Infosecurity Roma, 5 Giugno 2007 DDoS Mitigation Il valore della connettività Manuel Leone Pierluigi Urizio InfoSecurity, 5 Giugno 2007

Infosecurity Roma, 5 Giugno Agenda –La protezione dell’infrastruttura –Notizie dal mondo –L’efficacia delle contromisure –Il gruppo ITALTEL –Scenario e contesto di riferimento –Modelli di attacco –Tipologie di attacco –Dimensione del fenomeno –La soluzione network-centric –Conclusioni Pierluigi Urizio Manuel Leone

Infosecurity Roma, 5 Giugno La protezione dell’infrastruttura di rete Host Applicazione Rete UN ATTACCO A LIVELLO INFRASTRUTTURALE HA EFFETTO SU TUTTA LA CATENA E’ condizione INDISPENSABILE la protezione dell’infrastruttura La sicurezza su tutti i livelli della pila OSI

Infosecurity Roma, 5 Giugno Attacchi infrastrutturali: DoS & DDoS DENIAL of SERVICE Attacco che compromette la disponibilità di apparati o di server tenendoli impegnati in operazioni inutili ed onerose bloccando parzialmente o totalmente l’erogazione di servizi Se l’attacco proviene contemporaneamente da origini geograficamente diverse si parla di Distributed DoS o DDoS

Infosecurity Roma, 5 Giugno Notizie dal mondo …. Infrastructure Security Report 2006 Dei 55 operatori di rete interpellati (NordAmerica, Europa ed Asia) il 46% ha affermato che gli attacchi DDoS rappresentano la minaccia più significativa alla sicurezza Fonte: Arbor Networks Infrastructure Security Report 2006 Dei 55 operatori di rete interpellati (NordAmerica, Europa ed Asia) il 46% ha affermato che gli attacchi DDoS rappresentano la minaccia più significativa alla sicurezza Fonte: Arbor Networks

Infosecurity Roma, 5 Giugno Notizie dal mondo … 35 dei 55 interpellati riportano attacchi da 1Gbps 9 segnalano attacchi da 4 a 10 Gbps 10 riportano attacchi più ampi di 10 Gbps Fonte: Arbor Networks 35 dei 55 interpellati riportano attacchi da 1Gbps 9 segnalano attacchi da 4 a 10 Gbps 10 riportano attacchi più ampi di 10 Gbps Fonte: Arbor Networks

Infosecurity Roma, 5 Giugno Notizie dal mondo … Sensibile e costante incremento della portata degli attacchi (40 mensili) – L’attacco maggiore è stato nell’ordine di 25 Gbps – E’ stato osservato un attacco di saturazione UDP Flood di 37 Mpps – E’ stato osservato un attacco di saturazione SYN Flood di 14 Mpps Fonte: Arbor Networks Sensibile e costante incremento della portata degli attacchi (40 mensili) – L’attacco maggiore è stato nell’ordine di 25 Gbps – E’ stato osservato un attacco di saturazione UDP Flood di 37 Mpps – E’ stato osservato un attacco di saturazione SYN Flood di 14 Mpps Fonte: Arbor Networks Un attacco SYN Flood da 14 Mpps può quasi saturare un circuito STM-64 (10Gbps) con pacchetti di dimensioni minime Un attacco del genere oscurerebbe l’intera periferia di rete con perdite di connettività per le aziende

Infosecurity Roma, 5 Giugno Attacchi infrastrutturali: DoS & DDoS IPS DDoS Mitigation network- centric Limiti di banda Memo di 1 Gps 1 Gbps Multi Gbps Banda Massima dell’attacco IDS Router Firewall Nessuna StaticaDinamica Mitigazione attacco DDoS Mitigazione statica le regole per contrastare l’attacco DDoS sono fisse (ad esempio ACL). Mitigazione dinamica le regole per contrastare variano al variare del profilo dell’attacco.

Infosecurity Roma, 5 Giugno Gli ambiti DATA CENTRE + Cleaning Detection BACKBONE +

Infosecurity Roma, 5 Giugno Il gruppo ITALTEL 100% 48,77% 19,37% 18,40% 8,65% 2,16% US investment funds 2,65% Key Managers and employees Personale Fatturato Circa 2500 (46% in R&D) 546,1 Million € Uffici principali Milano, Roma e Palermo

Infosecurity Roma, 5 Giugno Agenda –La protezione dell’infrastruttura –Notizie dal mondo –L’efficacia delle contromisure –Il gruppo ITALTEL –Scenario e contesto di riferimento –Modelli di attacco –Tipologie di attacco –Dimensione del fenomeno –La soluzione network-centric –Conclusioni Pierluigi Urizio Manuel Leone

Infosecurity Roma, 5 Giugno Attacchi (D)DoS Un Denial Of Service Attack è un attacco realizzato allo scopo di bloccare l’utilizzo di un servizio da parte degli utenti legittimi. Esso può essere rivolto verso: Utenti di un servizio (ad esempio attaccando web server utilizzati per l’erogazione di applicazioni on-line). Specifici host, cioè singole risorse di rete che possono essere: Web & Application Server, DNS, Mail and IRC Server, ecc. Infrastruttura di rete, in modo bloccare il trasporto dell’informazione. Un Distributed Denial Of Service Attack è un attacco di DoS realizzato coordinando più sorgenti di attacco verso uno specifico obiettivo. Il primo attacco DDoS è stato ufficialmente rilevato nell’estate del (Fonte CIAC - Computer Incident Advisory Capability), sebbene il SYN Flood fosse noto ed in uso dal 1993 in ambito IRC. Altri attacchi celebri: Febbraio 2000 attacco a Yahoo, 22 Ottobre 2002 attacco ai 13 Root DNS nel tentativo di bloccare Internet (9 su 13), 6 Febbraio 2007 nuovo attacco ai 13 Root DNS (2 su 13). DDoS Attack - Scenario semplificato AttaccanteVittima

Infosecurity Roma, 5 Giugno Principali tipologie di attacchi (D)DoS Bandwith consumption Flood attack: Amplification attack: Protocol exploit attack: Malformed packets attack: Un elevato volume di pacchetti è inviato dagli attaccanti al fine di saturare le risorse dell’attaccato. Sono tipicamente utilizzati i pacchetti appartenenti ai protocolli UDP e ICMP. Si basa sull’amplificazione di un attacco DoS realizzata tipicamente sfruttando elementi di rete non correttamente configurati, ad esempio inviando messaggi di broadcast ad un’intera rete. Tipici attacchi di questo tipo sono lo smurf ed il fraggle, ma anche il DNS Recursion Attack. Si sfruttano le vulnerabilità presenti negli stack applicativi che gestiscono i protocolli. Ad es. nel TCP SYN Attack gli attaccanti inviano SYN Request per costringere la vittima ad allocare risorse per gestire connessioni il cui handshake non verrà mai completato. Elevato numero di pacchetti Basso numero di pacchetti Questo tipo di attacco intende bloccare un sistema inviandogli pacchetti malformati. Ad esempio si possono generare pacchetti con l’indirizzo IP sorgente e destinazione uguali (land attack), con frammenti IP sovrapposti (teardrop attack). Resource starvation Broadcast Amplification Attack Flood Attack Reflection Attack DNS Amplification Attack

Infosecurity Roma, 5 Giugno DDoS Mitigation: Scenario di riferimento Infrastruttura Cliente PoP Big Internet L’attacco DDoS satura la banda dell’ultimo miglio Traffico elevato = Impossibilità per il cliente di gestire l’attacco dalla sua infrastruttura. Infrastruttura Operatore Traffico molto elevato = in assenza di contromisure, anche l’infrastruttura di rete dell’Operatore può essere messa in crisi. Difficoltà nel distinguere il traffico legittimo da quello malevolo: il blocco del traffico non risulta una soluzione ottimale per evitare la saturazione di banda.

Infosecurity Roma, 5 Giugno Modelli di attacco DDoS: Agent-Handler (1/4) Target Agent Handler Attacker Esempi Celebri: Trin00, Tribe Flood Network (TFN), TFN 2k, Stacheldraht, Shaft. TCP, UDP, ICMP Botnet TCP/UDP (encrypted)

Infosecurity Roma, 5 Giugno Modelli di attacco DDoS: IRC-Based (2/4) Target Agent Attacker IRC Network Esempi Celebri: Trinity, Knight, Kaiten. TCP, UDP, ICMP Botnet IRC

Infosecurity Roma, 5 Giugno Modelli di attacco DDoS: Web-based (3/4) Target Agent Web Server (report, commands, control) Attacker Esempi Celebri: Dumador, Torpig, Briz, HaxDoor. TCP, UDP, ICMP Botnet HTTP (encrypted)

Infosecurity Roma, 5 Giugno Modelli di attacco DDoS: Peer-to-Peer-Based (4/4) Target Attacker P2P Network Esempi Celebri: DC++ Attack (>300k IP, >1Gbps). P2P Protocol (e.g. HTTP) No Botnet P2P Nodes P2P Protocol (e.g. HTTP)

Infosecurity Roma, 5 Giugno Botnet Attacchi DDoS: Flood (1/4) Target Flood Attack Agent UDP, TCP or ICMP spoofed packets. Agent Attacker Agent/Handler Attack Model IRC-based Web-based

Infosecurity Roma, 5 Giugno Attacchi DDoS: Reflection (2/4) Target Reflection Attack (es. Fraggle) Agent Spoofed ICMP (ECHO_REQUEST) or UDP packets (Source IP = Target IP) ICMP (ECHO_REPLY) or UDP (PORT/PROTOCOL UNREACHABLE ) packets

Infosecurity Roma, 5 Giugno Mis-configured Network Attacchi DDoS: Broadcast Amplification (3/4) Target Broadcast Amplification Attack Agent Spoofed ICMP (ECHO_REQUEST) packets to broadcast address (Source IP = Target IP) ICMP (ECHO_REPLY) packets

Infosecurity Roma, 5 Giugno Attacchi DDoS: DNS Amplification (4/4) Target Agent DNS Amplification Attack DNS Server (Open Recursive) Spoofed UDP packets (Source IP = Target IP) Esempio: Query EDNS (RFC2671) Large Buffer Advertisement TXT/SOA Response Totale Request: 60 byte Fattore di Amplificazione (Teorico) = 73. Esempio: Type A Response: 122 byte TXT Response: 4,000 byte SOA Response: 222 byte Totale Response: 4,320 byte

Infosecurity Roma, 5 Giugno DDoS: Tipologie di impatto causate dai DDoS Impatto Economico e Finanziario Impatto Economico e Finanziario Danni d’immagine Perdite dovute alla pubblicità negativa e riduzione della fiducia conseguenti al verificarsi di incidenti. Sanzioni normative Pagamenti dovuti al non mantenimento degli SLA concordati con il cliente. Perdita di produttività Dovuta all’impossibilità per i propri dipendenti di utilizzare le postazioni di lavoro. Perdita di clienti Clienti insoddisfatti della degradazione del servizio che possono decidere di sostituire l’operatore. Perdita di fatturato Dovuta alle mancate transazioni eseguite dai possibili clienti. Disaster recovery Costi in termini di risorse impiegate e di tempo necessario per gestire l’incidente di sicurezza, se presenti anche i costi necessari alla riparazione delle macchine attaccate.

Infosecurity Roma, 5 Giugno Le dimensioni del fenomeno DDoS: Economics Fonte: CSI/FBI 2005 Computer Crime and Security Survey Anche nell’indagine CSI/FBI 2005, svolta negli USA consultando circa 700 aziende, il DDoS è risultato la quarta tipologia di attacco, sia in termini di perdita economica (7,310,725$), sia in termini di numerosità (circa 1 intervistato su 3 è stato attaccato mediante DDoS). Security incidents total costs Sabotage$871,000 System penetration$901,500 Web site defacement$958,100 Misuse of public Web application$2,747,000 Telecom Fraud$3,997,500 Unauthorized access$4,278,205 Laptop theft Financial fraud Abuse of wireless network Insider Net abuse Theft of propritary info Denial of service Virus $6,734,500 $7,670,500 $10,159,250 $10,601,055 $11,460,000 $ 26,064,050 $55,053,900 mean cost * $3,238 $3,351 $3,352 $10,212 $14,860 $15,904 $25,035 $28,515 $37,767 $39,409 $42,602 $ 96,892 $204,661 * Valutato rispetto ai 269 campioni Da un’indagine di febbrario 2005 condotta negli Stati Uniti sui costi totali associati agli incidenti di sicurezza informatica riportati su un campione di 269 aziende risulta particolarmente significativo il dato associato alle perdite subite per attacchi DDOS Evento coinvolto dal disservizio Costs per hour Retail Brokerage$6,45 Million per hour Credit card sales authorization$2.6 Million per hour Infomercial/800 number sales$200,000 per hour Catalogue sales center$90,000 per hour Fonte: 2005 Quarry Technologies COSTO DDOS PER INDISPONIBILITÁ DEL SERVIZIO (M$/hour) Un’indagine svolta negli Stati Uniti mostra come l’indisponibilità del servizio possa provocare grave perdite ad utenti che svolgono il proprio business utilizzando Internet per l’erogazione dei propri servizi a causa dell’ impossibilità da parte dei clienti di compiere le normali transazioni DANNO ECONOMICO PER TIPOLOGIA DI INCIDENTE INFORMATICO ($)

Infosecurity Roma, 5 Giugno La dimensione del fenomeno DDoS: Attacchi nel mondo Il numero medio di attacchi DoS su base giornaliera è aumentato consistentemente negli ultimi due anni ( ), caratterizzato da un CAGR pari a circa il 246%. Fonte: Symantec Internet Security Threat Report (2006).

Infosecurity Roma, 5 Giugno La dimensione del fenomeno DDoS: Le bande di attacco Gli attacchi DDoS rilevati sulla rete Telecom Italia hanno raggiunto valori di banda pari a 4.2 Gbps, in grado quindi di bloccare la connettività sostanzialmente di qualsiasi cliente. nel mondo… …ed in Telecom Italia Fonte: Arbor Networks (2006). 30 Aprile 2006 Banda 4.2 Gbps

Infosecurity Roma, 5 Giugno La dimensione del fenomeno DDoS: Botnet Stime affermano che su 600M di PC circa 150M sono (stati) parte di una botnet (fonte: Vint Cerf). Ottobre 2005: identificazione botnet composta da 1.5M di host infetti (fonte: Polizia Olandese). Possibilità noleggio botnet composta da 30k host infetti a 100 euro per ora (Fonte Reuters). Fonte: Symantec Internet Security Threat Report (2007). Fonte: Shadowserver (2007).

Infosecurity Roma, 5 Giugno DDoS: Le contromisure applicabili Mitigazione attacco DDoS IPS Memo di 1 Gps Nessuna 1 Gbps Multi Gbps Statica Dinamica DDoS Mitigation network-centric Limiti di banda Banda Massima dell’attacco IDS Composto da due parti: identificazione e mitigazione dell’attacco Router Firewall Mitigazione statica le regole per contrastare l’attacco DDoS sono fisse (ad esempio ACL). Mitigazione dinamica le regole per contrastare variano al variare del profilo dell’attacco. Attacchi documentati sino a 10 Gbps Anomaly Detection non specializzata per DDoS. No Mitigation. Supporto limitato per lo spoofing. Posizionamento sfavorevole per la gestione dei DDoS. Contromisure prevalentemente statiche. No Anomaly Detection. Supporto limitato per lo spoofing (RPF). Anomaly Detection non specializzata per DDoS. Mitigation limitata. Contromisure statiche. No Anomaly Detection. Supporto limitato per lo spoofing (es. RPF).

Infosecurity Roma, 5 Giugno Reinjection La piattaforma garantisce infine il corretto re-instradamento del traffico ripulito verso il target. 4 DDoS Mitigation: Le Fasi della Mitigation network-centric 1 Detection Fase di rilevamento e individuazione dell’attacco DDoS mediante paradigma di anomaly detection (piattaforma di detection). Diversion In seguito all’individuazione dell’attacco da parte della piattaforma di detection vengono attivare le procedure per il re-instradamento del traffico verso i centri di analisi e di filtraggio al fine di ripulire il traffico anomalo. 2 3 Cleaning La piattaforma per il cleaning del traffico applica dinamicamente, alla zona interessata, una serie di filtri finalizzati a contrastare il particolare attacco DDoS rilevato dalla piattaforma di detection.

Infosecurity Roma, 5 Giugno DNS DDoS Mitigation: Le Fasi della Mitigation network-centric Broadband area DDoS Infrastructure area DDoS Server area DDoS Detection Platform PoP Peering Point Detector Cleaner AS

Infosecurity Roma, 5 Giugno DNS DDoS Mitigation: Le Fasi della Mitigation network-centric Adding Dynamic- Filters Rat e- Limi ting PoP Detection Platform Detector Cleaner Peering Point AS

Infosecurity Roma, 5 Giugno DNS DDoS Mitigation: Le Fasi della Mitigation network-centric PoP Detection Platform Detector Cleaner Peering Point AS

Infosecurity Roma, 5 Giugno Adding Dynamic-Filters Static Packet Filters Filter out packets according to pre-defined rules. Rate-limiting Rate limiting of traffic towards the zone. Dynamic Packet Filters Filter out packets Per Flow, Protocol, Source IP. Anti-Spoofing Mechanisms Filter out packets from spoofed sources. Statistical Inspection Anomaly Recognition per flow compared to a baseline. Rate-Limiting DDoS Mitigation: il Processo di Cleaning

Infosecurity Roma, 5 Giugno DDoS Mitigation: Conclusioni –Oggi gli attacchi DDoS basati su botnet sono tra gli attacchi di Denial of Service più pericolosi e difficili da gestire. –I modelli di attacco sono in continua evoluzione (ad esempio segmentazione delle botnet in “squadre speciali” caratterizzate da capacità computazionali e di banda differenti, utilizzo di nuovi protocolli come il VoIP per il controllo ed il coordinamento dell’attacco, nuove tecniche di rootkit, ecc.). –Sebbene esistano diverse soluzioni percorribili, l’approccio network-centric, abbinato all’anomaly detection, sembra il più promettente. –Questo modello implica che sia la rete ad agire proattivamente e a contenere l’attacco, garantendo la connettività agli utenti legittimi.

Infosecurity Roma, 5 Giugno Q&A Pierluigi Urizio Business Development Manager Manuel Leone Security Program Manager