Tra le tante tipologie di attacchi del cybercrime ne abbiamo una capace di fare parecchi danni, a dispetto del nome (Smurf, ovvero puffo) in apparenza simpatico. Di che cosa stiamo esattamente parlando? Dell’attacco Smurf, una minaccia che rientra nella famiglia dei DDoS. Vediamo i dettagli.
Cos’è un attacco Smurf
Come sempre cerchiamo di partire da una definizione che ci aiuti a comprendere il quadro: l’attacco smurf è una minaccia di tipo DDoS (Distributed Denial-of-Service) nella quale i cybercriminali inondano il server della vittima con pacchetti IP (Internet Protocol) e ICMP (Internet Control Message Protocol) contraffatti, rendendo dunque il sistema bersaglio di fatto inutilizzabile. Si tratta di un attacco che ha iniziato a prendere piede già dagli anni Novanta, ma che ancora oggi può rappresentare una minaccia.
Dietro il funzionamento di questo attacco c’è il malware DDoS.Smurf, capace di sfruttare per l’appunto le vulnerabilità del protocollo Internet (IP) e dei protocolli per i messaggi di controllo in Internet (ICMP). Riuscendo nonostante le dimensioni ridotte anche a colpire grandi bersagli, proprio come facevano i puffi nella nota serie animata.
Differenza tra un attacco Smurf e un attacco DDoS
Esiste una leggera differenza di tipo tecnico tra un attacco Surf e un classico attacco DSoS. Vediamo quale: così come nei DDos, anche gli Smurf hanno l’obiettivo di impedire alle vittime di accedere alla rete inondandola di richieste di informazioni false.
La differenza è nello sfruttamento delle vulnerabilità IP e ICMP, che caratterizzano dunque un attacco come Smurf, aumentandone la dannosità per le organizzazioni. Non solo: oltre a mettere fuori gioco il sistema informatico del target per un certo numero di ore, un attacco Smurf può anche essere il primo passo verso attacchi come il furto di dati o di identità.
In effetti, i cybercriminali acquisiscono la possibilità di ottenere un accesso non autorizzato ai dati presenti sui server della vittima durante un attacco Smurf. Ci sono poi, naturalmente, conseguenze più immediate, quali la perdita di fatturato: un server aziendale inutilizzabile per ore comporta inevitabilmente lo stop alle attività commerciali o a servizi di varia natura, con strascichi che possono essere anche pesanti per il business. Anche da un punto di vista reputazionale: essere colpiti e fermati da un attacco Smurf è tutto tranne che un bel biglietto da visita.
LEGGI ANCHE: Furto di identità cos’è, come funziona, quali problemi può creare tra GDPR e compliance
Come funziona un attacco Smurf?
La vulnerabilità è rappresentata dal fatto che alcune reti consentono ai client di trasmettere messaggi a tutti gli altri client dello stesso network semplicemente inviandoli a un singolo indirizzo di trasmissione (un fenomeno che viene chiamato brodcasting).
Dunque, per mettere in piedi un attacco Smurf, innanzitutto l’attaccante deve identificare l’indirizzo IP della vittima. A quel punto viene falsificato l’indirizzo IP del mittente (spoofato) con quello della vittima: successivamente si crea un pacchetto di dati (IMCP ECHO) a partire dal malware Smurf. Infine, i cybercriminali spediscono questi pacchetti con l’indirizzo dell’host della vittima. Il risultato è che tutti gli host della sottorete elaborano il pacchetto e generano un risposta, di tipo ICMP ECHO REPLY, indirizzato all’host vittima. Il risultato finale è che il server della vittima viene inondato e sovraccaricato di risposte ICMP, portando a una conseguente negazione del servizio al traffico legittimo. Lo Smurfing può essere particolarmente problematico per i sistemi informatici distribuiti, che consentono ai dispositivi di agire come ambienti informatici e agli utenti di accedere alle risorse in remoto.
Come proteggersi dallo Smurfing
La buona notizia è che oggi gli attacchi Smurf non fanno più così paura come nel passato. Anzi, è possibile dire che, se si mettono in atto le necessarie misure di protezione di sicurezza, il pericolo può essere ragionevolmente contenuto.
Come abbiamo visto, lo Smurfing prende di mira la rete, quindi occorre innanzitutto proteggere quest’ultima, evitando così il propagarsi della minaccia. Dunque, la protezione dallo Smurfing è oggi ricompresa in una strategia più ampia di prevenzione delle minacce che consenta alle organizzazioni di monitorare il traffico di rete, rilevare comportamenti anomali, sospetti o dannosi, nonché bloccare gli attacchi prima che abbiano inizio.
In particolare, per ottenere una efficace mitigazione degli attacchi smurf bisogna proteggere il nework aziendale, a partire dal router, configurando in maniera corretta il modo in cui i router e i dispositivi interagiscono con i pacchetti ICMP. Due sono le azioni da fare: da una parte disattivare l’indirizzamento IP broadcast su tutti i router della rete e configurare i router e i dispositivi in modo che non inoltrino o rispondano alle richieste di eco ICMP. In questo senso l’investimento in un nuovo router può essere utile, poiché le configurazioni anti smurfing sono spesso predefinite nei dispositivi più recenti. È invece probabile che i router più vecchi abilitino ancora il broadcasting per impostazione predefinita, mentre quelli più recenti probabilmente lo hanno già disabilitato.
Ovviamente un’altra buona soluzione è quella di dotare le proprie organizzazioni di un firewall di nuova generazione, che sia in grado quindi di distinguere il traffico malevolo da quello regolare. Evitando così l’ingresso dello Smurf nella rete aziendale e impedendo fin dal principio il funzionamento del meccanismo di propagazione che porta al sovraccarico delle reti aziendali.
Un’altra maniera utile per difendersi dagli Smurf (e più in generale da tutti gli attacchi DDos) è quella di distribuire i server su più data center: si tratta di un ottimo modo per creare ridondanza e diluire così l’impatto di queste minacce, aumentando così il livello di protezione. Un altro buon consiglio è quello di acquistare una maggiore larghezza di banda: si tratta di una soluzione efficace per aiutare la rete ad assorbire i picchi di traffico, evitando sovraccarichi anomali. Non a caso lo smurfing ha più probabilità di successo quando l’ampiezza di banda è ridotta.