cyber-attacchi-Stato-Eurovision

Gli attacchi cyber crime proseguono ininterrottamente, ad opera del collettivo Killnet che, a quanto pare, ha preso di mira il nostro Paese. Dall’11 maggio, difatti, l’Italia si vede in posizione di difesa, a protezione del sistema di sicurezza nazionale, messo a dura prova.

Un tentativo di attacco, per fortuna sventato, ha riguardato il sistema di televoto della 66a edizione dell’annuale concorso canoro dell’Eurovision.

La tecnica di attacco utilizzata è di tipo DDoS (Distributed Denial of service), letteralmente significa “Interruzione distribuita del servizio”, e si traduce nel tempestare di richieste un sito, fino a metterlo KO e renderlo irraggiungibile.

In realtà, come chiarito dal Csirt del Governo, gli attacchi in parola non sono di tipo volumetrico bensì sono volti a sovraccaricare le risorse dell’applicativo server che erogano servizi tra cui i server web.

Nel comunicato diramato da CSIRT, ente istituito presso l’Agenzia per la cybersicurezza nazionale (ACN), si apprende che per:

  • IDENTIFICARE L’ATTACCO è necessario ispezionare il traffico HTTP registrato nei log del server, individuando eventuali elementi in comune tra le richieste riconosciute come malevole
  • MITIGARE L’ATTACCATO è necessario:
    • rifiutare le connessioni con metodi HTTP non supportati dall’URL;
    • limitare l’intestazione e il corpo del messaggio a una lunghezza minima ragionevole. Per URL specifici, impostare limiti più severi e appropriati per ogni risorsa che accetta un body del messaggio;
    • impostare un timeout di connessione assoluto, ove possibile, utilizzando le statistiche di connessione (ad es. un timeout leggermente maggiore della durata media delle connessioni dovrebbe soddisfare la maggior parte dei client legittimi);
    • utilizzare un backlog di connessioni in sospeso. Esso consente al server di mantenere le connessioni che non è pronto ad accettare, bloccando di conseguenza un attacco Slow HTTP più ampio, oltre a dare agli utenti legittimi la possibilità di essere serviti sotto carico elevato. Se il server supporta un backlog, si consiglia di renderlo ragionevolmente grande in modo che il proprio server web possa gestire un attacco di lieve entità;
    • definire la velocità minima dei dati in entrata e bloccare le connessioni che sono più lente della velocità impostata. Si evidenzia di fare attenzione a non impostare il valore minimo troppo basso per non bloccare le connessioni legittime;
    • attivare gli strumenti di protezione da questa tipologia di attacco disponibili tramite dispositivi di sicurezza quali Web Application Firewall e Next Generation Firewall L7.

Ti serve una consulenza privacy?

Il nostro team sarà felice di trovare la soluzione perfetta per te!