Cinque giorni dopo la PETA chiama, utilizzando i social network, tutti i suoi iscritti all’azione e alla protesta contro il negozio di Akron e tutti gli altri negozi Petland degli Stati Uniti.

Otto giorni dopo la pubblicazione della foto Petland chiude il negozio di Akron, licenziando tutti i dipendenti (che passeranno i loro guai personali).
Trovate dettagli sulla vicenda, e la brutta foto della ragazza, sul sito ufficiale PETA.

Questo non è solo un case study molto utile a comprendere la potenza dell’energia racchiusa nei social network, ma anche un esempio dei danni che questo tipo di incidenti può portare ad un’azienda. Sì perché oltre a perdere un negozio, Petland ha avuto al sua reputazione distrutta, con danni che seguono ancora adesso.

Provate a cercare “Petland” su Google Immagini:

Ricerca Petland su Google Immagini

Ancora oggi compare la foto incriminata e la terza immagine, una di quelle più visibili, è di persone con cartelli “Petland uccide i cuccioli“.
Chi si affiderebbe ad un’azienda così, ora?

E tutto questo solo per non essersi accorti di un fatto molto grave, e soprattutto per non aver risposto pubblicamente e tempestivamente. E il motivo è semplice: l’azienda non aveva una social media policy per i dipendenti (la ragazza nemmeno pensava che la sua azione l’avrebbe portata a perdere il lavoro), non effettuava un monitoraggio dell’andamento del brand sulla rete, e non aveva un flusso di gestione della segnalazione proveniente da un gruppo di attivisti.

Questa brutta vicenda si è conclusa qui. Ma se il caso fosse stato ripreso da un gruppo di attivisti hacker, un gruppo anonimo ad esempio. E se questi avessero attivato subito una #op-petland su tutti i network? Ci sarebbero stati defacement sui siti aziendali, furto di informazioni e chissà quante altre cose, magari molto riservate, sarebbero uscite fuori…
E il danno sarebbe stato anche più grave che chiudere un negozio, il rischio era di chiudere tutta la baracca.

Vi chiedere come sia possibile difendersi da questo tipo di incidenti? Non è possibile. Avverranno sempre, e sempre più spesso dato l’enorme numero di persone in tutto il mondo che usa e userà i social network.

È possibile però mitigare il rischio, attraverso un’attenta gestione degli eventi.

Al fine di ottenere questo risultato sono è necessario un cambiamento di mentalità dei settori marketing e public relations dell’azienda, e l’introduzione di due figure fondamentali: il vice presidente della Social Compliance e il team di marketing di emergenza.

Il ruolo del VP Social Compliance (e pongo parecchia attenzione sulla qualifica di vice presidente, indice di quanto alto deve essere il commitment dell’azienda) è quello di definire le social media policy, da applicare sia internamente che esternamente. Definire le politiche di utilizzo vuol dire trasmettere al consumatore, cliente dell’azienda o più in generale un suo stakeholder, un’immagine coerente ed efficace del brand aziendale. Include sia formare degli operatori che alimenteranno i contenuti sui social network utilizzati, sia definire qual è il messaggio che l’azienda vuole trasmettere al suo pubblico e come farlo. Questo implica anche sensibilizzare i dipendenti sull’uso dei social network poiché potenzialmente dannoso per l’immagine dell’azienda. Questo avviene principalmente mostrando come impostare i livelli di privacy e come e cosa dire se non si vuole rischiare di creare danni. Molte persone nemmeno si rendono conto di quanto espongono pubblicamente, e quanto possono danneggiare non solo l’immagine aziendale, ma anche la propria.
Cosa ancora più importante, deve monitorare, mediante tecniche di sentiment analysis, l’andamento del brand aziendale sui gruppi internet. Solo in questo modo potrà identificare prontamente dei potenziali eventi pericolosi per l’immagine aziendale, e potrà definire le strategie di risposta per la gestione del rischio.

Una volta identificato un focolaio di rischio, è necessario che il responsabile della social compliance faccia intervenire il team di marketing d’emergenza, ovvero una squadra di professionisti delle pubbliche relazioni e della pubblicità addestrati a gestire situazioni di questo tipo. Loro interagiranno con le persone che hanno iniziato l’incidente, rispondendogli, indagando su cosa realmente è successo e fornendo il prima possibile una versione ufficiale dell’azienda sulla vicenda in questione.

Solo in questo modo sarà possibile non evitare che si inneschi un incidente, ma gestirlo e ricondurlo subito sotto il controllo dell’azienda. Questo per cercare di dominare il possibile rischio, e non subirlo.

Ovviamente potrebbe non bastare ad evitare una #op-qualcosa. Quindi è essenziale che il responsabile della comunicazione interagisca con il CISO dell’azienda, per allertare tutte le strutture di analisi degli eventi, di intelligence (OSINT, anyone…) e di prevenzione degli attacchi, al fine di monitorare attentamente la situazione.

Perché come dice il motto di questo blog: “l’unica cosa che puoi fare è accorgertene e rispondere”. E aspettarsi una cosa facilita senza dubbio il tutto.

Certamente questo tipo di organizzazione aziendale richiede molte risorse e molta maturità da parte dell’azienda, ma sta diventando praticamente obbligatorio per tutte le aziende esposte, per un motivo o per un altro, all’attenzione di gruppi di attivisti sui social network. Il rischio aumenta ovviamente con l’aumentare della dimensione dell’azienda.

C’è da dire che ci sono diversi documenti da cui trarre ispirazione. Il sito Social Media Governance propone un ben fornito database di policy già definite da alcune delle più grandi aziende del mondo. Basta capire qual è il ramo industriale della propria azienda e si può tranquillamente trarre ispirazione.

Tutte le società dovrebbero inoltre (e molte già lo fanno) usare tecniche di sentiment analysis per monitorare l’andamento dei propri brand sulla rete. Solo che questo monitoraggio va esteso dal semplice controllo delle campagne di marketing, anche alla difesa dell’immagine e degli asset dell’azienda stessa, va ampliato introducendo tecniche di Open Source Intelligence e va costantemente analizzato non solo dal reparto marketing, ma anche da quello della sicurezza IT.

Perché l’importante resta sempre dare una risposta all’utente arrabbiato o deluso. E la risposta deve arrivare il prima possibile, deve essere puntuale e onesta.

Altrimenti non si potrà evitare la deflagrazione dell’energia dei social network, e si rischia di bruciarsi davvero.

Bye!

Giocare sporco: anatomia di un attacco DDoS tramite game server

Trovate qui la traduzione italiana del mio articolo pubblicato sul numero 29 di ClubHACK Magazine.

Gli attacchi di tipo Distributed Denial of Service (DDoS) sono l’arma più comune e facile da utilizzare per creare grossi problemi e danni molto visibili ad un determinato bersaglio, e con uno sforzo molto limitato.

Questo attacco è senza dubbio quello più utilizzato dai gruppi di hacktivist, poiché necessita di un tool molto comune (come LOIC), e si basa sulla rabbia di centinaia, se non migliaia, di persone disposte a fare qualcosa di semplice. La sua efficacia deriva anche dal fatto che è un attacco molto complesso da evitare, questo perché gli attaccanti dispongono di una banda di rete enorme, e c’è poco altro da fare se non chiudere i firewall per evitare danni peggiori ai server interni. In ogni caso l’attaccante vince, e i servizi sono giù per un po’ di tempo.

Questo è l’unico lato positivo della storia, l’attacco non può durare a lungo e il “Tango Down“, se correttamente individuato e mitigato con una chiusura completa, durerà pochi minuti, lasciando il tempo a chi l’ha sferrato di bullarsi con il resto del mondo via Twitter.

Devo ammettere che spesso si assiste a società in grado di farsi un attacco DDoS da sole,  pubblicando servizi su server mediocri e con un’architettura di rete ridicola. Così non appena il sito va online tutto viene giù alla prima milionata di richieste della homepage. E questo causa molti più problemi che non un gruppo di hacktivist, non credete? 🙂

Tornando all’argomento dell’articolo, questo è il modo classico di eseguire un attacco DDoS, ci sono però altri metodi, più interessanti da analizzare e più raffinati, per creare questo tipo di disservizi.

Lavorando sul campo svolgo spesso analisi post-mortem su attacchi di vario tipo, e recentemente ho analizzato questa modalità di eseguire un DDoS tramite server di gioco online. Vediamo insieme come.

Partiamo dal dire che l’attacco non è eseguito direttamente dall’attaccante, ma usando, come fossero una botnet, un numero elevato di game server custom (cioè gestiti non dalla casa produttrice del gioco, ma da gruppi di fan, spesso illegalmente), sparsi per il globo. Sono loro che attaccheranno il bersaglio.

La Figura 1 mostra come l’attacco è eseguito:

Game server DDoS Attack Flood Scheme

Schema del flood DDoS tramite game server

La prima cosa che colpisce è che, tenendo presente che i game server custom possono essere dislocati ovunque nel mondo e che nascono e muoiono in continuazione, è praticamente impossibile identificare il reale attaccante.

Questo tipo di attacchi non è molto conosciuto, né molto eseguito, ma è stato individuato e descritto per la prima volta lo scorso anno.

Ma perché succede una cosa simile?
Succede perché questi server di gioco sono vulnerabili ad un attacco specifico. L’attacco viene eseguito chiedendo, con un pacchetto fatto ad hoc, lo status di gioco del server. Questa è una richiesta UDP molto piccola, ma se fatta spoofando l’IP sorgente del richiedente, il server risponde a quell’IP con un’enorme quantità di informazioni.

Sempre lo scorso anno uno degli sviluppatori di questi server custom ha pubblicato questa vulnerabilità, e contestualmente rilasciato una patch per risolvere il problema. Naturalmente in molti casi questi server sono del tutto illegali, il software è scaricato chissà da dove, e sono attivi in molte nazioni, comprese Russia e Cina. Non ci si può quindi aspettare che gli amministratori siano molto attenti ad applicare le ultime patch, o che rispondano a qualunque tipo di richiesta. Molto probabilmente chiuderanno bottega e ne attiveranno uno nuovo da un’altra parte.

Avendo modo di lavorare direttamente al caso, posso pubblicare i dettagli dell’attacco, analizzando il traffico reale. Come potete facilmente immaginare, non pubblicherò il bersaglio dell’attacco, né i nomi o gli IP dei game server coinvolti. Questo è solo un case study per capire come funziona questo tipo di performance.

La prima cosa da notare è la tipologia dei pacchetti. Come detto è tutto traffico UDP, di dimensione variabile, inviati alla porta 21 del server oggetto dell’attacco.

Fusso UDP di risposta

Fusso UDP di risposta

Guardando il dettaglio di un paio di flussi, possiamo vedere che il pacchetto è uno statusResponse da un server custom di Call of Duty.

CoD statusResponse

CoD statusResponse 2

Potrei continuare a mettere screenshot per giorni, i server coinvolti nell’attacco erano centinaia, e ognuno aveva inviato un’enorme quantità di risposte. Immagino che i giocatori non fossero molto contenti dei lag nel gioco durante l’attacco!

Call of Duty non è stato l’unico gioco utilizzato, ma erano coinvolti anche dei server Quake 3.

Quake3 game server resposne

E anche in questo caso abbiamo un pacchetto statusResponse.

Quake 3 response

Penso che sarete d’accordo con me nel ritenere questo attacco molto più raffinato e ordinato, rispetto ad un classico DDoS eseguito con LOIC.

Vi domanderete ora come fare ad evitare questo tipo di attacchi.
C’è poco da fare purtroppo.

Mettere in blacklist i game server è una tattica poco efficace, loro e i loro IP vanno e vengono ogni giorno, quindi non servirebbe a molto. Proseguendo con il patching questo tipo di vulnerabilità potrebbe andare a morire, ma ci saranno sempre server vulnerabili in giro, spesso da certe nazioni, pronti ad essere usati per sferrare questi attacchi.

Come al solito la migliore difesa monitorare costantemente cosa accade sulla vostra rete. Solo in questo caso è possibile rispondere rapidamente e provare a mitigare l’attacco, sia tramite blacklist temporanee, sia tramite chiusure dei firewall.

Ma, come al solito, se non vedete nulla non saprete mai cosa sta succedendo.

Federico Filacchione
pubblicato originariamente come “Playing Bad Games: Anatomy of a Game-Server DDoS Attack” su ClubHACK Magazine numero 29.