Un attacco mirato che, sfruttando risorse limitate, finisce per paralizzare un server intero.
Nell’era di internet e delle connessioni sempre più veloci, gli attacchi DDoS (Distributed Denial of Service) rappresentano una delle minacce più avvertite.
Questo perché si mira a mettere fuori uso l’infrastruttura di rete presa di mira, in modo da poter causare un’interruzione dei servizi erogati. Poiché la nostra società è divenuta dipendente dai servizi online, il rimanere impossibilitati ad accedere ad un determinato portale online, causa un notevole disservizio.
In questo contesto si inserisce uno strumento di attacco molto insidioso, ma che sta iniziando lentamente a far parlare di sé.
Stiamo parlando di Slowloris, una variante del tradizionale attacco DDoS in grado di paralizzare interi server con un consumo di risorse pressoché minimo.
Ma come sempre, andiamo con ordine e affrontiamo per gradi l’argomento.
- Cos’è Slowloris?
- Come funziona un attacco DDoS Slowloris?
- L’attacco del 2023 contro il Ministero delle Finanze della Repubblica Ceca
- Come proteggersi da un attacco DDoS Slowloris?
Cos’è Slowloris?
Nonostante il suo nome rimandi al Lori Lento, un mammifero piccolo e innocuo, si tratta di uno strumento in grado di attuare un attacco DDoS metodico, lento e terribilmente insidioso. Messo a punto nel 2009 da Robert Hansen, un ricercatore di sicurezza informatica conosciuto come “RSnake”, Slowloris è capace di bloccare un server intero con un impatto minimo sulle risorse dell’attore malevolo. A differenza dei classici attacchi DDoS, che puntano al sovraccarico della rete con un traffico di dati spaventoso, questa variante opera a livello applicativo.
Nel momento in cui un attore malevolo individua il server bersaglio, gli invia una serie di richieste HTTP parziali e incomplete.
Calibrando attentamente i tempi di invio dei pacchetti, il server viene ingannato, in quanto indotto a credere che queste connessioni siano sempre attive.
In tal modo le sue risorse vengono a poco a poco azzerate, proprio perché dirottate verso una serie di richieste che non saranno mai portate a termine. Questo provoca di conseguenza un suo blocco incondizionato, in quanto i suoi thread disponibili si esauriscono lentamente, impedendogli così di soddisfare le richieste legittime.
Da ciò emerge un elemento preoccupante: una singola macchina è in grado di mettere fuori uso un server. Poiché Slowloris agisce a livello applicativo, all’attaccante non occorre una banda molto ampia, né ingenti risorse di sistema. Il risultato finale è un attacco che utilizza una ridotta larghezza di banda e che consuma le risorse del bersaglio, con un traffico solo all’apparenza regolare. Grazie a questo meccanismo, l’attacco risulta molto discreto, in quanto capace di passare del tutto inosservato anche su lunghi periodi.
In più è un veicolo molto appetibile da parte di attori malevoli in possesso di risorse di sistema molto limitate, in quanto essi possono lo stesso massimizzare l’efficacia del loro attacco.
Come funziona un attacco DDoS Slowloris?
Fatta questa doverosa introduzione, procediamo a osservarne l’effettiva messa in atto e a comprenderne il funzionamento.
Essenzialmente un attacco DDoS basato su Slowloris si suddivide in quattro fasi ben distinte.
Vediamole nel dettaglio:
Fase 1
L’attore malevolo individua il server bersaglio e apre molteplici connessioni verso lo stesso.
Quindi procede a inviargli una serie di richieste HTTP parziali, in modo da tenerlo impegnato con una connessione costante.
Fase 2
Il server bersaglio apre un thread dedicato per ciascuna richiesta HTTP che riceve in entrata.
L’intento del sistema è quello di dedicargli adeguate risorse per tutto il tempo necessario, per poi chiudere il thread nel momento stesso in cui questa risulterà completata. Per mantenere una propria efficienza operativa, il server può anche decidere di mandare in timeout la richiesta HTTP, se questa dura troppo a lungo.
In tal modo può chiudere il thread e riappropriarsi delle risorse allocate.
Fase 3
L’attore malevolo, conscio del timeout che il server bersaglio potrebbe invocare, invia con tempi precisi continue intestazioni parziali della richiesta HTTP.
In tal modo egli si assicura che la connessione sia costantemente mantenuta e il thread dedicato non liberato. In sostanza, è come se ripetesse al server di avere una connessione molto debole e di “portare pazienza“.
Fase 4
Ingannato da questa serie di richieste incomplete, il server non è in grado di terminare nessuna delle connessioni parziali.
Così facendo, i suoi thread finiscono per essere inevitabilmente tutti allocati e le sue risorse prosciugate del tutto. Quando queste si esauriscono, il server va in blocco, causando così l’interruzione del servizio e portando a termine l’attacco DDoS.
L’attacco del 2023 contro il Ministero delle Finanze della Repubblica Ceca
Slowloris è balzato agli onori della cronaca nel gennaio 2023, quando il portale del Ministero delle Finanze della Repubblica Ceca è rimasto inaccessibile per 72 ore. Questo ha causato ingenti disservizi ai cittadini, in quanto resi impossibilitati ad accedere ai regolari servizi fiscali e amministrativi essenziali.
Ciò è bastato a sollevare serie preoccupazioni in merito alla robustezza e alla sicurezza delle infrastrutture informatiche del Paese.
Secondo le indagini condotte dalla National Cyber and Information Security Agency (NÚKIB), l’attacco è stato messo a punto da un collettivo cybercriminale russo rimasto ignoto. I suoi membri avevano sfruttato proprio le capacità di Slowloris, in quanto, attraverso 200 dispositivi dalle risorse limitate, erano stati capaci di violare il server Apache del Ministero. Questo presentava delle vulnerabilità critiche al suo interno, una su tutte la configurazione alla base, che consentiva un numero illimitato di connessioni simultanee e timeout eccessivamente estesi. Per il collettivo era stato quindi molto semplice saturarlo con una serie modesta di richieste HTTP incomplete, causando così il DDoS.
Le analisi successive hanno rivelato che il gruppo aveva preso di mira il portale come parte di una campagna più ampia, volta a destabilizzare le infrastrutture digitali di alcuni Paesi membri dell’Unione Europea. Questo perché molti portali ministeriali e infrastrutture informatiche impiegano ancora sistemi legacy e protocolli di sicurezza obsoleti. A seguito dell’attacco, il governo ceco ha varato un piano d’urgenza per l’ammodernamento dei propri sistemi digitali. In primis l’implementazione di limiti più rigidi sui timeout delle connessioni, l’adozione di firewall applicativi avanzati e l’aggiornamento dei server obsoleti. Tuttavia, l’evento ha anche sollevato interrogativi più ampi sulla capacità di collaborazione transfrontaliera in ambito di cybersecurity.
Come proteggersi da un attacco DDoS Slowloris?
Una difesa contro Slowloris richiede un approccio multilivello, in quanto si devono combinare sia un monitoraggio continuo, che adeguate configurazioni del server. Di seguito sono riportati una serie di consigli da adottare.
- Ottimizzazione dei propri server.
Ci si deve assicurare che il timeout di connessione sia il più breve possibile. A questo si deve anche limitare il numero di connessioni simultanee provenienti da un singolo indirizzo IP. - Implementare un Web Application Firewall.
Si tratta di una soluzione che garantisce il rilevamento e il blocco di richieste sospette. Quelli attualmente più diffusi e apprezzati, sono prodotti da Cloudflare e Imperva. In aggiunta si consiglia l’adozione di un load balancer, uno strumento in grado di distribuire le richieste HTTP su più server. Ciò finisce per ridurre drasticamente l’efficacia di Slowloris. - Impiegare strumenti di monitoraggio.
Questi permettono di identificare connessioni sospette in tempo reale. Tool specifici, come Fail2ban, possono anche bloccare definitivamente indirizzi IP con comportamenti anomali. - Passare a server con tecnologia moderna.
L’uso di sistemi legacy non garantisce la protezione necessaria contro le minacce odierne. Il passaggio a server con stack di rete asincroni, come quelli basati su Node.js, risultano meno soggetti a Slowloris e quindi molto meno vulnerabili.
In conclusione
Nonostante una semplicità tecnica a tratti disarmante, Slowloris costituisce una minaccia molto seria per server vecchi e configurazioni errate. La crescente dipendenza dalla rete di ogni applicazione di uso quotidiano, rende questo strumento molto insidioso per aziende e organizzazioni che ancora si affidano a sistemi legacy. Come dimostrato dall’attacco del 2023, la prevenzione e la consapevolezza delle minacce informatiche sono più che mai imperative. Ecco perché si deve spingere maggiormente per investire tempo e risorse in elementi essenziali al garantire la sicurezza informatica.
Adottare server aggiornati con configurazioni adeguate, formare professionalmente il personale IT e implementare contromisure efficaci, sono la chiave per poter continuare la propria partita in questo gioco. Questo perché il nostro avversario è in costante evoluzione, così come i suoi strumenti di attacco. I cybercriminali vivono per la caccia alle vulnerabilità e ogni nostra negligenza contribuisce a rafforzarli.
Per questo motivo non si deve mai abbassare la guardia, né permettere a costoro di coglierci impreparati.
- Autore articolo
- Gli ultimi articoli
Classe 1993, ingegnere gestionale e Adobe Certified Professional in Graphic Design & Visual Design. Ho mosso i primi passi nel campo informatico grazie alla passione per i videogiochi, che mi ha portato ad approfondire i motori grafici e la progettazione visiva. Scrivo da quando ero bambino e, con il tempo, la scrittura è diventata parte integrante del mio lavoro nel mondo della comunicazione e della sicurezza informatica.