In genere, i responsabili di sicurezza attendono con sempre maggiore ansietà il deployment di alcune delle più recenti tecnologie progettate per migliorare la security e l'affidabilità di Internet.
Mentre il deployment del Domain Name System Security Extension (DNSSEC) e di IPv6 offre una serie di vantaggi, la mancanza di supporto e di esperienza potrebbe indurre un'ondata di nuovi attacchi di tipo botnet.
In un'indagine, Arbor Networks ha posto una serie di domande a 132 professionisti della sicurezza, molti dei quali sono alla guida delle strutture di sicurezza di ISP e società di telecomunicazioni di grandi dimensioni. L'indagine si riproponeva di mettere in evidenza le principali minacce alla sicurezza che devono affrontare i service provider.
Quasi il 35% degli intervistati ha dichiarato che gli attacchi ai servizi più sofisticati e allo strato applicativo rappresenteranno la minaccia più rilevante nel corso dei prossimi 12 mesi, sopravanzando gli attacchi indirizzati ad attivare botnet su larga scala, che quest'anno sono stati citati dal 21% del campione.
"Quando i servizi Web erano situati in un unico data center per certi aspetti erano più facili da difendere, ma ora abbiamo a che fare con più ambienti distribuiti", ha detto Craig Labovitz, chief scientist di Arbor Networks. "Oggi ci sono molti più componenti e, come accade per i servizi Web, anche gli attacchi sono in continua evoluzione".
I Distributed Denial-of-service (DDoS), che sono indotti da botnet, hanno raddoppiato la loro larghezza di banda da quando è stato identificato il primo attacco nel 2001. Ma, secondo l'indagine, gli operatori delle botnet sembrano modificare le tattiche per rendere alcuni attacchi DDoS più difficili da individuare e più focalizzati su specifici sistemi di gestione di una rete.
"Gli attacchi a più bassa larghezza di banda non sono tanto focalizzati sulla quantità di traffico o sul sovraccarico dei router, ma tentano invece di invalidare e compromettere alcuni aspetti del servizio Web distribuito", ha precisato Labovitz.
E mentre gli attacchi che puntano sull'elevato volume di dati, come DDoS che quelli hanno bloccato i siti del governo sudcoreano e statunitense, non sono particolarmente sofisticati, sono gli attacchi destinati a rimanere nascosti quelli che più preoccupano gli architetti della sicurezza, ha sostenuto Labovitz.
Arbor ha detto che le caratteristiche di sicurezze IPv6 non ancora implementate in router, nei firewall di rete e nelle infrastrutture critiche che supportano IPv6 sono una rilevante fonte di preoccupazione. Anche la mancanza di professionisti qualificati per implementare e testare i dispositivi IPv6 può tradursi in una maggiore vulnerabilità della sicurezza. Labovitz è dell'opinione che molti provider non ritengano che tutti i loro router siano in grado di supportare IPv6 e fornire il livello di sicurezza necessario per sostenere l'aggiornamento della rete.
"Il fatto è che abbiamo avuto già problemi con una serie di varianti di IPv4 e adesso stiamo introducendo ancora più cose in rete - ha sottolineato Labovitz -. Chi si occupa di questi aspetti potrebbe tassare alcune operazioni tecnologiche e di supporto e far quindi nascere nuove impegnative sfide".
L'indagine ha evidenziato che gli operatori di rete sono preoccupati per l'aumento degli attacchi all'infrastruttura DNS, i load balancer e le infrastrutture di back-end dei server SQL su larga scala.
Le stesse preoccupazioni esistono relativamente alle infrastrutture che supportano DNSSEC. Nonostante la tecnologia di aggiornamento del DNS dovesse portare a migliorare l'autenticazione e l'integrità dei dati, le implementazioni sono state lente. Gli esperti della sicurezza di rete si aspettano però che entro il 2011 la maggior parte dei domini top level supporti pienamente DNSSEC.
