Sinkhole digitale

Che cos' e come funziona il sinkholing

Pur essendo tra le tecniche di sicurezza informatica pi efficace in caso di attacchi hacker di grande portata, non molto conosciuta dal "grande pubblico". Ecco tutti i segreti del sinkholing
Che cos' e come funziona il sinkholing FASTWEB S.p.A.

Molto probabilmente non ne avete mai sentito parlare, ma è anche grazie a questa tecnica che ogni giorno potete connettervi a Internet e accedere ai vostri siti preferiti in completa sicurezza e senza timore che i vostri dati possano andare persi o finire nelle mani di qualche cybercriminale. Si tratta del sinkholing, tecnica utilizzata da esperti di sicurezza informatica, amministratori di rete e amministratori di sistema per proteggere server web (e i dati contenuti al loro interno) ed evitare che siano messi fuori uso da attacchi DDoS o da altre tipologie di cyberattacchi.

Che cos'è il sinkholing

Il termine sinkholing (da sinkhole, traducibile in italiano con dolina, inghiottitoio o anche, per estensione, scarico) identifica una tecnica di sicurezza informatica utilizzata per reindirizzare e "far defluire" tutto il traffico proveniente da uno o più indirizzi IP "melevoli". Il flusso dati, in genere proveniente da attacchi DDoS o altre attività di hacking basate sull'invio di pacchetti di dati, viene solitamente reindirizzato verso server "civetta" creati appositamente per "smaltire" il traffico in eccesso. Ciò permette di neutralizzare l'attacco e, allo stesso tempo, proteggere i dati contenuti su un server o sui PC di una rete domestica o di lavoro.

 

Hacker preparano attacco DDoS

Come funziona il sinkholing

In caso di attacco hacker in corso, gli amministratori di rete e di sistema che vogliono creare una sinkhole possono seguire diverse strade. La più battuta, per la sua relativa facilità e per la sua efficacia, è quella del DNS sinkholing. Questa tecnica consiste nel modificare alcuni parametri del sistema DNS (acronimo di Domain Name System, sistema dei nomi di dominio, in italiano) e deviare il traffico web verso altre "destinazioni" (ad esempio un server creato appositamente per assorbire il traffico pericoloso).

Solitamente, il sistema DNS viene utilizzato per smistare le richieste di accesso a un portale web verso il server che lo ospita: l'utente inserisce nella barra degli indirizzi la URL alfanumerica desiderata (l'indirizzo web del sito) e il DNS la traduce nell'indirizzo IP della risorsa cercata. Nel corso di un attacco DDoS, le richieste di accesso al server sono così tante da saturare la banda a disposizione e rendere il sito (o addirittura l'intero server, ove questo ospitasse diverse distinte risorse web) irraggiungibile. È a questo punto che entrano in gioco sistemi di difesa online come il DNS Sinkholing: anziché restituire l'indirizzo IP della risorsa cercata, le richieste della botnet saranno invece inviate verso un differente server "sinkhole", dotato di un diverso indirizzo IP e creato appositamente per smaltire e neutralizzare il "traffico in eccesso".

 

Attacco DDoS

Perché il sinkholing ci protegge dagli attacchi informatici

Come appena visto, il sinkholing è di grande aiuto in caso di attacchi DDoS: deviando il traffico verso dei cul-de-sac informatici, evita che il sito principale non sia più raggiungibile e fa sì che i dati rimangano al sicuro da tentativi di intrusione di varia natura (ad esempio attacchi informatici del tipo "forza bruta"). Questa tecnica, però, può essere utile anche con altre tipologie di cyberattacco.

Il caso più famoso e più recente di sinkholing – quanto meno, tra quelli che si conoscono pubblicamente – è opera dell'inglese Mark Hutchins, white hat hacker e ricercatore di sicurezza indipendente capace di fermare l'attacco WannaCry spendendo poco meno di 9 euro. Il ricercatore britannico, dopo aver analizzato il codice sorgente del ransomware nordcoreano, scopre che il programma era stato creato con una speciale misura di sicurezza che consisteva nel tentare di collegarsi a un determinato sito web una volta installatosi su un nuovo computer, probabilmente allo scopo di ricevere nuove istruzioni prima di attivarsi come malware. Al ricercatore è quindi bastato registrare a proprio nome l'indirizzo IP del sito in questione, che era in quel momento inesistente, per fare in modo che il malware bloccasse la propria espansione.

 

Il ransomwareWannaCry è stato neutralizzato con un sinkhole

Il sinkhole creato da Hutchins non ha ovviamente permesso di decrittografare gli hard disk già bloccati da WannaCry né ha impedito ai suoi autori di realizzarne una nuova versione senza questa falla, ma ha comunque consentito agli amministratori di sistema e sviluppatori di guadagnare tempo e aggiornare sistemi e reti in modo tale da mettere al riparo da questa minaccia utenti e dati.

copyright CULTUR-E
Condividi
Ebook
Sicurezza in Rete: cosa c' da sapere
Scarica subito l'eBook gratuito e scopri cosa bisogna assolutamente sapere per proteggere i propri dispositivi e i propri dati quando si utilizza la Rete
scarica l'ebook
ChiudiChiudi Questo sito usa cookies di profilazione, propri e di terzi, per adeguare la pubblicità alle tue preferenze.
Clicca qui per maggiori informazioni o per conoscere come negare il consenso. Se chiudi questo banner o accedi ad altri elementi della pagina acconsenti all'uso dei cookies.

Iscriviti alla
newsletter del
Digital Magazine di
Fastweb

Riceverai ogni settimana le notizie più interessanti sul mondo della tecnologia!
Iscriviti

Grazie per esserti iscritto!

Abbiamo inviato una mail all'indirizzo che hai indicato: per completare l'iscrizione alla newsletter del Digital Magazine di FASTWEB clicca sul link all'interno della mail