In 20 anni, Internet si è trasformata da luogo di scambio di informazioni a un cyberspazio pieno di pieghe nascoste, ecosistemi, microecosistemi e creature autonome che lo attraversano a caccia di dati.
Un esempio calzante sono i Bot: programmi strutturati per recuperare informazioni dal web. Parliamo di un fenomeno così diffuso che, secondo una ricerca di Encapsule, già dal 2016 i bot hanno generato più traffico degli stessi esseri umani.
Il tipo di bot più noto è quello dei motori di ricerca: da Google a tutti gli altri motori meno conosciuti, tutti usano dei bot, detti spider, per indicizzare il contenuto dei siti web. Accanto a questi ci sono dei bot che verificano la sicurezza di un sito, alla ricerca di vulnerabilità da sfruttare illegalmente.
Ma lo scenario è vasto, si incontrano bot specializzati in compiti che pochi conoscono. Innanzitutto, ci sono quelli che monitorano siti e-commerce per conto dei loro concorrenti. Sono molto diffusi e verificano continuamente l’andamento dei prezzi per permettere a chi li controlla di poter proporre offerte speciali, ribassi dei prezzi e, in generale, avere sempre un vantaggio sui competitors.
Sempre in ambito e-commerce, sono anche molto diffusi quei bot dedicati a comprare della merce a prezzi vantaggiosi. In pratica, un software tiene sotto controllo siti come Amazon, Yoox e simili per approfittare delle offerte speciali e acquistare i beni appena il prezzo crolla.
In alcuni casi, il programma è capace di rimettere subito in vendita su Ebay quanto acquistato in maniera automatica. La pratica è così diffusa che quest’anno è stata una vera e propria guerra tra bot durante Black Friday (che ormai dura settimane).
Tutti questi sono bot che mirano direttamente ad assicurare un vantaggio economico, ma i loro continui accessi pesano anche su altri aspetti. Il primo è quello del traffico.
Se dei bot iniziano a martellare un sito con milioni di richieste, tutto inizia a rallentare e l’esperienza d’uso per chi è in carne e ossa diventa di pessima qualità, oltre che aumentare il consumo dell’infrastruttura web e quindi i costi.
Poi ci sono tutte le implicazioni sulle statistiche del sito, che quindi non saranno più “fedeli” al reale andamento del traffico, generando quindi difficoltà e costi aggiuntivi nella promozione del business.
Altra problematica nota per i professionisti del Web è l’inverosimile aumento degli attacchi informatici, in particolare DDos. Il mondo del gaming e le piattaforme di e-commerce sono gli ambiti più colpiti dagli attacchi DDoS. Lo afferma una ricerca di OVH basata sull’analisi degli indirizzi IP più attaccati durante il 2017 e dei profili dei rispettivi utenti.
Una fotografia immediata delle principali tipologie di attacco nel mese di maggio 2018 è quanto offre l’Active Threat Level Analysis System (ATLAS) di Netscout Arbor: l’azienda raccoglie dati sul traffico anonimo da 400 service provider su scala globale, offrendo la possibilità di osservare circa un terzo dell’intero traffico Internet. Come si vede dalle infografiche sono 483.910 gli attacchi DDoS nel mese di maggio a livello globale, di cui 4.353 in Italia.
Anche per i nostri clienti abbiamo riscontrato problematiche di entrambe le tipologie. Motivo per il quale i nostri Cloud Solution Architect di VMEngine hanno elaborato un sistema complesso di automazioni, capaci di schermare i nostri Clienti da attacchi esterni e traffico sgradito.
La soluzione di partenza viene fornita da Amazon Web Services, soluzione che però risulta molto restrittiva e non consente il passaggio degli User-agent dei Bot fondamentali per l’indicizzazione e quindi per la SEO, finendo per bloccare anche i Bot di Google e degli altri motori di ricerca, ed inoltre non è plasmata sugli specifici CMS (WordPress, Magento, Prestashop, Ecc.), risultando quindi non perfettamente sicura.
La soluzione proposta da VMEngine mira a personalizzare quanto più possibile la soluzione sui bisogni specifici di ogni singolo progetto, associando regole specifiche che permettono il transito degli User Agent benevoli e considerando regole su misura dei principali CMS dei nostri Clienti, precisamente WordPress e Magento. Questa soluzione sfrutta AWS CloudFormation per configurare rapidamente e facilmente regole AWS WAF che aiutano a bloccare i seguenti attacchi comuni:
- Iniezione SQL: gli hacker inseriscono codice SQL dannoso nelle richieste Web per estrarre i dati dal database. Questa soluzione è progettata per bloccare le richieste Web che contengono codice SQL potenzialmente dannoso.
- Scripting cross-site: noto anche come XSS, gli hacker sfruttano le vulnerabilità in un sito web benigno come veicolo per iniettare script dannosi sul sito del cliente in un browser web legittimo. Questa soluzione è progettata per ispezionare elementi comunemente esplorati delle richieste in arrivo per identificare e bloccare gli attacchi XSS.
- HTTP Floods: i server Web e altre risorse di back-end sono a rischio di attacchi DDoS (Distributed Denial of Service), come le HTTP Floods. Questa soluzione attiva automaticamente una regola basata sulla frequenza quando le richieste Web da un client superano una soglia configurabile.
- Scanner e sonde: le sorgenti dannose scansionano e analizzano le applicazioni Web con accesso a Internet per le vulnerabilità. Invia una serie di richieste che generano codici di errore HTTP 4xx e puoi utilizzare questa cronologia per identificare e bloccare gli indirizzi IP di origine dannosi. Questa soluzione crea una funzione AWS Lambda che analizza automaticamente i registri di accesso di Amazon CloudFront o Application Load Balancer, conta il numero di richieste errate dagli indirizzi IP di origine univoci e aggiorna AWS WAF per bloccare ulteriori scansioni da quegli indirizzi.
- Elenchi di reputazione IP: un certo numero di organizzazioni gestisce elenchi di reputazione di indirizzi IP gestiti da utenti malintenzionati noti, come spammer, distributori di malware e botnet. Questa soluzione sfrutta le informazioni contenute in questi elenchi di reputazione per aiutarti a bloccare le richieste da indirizzi IP dannosi.
- Bot e scrapers: gli operatori di applicazioni Web accessibili al pubblico devono avere fiducia che i client che accedono ai propri contenuti si identificano in modo accurato e utilizzeranno i servizi come previsto. Tuttavia, alcuni client automatici, come ad esempio i content scrapers o i bot dannosi, si presentano in modo ingannevole per aggirare le restrizioni. Questa soluzione consente di identificare e bloccare bot e scraper difettosi.
I servizi di AWS sono già nativamente predisposti alla mitigazione degli attacchi Ddos, ma è la loro combinazione che può rendere ogni infrastruttura web sicura, efficiente e con consumi (costi) contenuti. Nello specifico, i nostri Solutions Architect, hanno utilizzato i seguenti servizi di Amazon Web Services per realizzare le soluzioni Custom di cui sopra:
- Amazon CloudFront
- AWS ALB (Application Load Balancer, essenziale per la soluzione)
- AWS WAF (Web Application Firewall)
- AWS API GateWay
- AWS Lambda
- AWS CloudWatch
- AWS CloudFormation
Come è possibile osservare dalla tabella, i costi di questa soluzione per la sicurezza sono esigui, enormemente inferiori ai vantaggi generati in termini di sicurezza, consumi e user experience.
Lo straordinario aumento degli attacchi Ddos e del traffico generato dai Bot, sta spingendo i CEO e i CTO di tutti gli E-commerce, di ogni dimensione, a prendere delle scelte capaci di salvaguardare il business da ogni minaccia esterna. Anche perché, considerando la tabella costi fornita, un traffico ad esempio di un milione di richieste non bloccati al principio, potrebbe generare un costo di consumo per l’infrastruttura anche 100 volte superiore al costo della nostra soluzione per la sicurezza.
Occorre dunque adeguare l’infrastruttura del proprio business online sia alle nuove esigenze del mercato, sia ai nuovi pericoli provenienti dalle rete. Anche chi ha messo in atto strategie di mitigation deve ricordarsi che non ha installato un apparato magico che fa mitigation per qualunque attacco. Gli attacchi evolvono e quindi devono evolvere anche le difese. Diventerà più complesso proteggersi dagli attacchi.