Con oltre un milione di clienti in 190 paesi, Amazon Web service è sicuramente una delle collezioni di servizi di cloud hosting più utilizzate. Nei clienti, troviamo aziende protagoniste nel mondo dell’informatica come Adobe, Vodafone e molte altre. “ Da grandi poteri derivano grandi responsabilità”, stessa frase vale se si offrono servizi che devono stare online 24 h su 24.
La sicurezza è sicuramente una delle priorità di Amazon, tanto che è stata scelta da molti consumatori proprio per la qualità del servizio. Ma come sappiamo ogni servizio ha i suoi pregi e i suoi difetti: Amazon ha un infrastruttura molto complessa e molto potente anche se non è esente da attacchi hacker (quali ad esempio DDoS).
L’ultimo attacco DDoS che ha causato un parziale outage dei servizi di Amazon del 28 febbraio 2017 ha mandato in tilt molti siti web tra Slack, Twitter (la stessa Amazon ha riscontrato rallentamenti nel proprio sito). In quel caso si trattava di un massiccio attacco che aveva come obiettivo il data center negli USA: dopo circa 4 ore, per fortuna tutto si è risolto. Ma cosa ha fatto Amazon per garantire ai propri clienti un servizio di Anti-DDoS?
Per difendersi da attacchi DDoS, l’unica possibilità è quella di “migrare” l’attacco, quindi non sull’ip della macchina ma sull’ip dell’intera infrastruttura: così facendo, l’infrastruttura diventa più potente e riesce a eliminare eventuali attacchi in poco tempo.
Come descritto in inglese in un whitepaper pubblicato dalla stessa Casa di cloud-hosting, Amazon adotta (dietro pagamento) una serie di “controlli” di sicurezza per gli attacchi DDoS e offre un infrastruttura composta di più livelli (sottolineo che Amazon offre un sistema di sicurezza basilare già incluso nel prezzo del servizio): per mitigare attacchi di una certa importanza, potrai comprare alcuni servizi che ti garantiranno la massima sicurezza.
La rete interna è composta da più strati; un hacker, come possiamo vedere dall’immagine, per attaccare direttamente la macchina deve superare più paletti di sicurezza. Se si è utenti, infatti, dopo un semplice controllo dello strato BP3 (Amazon Route S3), ci rimanda al sito senza alcun problema e senza alcuna lentezza.
Ma cosa succederebbe se fossimo dei malintenzionati? Presto detto: quando si attacca la macchina, si salta il livello BP3 (che sostanzialmente è il routing di Amazon) e si passa subito al livello BP2. Il livello BP2 è una serie di firewall che permette all’infrastruttura di capire se sei o meno uno che vorrebbe attaccare. È molto difficile passare al livello successivo e per un sito normale questo “strato” basta per fermare circa il 50% degli attacchi. Nel caso in cui l’attacco passasse, l’infrastruttura ricorrerebbe ad alcune tecniche di offuscamento delle risorse della macchina principale che ospita il sito web (offuscamento tramite livelli BP1 e livelli BP6 che impediscono il bersaglio del livello BP7). Ovviamente, non c’è bisogno di dire che ogni richiesta viene loggata nel sistema Amazon e nel caso in cui l’attacco avesse ripercussioni anche minime, l’aziende vi denuncerebbe senza alcun problema.
Ritornando all’attacco di febbraio, è veramente sconvolgente scoprire che l’infrastruttura di Amazon è vulnerabile nonostante tutte le misure di sicurezze adottate. È ancora più pauroso riflettere sul fatto che Amazon Web Service è uno dei servizi maggiormente usati per hostare siti web, applicazioni e molto altro ancora e quindi nel caso in cui ci fosse un attacco molto potente, il web entrerebbe nel caos più completo (forse). Localhostisthebesthostingintheworld!
Scritto da /u/serhack
