Un attacco teardrop è un tipo di attacco Denial-of-Service (DoS) che utilizza pacchetti di dati frammentati per inondare il server o la rete di una vittima. Poiché il server non è in grado di riassemblare i pacchetti, si verifica un sovraccarico e il conseguente arresto del sistema.
Gli attacchi teardrop solitamente prendono di mira i server che presentano una vulnerabilità TCP/IP. In ultima analisi, sfruttano il modo in cui i pacchetti IP vengono frammentati e riassemblati per eludere i tradizionali controlli di sicurezza su un server locale o su una rete. Dato che molte organizzazioni utilizzano spesso software di sistema non aggiornati o privi di patch, gli attacchi teardrop sono ideali per sfruttare queste vulnerabilità. Di conseguenza, gli attacchi teardrop sono più comuni negli enti locali, negli ospedali e nelle piccole banche, soprattutto in quelle che utilizzano sistemi operativi molto vecchi (come Windows 95 o versioni precedenti).
Questa guida esamina in dettaglio gli attacchi teardrop, spiegando cosa sono, come funzionano e come difendersi, in modo da ridurre al minimo il rischio di cadere vittima di questo tipo di attacchi o simili, in futuro.
Da dove vengono gli attacchi teardrop?
Immagina di trascorrere le tue giornate lavorando da casa (o in ufficio) e all'improvviso il tuo computer locale si spegne senza preavviso. Oppure la rete locale si interrompe in tutto l'ambiente aziendale e non riesci ad accedere ai dati locali di cui hai bisogno. Ecco cosa succede durante gli attacchi Denial-of-Service e Distributed Denial-of-Service.
Per quanto irritanti e potenzialmente gravi, i cyberattacchi DDoS non sono rari negli Stati Uniti. A settembre 2017, Google (e gran parte della sua infrastruttura digitale) è stata vittima di sei mesi di attacchi di questo tipo, che hanno raggiunto una dimensione di 2,54 terabit al secondo. GitHub è stata vittima sia nel 2015 che nel 2018, e anche AWS ha subito un attacco nel 2020 che ha raggiunto i 2,3 terabit al secondo.
Purtroppo per l'utente medio oggi gli attacchi DDoS e DoS si presentano in diverse forme. Sin dalla loro comparsa, questi attacchi si sono evoluti in modo significativo, come è accaduto a gran parte del panorama della cybersecurity negli ultimi 20 anni. Uno degli attacchi più difficili da fermare è probabilmente quello di tipo teardrop. Chiamato così per il suo approccio incrementale, un attacco teardrop riuscito potrebbe lasciare il computer (o il sistema a cui è connesso) completamente distrutto e non reattivo se non stai attento.
Modalità di svolgimento dell'attacco teardrop
Il sistema digitale medio è progettato per gestire una certa quantità di dati in arrivo tutti contemporaneamente. Di conseguenza, i dati, o traffico di rete, vengono spesso suddivisi in parti più piccole e poi contrassegnati con un numero specifico in un campo noto come campo di offset del frammento. Riorganizzarli nell'ordine corretto una volta arrivati è la prassi normale in caso di mancato attacco.
Tuttavia, durante un attacco teardrop, il cybercriminale inserisce una falla nel campo di offset del frammento, che interrompe il processo di risequenziamento. Di conseguenza, il sistema raccoglie una grande quantità di dati frammentati e danneggiati che non possono essere riassemblati correttamente. Purtroppo, il sistema si sovraccarica e si blocca senza alcun preavviso (adeguato).
Esempi di attacchi teardrop
Nel corso degli anni si sono verificati diversi attacchi degni di nota a sistemi di grandi dimensioni, con cui molti addetti ai lavori del settore della cybersecurity potrebbero avere familiarità. Tra questi rientrano, tra gli altri:
- Windows NT e 95: gli attacchi teardrop hanno avuto un impatto significativo per la prima volta su Windows 3.1x, NT e 95 alla fine degli anni '90, spingendo Microsoft a rilasciare una patch per chiudere la vulnerabilità in risposta ai numerosi casi di errore del sistema.
- Sistemi domestici: questi tipi di attacchi erano frequenti sia nei sistemi Windows che Linux preesistenti, e si riscontravano principalmente nei kernel Windows 95 e Linux precedenti alla versione 2.1.63.
- Android/Rowhammer: un attacco simile per natura all'attacco teardrop, noto come RAMpage, ha minacciato tutti i dispositivi Android rilasciati tra il 2012 e il 2018.
Prevenzione attacchi teardrop
Esistono diversi modi per prevenire un attacco teardrop nella rete o nel sistema locale. I consigli sulla cybersecurity riportati di seguito sono validi per numerose minacce digitali e malware diversi, non solo per gli attacchi teardrop.
Aggiorna il sistema operativo
Innanzitutto, ti consigliamo di aggiornare tutti i software e il sistema operativo e di assicurarti di scaricare tutte le patch di sicurezza messe a disposizione dai relativi sviluppatori. Come spiegato in precedenza, le vulnerabilità del sistema rappresentano il vettore di accesso più comune per gli attacchi teardrop, quindi questo è un modo semplice per proteggere il computer locale e la rete più ampia.
Blocco delle porte
Se non riesci ad applicare patch al tuo vecchio software o alle applicazioni mission-critical, uno dei modi migliori per prevenire gli attacchi teardrop è disabilitare le porte 139 e 445. In questo modo, bloccherai tutti i messaggi del server potenzialmente pericolosi nei sistemi che non sono stati in grado di ricevere gli aggiornamenti di sicurezza dai loro fornitori.
Attiva il firewall
Uno dei modi più semplici per prevenire un attacco teardrop (e per proteggere il computer locale in generale) è assicurarsi di avere installato sul computer o sulla rete un firewall o una soluzione di sicurezza informatica affidabile e completa. Ti consigliamo di utilizzare il nostro software di sicurezza dedicato Kaspersky Premium, in grado di offrire protezione totale, aggiornamenti regolari e assistenza e supporto continuativi.
FAQ
Cos'è un attacco teardrop?
Un attacco teardrop è un attacco Denial-of-Service (DOS) che inonda il sistema di un utente con pacchetti di dati frammentati e difettosi fino a quando il sistema (o la rete) non si blocca e si spegne. A volte noti come attacchi teardrop DDoS, gli attacchi teardrop solitamente prendono di mira server che presentano una vulnerabilità TCP/IP esistente e software obsoleto.
Articoli e collegamenti consigliati:
- Cosa sono gli attacchi DDos?
- Come configurare una rete domestica sicura?
- Come prevenire gli attacchi DDoS durante le sessioni di gioco online?
- Scelta di una soluzione antivirus
Prodotti consigliati:
