LA CAMPANA

C'è chi ha letto questa notizia prima di te.
Iscriviti per ricevere gli ultimi articoli.
E-mail
Nome
Cognome
Come vuoi leggere La Campana?
Niente spam

L'FSB ha aperto un procedimento penale sul fatto di un massiccio attacco DDoS alle banche russe. Attacchi DOS e DDoS: concetto, tipologie, metodi di rilevamento e protezione Attacchi ddos ​​massicci

Condividere
Condividere
Tweet
Piace
Piace

La situazione economica instabile degli ultimi due anni ha portato a un significativo aumento del livello di concorrenza nel mercato, a seguito del quale è aumentata la popolarità degli attacchi DDoS - metodo efficace provocando un danno economico.

Nel 2016, il numero di ordini commerciali per l'organizzazione di attacchi DDoS è aumentato più volte. I massicci attacchi DDoS si sono spostati dall'area della pressione politica mirata, come è avvenuto, ad esempio, nel 2014, al segmento delle imprese di massa. Il compito principale degli aggressori è il più rapidamente possibile e con costo minimo rendere inaccessibile una risorsa per ottenere denaro dai concorrenti, per procurarsi condizioni per l'estorsione, ecc. Gli attacchi DDoS sono utilizzati sempre più attivamente, il che stimola la ricerca di mezzi sempre più su larga scala per proteggere il business.

Allo stesso tempo, il numero di attacchi continua a crescere, nonostante i notevoli successi nella lotta ai DDoS. Secondo Qrator Labs, gli attacchi DDoS sono aumentati del 100% nel 2015. E non è sorprendente, perché il loro costo è sceso a circa $ 5 all'ora e gli strumenti per la loro implementazione sono entrati nel massiccio mercato nero. Ecco alcune delle principali tendenze negli attacchi denial-of-service distribuiti previste per i prossimi anni.

Attacchi di amplificazione UDP

Gli attacchi di esaurimento della capacità includono l'amplificazione UDP. Tali incidenti sono stati i più comuni nel 2014 e sono diventati una tendenza brillante nel 2015. Tuttavia, il loro numero ha già raggiunto il suo picco e sta gradualmente diminuendo: la risorsa per eseguire tali attacchi non è solo limitata, ma anche in forte diminuzione.

Un amplificatore è un servizio pubblico UDP che funziona senza autenticazione, che può inviare una risposta molto più ampia a una piccola richiesta. L'aggressore, inviando tali richieste, sostituisce il proprio indirizzo IP con l'indirizzo IP della vittima. Di conseguenza, traffico di ritorno di gran lunga superiore portata il canale dell'aggressore viene reindirizzato alla risorsa web della vittima. DNS, NTP, SSDP e altri server vengono utilizzati per partecipare involontariamente agli attacchi.

Attacchi alle applicazioni web L7

In connessione con la riduzione del numero di amplificatori, torna in primo piano l'organizzazione di attacchi alle applicazioni web a livello L7 tramite botnet classiche. Come sai, una botnet è in grado di eseguire attacchi di rete utilizzando comandi remoti e i proprietari di computer infetti potrebbero anche non esserne consapevoli. A causa del sovraccarico del servizio con richieste "spazzatura", le richieste degli utenti legittimi generalmente rimangono senza risposta o è necessario un tempo irragionevolmente lungo per le risposte.

Le botnet stanno diventando più intelligenti oggi. Quando si organizzano gli attacchi corrispondenti, è supportata la tecnologia stack full-browser, ovvero l'emulazione completa del computer dell'utente, del browser e dello sviluppo di script java. Tecniche come queste sono ottime per mascherare gli attacchi L7. È quasi impossibile distinguere manualmente un bot da un utente. Ciò richiede sistemi che utilizzano la tecnologia di apprendimento automatico, grazie alla quale aumenta il livello di resistenza agli attacchi, migliorano i meccanismi e aumenta l'accuratezza dei test.

Problemi BGP

Nel 2016 è emersa una nuova tendenza: gli attacchi all'infrastruttura di rete, compresi quelli basati sullo sfruttamento delle vulnerabilità nel protocollo BGP. I problemi del protocollo di routing BGP, su cui si basa l'intera Internet, sono noti da diversi anni, ma negli ultimi anni hanno portato sempre più a gravi conseguenze negative.

Le anomalie di rete associate all'instradamento a livello di rete interdominio possono influenzare un gran numero di host, reti e persino la connettività e la disponibilità globali di Internet. Il tipo più comune di problema è Route Leaks - una "perdita" di un percorso che si verifica a causa della sua pubblicità nella direzione sbagliata. Finora, le vulnerabilità BGP vengono utilizzate raramente deliberatamente: il costo dell'organizzazione di un tale attacco è piuttosto elevato e gli incidenti si verificano principalmente a causa di errori banali nelle impostazioni di rete.

Tuttavia, la criminalità organizzata su Internet è cresciuta in modo significativo negli ultimi anni, quindi si prevede che gli attacchi relativi a BGP diventino popolari nel prossimo futuro, prevede Qrator Labs. Un esempio lampante è il sequestro di indirizzi IP da parte del noto gruppo informatico Hacking Team, effettuato per ordine dello Stato: la polizia italiana ha dovuto prendere il controllo di diversi computer, nei confronti dei cui proprietari sono state intraprese azioni investigative.

incidentiTCP

Lo stack di rete TCP/IP presenta una serie di problemi che diventeranno particolarmente acuti quest'anno. Per mantenere una crescita attiva delle velocità, l'infrastruttura Internet deve essere costantemente aggiornata. Velocità connessione fisica a Internet crescono ogni pochi anni. Nei primi anni 2000. 1 Gbps è diventato lo standard, oggi l'interfaccia fisica più popolare è 10 Gbps. Tuttavia, è già iniziata l'introduzione massiccia del nuovo standard per l'interfaccia fisica, 100 Gbit/s, che causa problemi con il protocollo TCP/IP obsoleto, che non è progettato per velocità così elevate.

Ad esempio, diventa possibile in pochi minuti rilevare un numero di sequenza TCP - un identificatore numerico univoco che consente (o meglio, consentito) ai partner su una connessione TCP / IP di autenticarsi reciprocamente al momento della creazione della connessione e scambiare dati , preservandone l'ordine e l'integrità. A velocità di 100 Gbit/s, una riga nei file di registro del server TCP relativa a una connessione aperta e/o ai dati inviati su di essa non garantisce più che l'indirizzo IP fisso abbia effettivamente stabilito una connessione e trasmesso questi dati. Di conseguenza, si apre un'opportunità per organizzare attacchi di una nuova classe e l'efficienza dei firewall può diminuire in modo significativo.

Le vulnerabilità TCP/IP hanno attirato l'attenzione di molti ricercatori. Credono che già nel 2016 sentiremo parlare di attacchi "di alto profilo" legati allo sfruttamento di questi "buchi".

Prossimo futuro

Oggi lo sviluppo di tecnologie e minacce non procede lungo la spirale "classica", poiché il sistema non è chiuso - è influenzato da molti fattori esterni. Il risultato è una spirale con un'ampiezza in espansione: sale verso l'alto, la complessità degli attacchi cresce e la portata della tecnologia si espande in modo significativo. Notiamo diversi fattori che hanno un grave impatto sullo sviluppo del sistema.

Il principale, ovviamente, è la migrazione al nuovo protocollo di trasporto IPv6. Alla fine del 2015, IPv4 è stato deprecato e IPv6 sta emergendo, portando con sé nuove sfide: ora ogni dispositivo ha un indirizzo IP e tutti possono comunicare direttamente tra loro. Sì, ci sono nuove raccomandazioni su come dovrebbero funzionare i dispositivi finali, ma come l'industria affronterà tutto questo, in particolare gli operatori di telecomunicazioni, il segmento dei prodotti di massa e i fornitori cinesi, è una questione aperta. IPv6 è un punto di svolta.

Un'altra sfida è la crescita significativa delle reti mobili, la loro velocità e "resistenza". Se prima la botnet mobile creava problemi, prima di tutto, per lo stesso operatore di telecomunicazioni, ora, quando la comunicazione 4G sta diventando più veloce di Internet cablata, reti mobili con un numero enorme di dispositivi, compresi quelli realizzati in Cina, si stanno trasformando in un'ottima piattaforma per eseguire DDoS e attacchi hacker... E sorgono problemi non solo per l'operatore di telecomunicazioni, ma anche per altri partecipanti al mercato.

Il mondo emergente dell'"Internet delle cose" rappresenta una seria minaccia. Nuovi vettori di attacco stanno emergendo come l'enorme numero di dispositivi e l'uso di tecnologia wireless le connessioni aprono prospettive davvero infinite per gli hacker. Tutti i dispositivi connessi a Internet possono potenzialmente diventare parte dell'infrastruttura dell'aggressore ed essere coinvolti in attacchi DDoS.

Purtroppo, i produttori di tutti i tipi di elettrodomestici collegati alla Rete (bollitori, TV, automobili, multicooker, bilance, prese "intelligenti", ecc.) non sempre garantiscono il giusto livello di protezione. Spesso, tali dispositivi utilizzano vecchie versioni dei sistemi operativi più diffusi e ai fornitori non interessa aggiornarli regolarmente, sostituendoli con versioni che hanno eliminato le vulnerabilità. E se il dispositivo è popolare e ampiamente utilizzato, gli hacker non perderanno l'opportunità di sfruttarne le vulnerabilità.

I precursori del problema IoT sono apparsi già nel 2015. Secondo i dati preliminari, l'ultimo attacco a Blizzard Entertainment è stato effettuato utilizzando dispositivi IoT. È stato rilevato un codice dannoso in esecuzione su teiere e lampadine moderne. I chipset rendono anche più facile per gli hacker. Non molto tempo fa è stato rilasciato un chipset economico, progettato per varie apparecchiature in grado di "comunicare" con Internet. Pertanto, gli aggressori non hanno bisogno di hackerare 100 mila firmware personalizzati: devono solo "rompere" un chipset e ottenere l'accesso a tutti i dispositivi che si basano su di esso.

Si prevede che molto presto tutti gli smartphone basati su vecchi Versioni Android saranno membri di almeno una botnet. Saranno seguiti da tutte le prese "intelligenti", frigoriferi e altro Elettrodomestici... Tra un paio d'anni ci aspettano botnet di teiere, baby monitor e multicooker. L'"Internet delle cose" ci porterà non solo convenienza e caratteristiche aggiuntive, ma anche tanti problemi. Quando ci sono molte cose nell'IoT e ogni pin può inviare 10 byte, sorgeranno nuove sfide di sicurezza che dovranno essere affrontate. E dovremmo prepararci per questo oggi.

Brian Krebs una volta ha lavorato per il Washington Post, conducendo per loro indagini sulla sicurezza di Internet. Più tardi, il giornalista ha lasciato per avviare il proprio blog. L'ex giornalista non ha cambiato la sua specializzazione, per la quale ha pagato a settembre quando ha svelato la truffa di due adolescenti israeliani..

Quindi, Brian Krebs ha fatto i suoi soliti affari, ha indagato sui crimini su Internet. A questo punto, la sua lista di casi risolti includeva il caso del virus Stuxnet, che raccoglieva dati da computer di casa e impianti industriali. Krebs è stato il primo a parlare pubblicamente del virus nel 2010. Tre anni dopo, Brian ha scoperto l'uomo che vendeva i dati delle carte ai clienti di Target. La vendetta dei criminali di Internet è stata specifica, la polizia è stata chiamata a casa sua.

Quindi penso che Brian abbia capito di cosa fossero capaci gli hacker, anche se difficilmente avrebbe potuto immaginare la possibile portata quando ha pubblicato un post a settembre sugli adolescenti israeliani coinvolti in attacchi DDoS. Lo stesso giorno, gli hacker sono stati arrestati, ma poi rilasciati su cauzione. Coincidenza o no, da quel momento in poi il sito di Brian ha dovuto respingere un massiccio attacco DDoS che una delle principali società di sicurezza Internet del mondo non è riuscita a fronteggiare. Akamai fornisce protezione DDoS per il blog di Krebs da quattro anni. Nella sua pubblicazione, uno specialista della sicurezza Internet ha parlato del servizio vDOS, che, secondo versione ufficiale testato carichi sui siti, ma di fatto ha interrotto il loro lavoro. Secondo una stima approssimativa, i creatori del servizio sono riusciti a appropriarsi di circa 600mila dollari.

Gli assistenti di Krebs sono riusciti a scaricare i database, con l'aiuto dei quali sono stati identificati gli indirizzi reali dei server in Bulgaria, da cui sono stati effettuati gli attacchi DDoS. Come puoi immaginare, gli hacker sono interessati a nascondere i loro veri indirizzi IP. Dopo aver analizzato i dati, Brian è stato in grado di stabilire i nomi e persino i numeri di telefono degli israeliani che potrebbero essere i proprietari del servizio.

Successivamente si è saputo che il giorno in cui è stato pubblicato il post, due adolescenti sono stati arrestati, ma sono stati presto rilasciati. E già il 10 settembre, il sito di Brian Krebs ha iniziato ad avere problemi. Al massimo, la potenza di attacco ha raggiunto 140 gigabit al secondo. Gli hacker offesi non hanno mancato di lasciare messaggi a Krebs "godiefaggot". Per un po' il blog ha persino smesso di funzionare, ma gli specialisti di Akamai sono riusciti a ripristinarlo. Ma gli attacchi non si sono fermati qui. E il 20 settembre la sua capacità era già di 665 gigabit al secondo. Akamai è stata costretta a rinunciare alla gestione del blog di Krebs per proteggere gli abbonati paganti. La potenza dell'attacco a cui è stato sottoposto il sito è stata doppia rispetto a quella che Akamai aveva osservato finora. Alcuni giornalisti hanno convenuto che questo è stato il più grande attacco nell'intera storia di Internet. Ad esempio, all'inizio del 2016, il sito web della BBC è stato attaccato con una velocità di 602 gigabit al secondo. Il record è stato battuto pochi mesi dopo.

A quanto pare, il palo di Krebs ha ferito nel vivo gli attaccanti. L'attacco è stato effettuato utilizzando telecamere IP, router e altri "Internet delle cose", per i quali gli utenti impostano password standard. Gli hacker non hanno nemmeno provato a coprire le proprie tracce e hanno acceso gli indirizzi della maggior parte dei dispositivi che potrebbero ancora essere utilizzati per altri attacchi finanziari. Ancora una volta, non abbiamo usato forme di parole. Il nickname di uno dei creatori di vDOC - AppleJ4ck - potrebbe essere letto in alcune richieste POST dell'attacco contenenti la stringa "freeapplej4ck". Solo l'intervento di Google ha permesso di ripristinare il sito con le indagini di Krebs. Il Project Shield del gigante di Internet protegge i siti Web di giornalisti e media indipendenti dagli attacchi informatici.

E nella prima pubblicazione, dopo il ripristino del sito, Brian Krebs ha parlato di censura su Internet. Sono disponibili strumenti efficaci non solo per lo Stato, ma anche per i criminali. Gli attacchi DDoS possono rappresentare un serio ostacolo alle indagini indipendenti nell'odierna economia di mercato. Non tutti i media hanno un budget di $ 200.000 per la difesa informatica.

Errore nel testo? Selezionalo con il mouse! E premi: Ctrl + Invio

Andrey Golovachev ha ricordato sulla sua pagina Facebook che la carriera politica di tutti i presidenti ucraini è finita in un disastro. Secondo l'esperto politico, Leonid Kuchma ha ricevuto un

Circa sei mesi fa, il pubblico ha appreso che alla famosa attrice russa Anastasia Zavorotnyuk è stato diagnosticato un tumore maligno al cervello. Da oggi no

Nel discutere le preoccupazioni del presidente Volodymyr Zelenskiy durante la sua visita in Vaticano, alcuni osservatori hanno notato che questa è la prima volta nella storia che i funzionari della Basilica di San Pietro in Vaticano.

Gli attacchi DoS e DDoS sono influenze esterne aggressive sulle risorse di elaborazione di un server o postazione di lavoro, condotta con l'obiettivo di portare quest'ultimo al fallimento. Per guasto, non intendiamo un guasto fisico di una macchina, ma l'inaccessibilità delle sue risorse per gli utenti coscienziosi - un fallimento del sistema per servirli ( D eniale o F S servizio, che è l'abbreviazione DoS).

Se un tale attacco viene effettuato da un singolo computer, è classificato come DoS (DoS), se da più - DDoS (DDoS o DDoS), il che significa "D assegnato D eniale o F S servizio "- denial of service distribuito. Successivamente, parliamo del motivo per cui gli aggressori eseguono tali azioni, cosa sono, quale danno causano all'attaccato e come quest'ultimo può proteggere le proprie risorse.

Chi può soffrire di attacchi DoS e DDoS

Gli attacchi prendono di mira server aziendali di aziende e siti Web, molto meno spesso: personal computer individui... Lo scopo di tali azioni, di regola, è uno: infliggere danni economici agli attaccati e rimanere nell'ombra. In alcuni casi, gli attacchi DoS e DDoS sono una delle fasi dell'hacking del server e mirano a rubare o distruggere informazioni. In effetti, un'azienda o un sito Web di proprietà di chiunque può diventare vittima di criminali informatici.

Diagramma che illustra l'essenza di un attacco DDoS:

Gli attacchi DoS e DDoS vengono spesso eseguiti su istigazione di concorrenti disonesti. Quindi, "riempiendo" il sito web di un negozio online che offre un prodotto simile, puoi diventare temporaneamente un "monopolista" e raccogliere i suoi clienti per te stesso. Mettendo giù il server aziendale, è possibile interrompere il lavoro di un'azienda concorrente e quindi ridurre la sua posizione nel mercato.

Attacchi su larga scala che possono causare danni significativi, di solito vengono eseguiti da criminali informatici professionisti per un sacco di soldi. Ma non sempre. Gli hacker dilettanti homebrew possono anche attaccare le tue risorse - per interesse e vendicatori tra i dipendenti licenziati e semplicemente coloro che non condividono le tue opinioni sulla vita.

A volte l'impatto viene effettuato con l'obiettivo di estorcere, mentre l'attaccante chiede apertamente denaro al proprietario della risorsa per fermare l'attacco.

I server di aziende statali e organizzazioni note vengono spesso attaccati da gruppi anonimi di hacker altamente qualificati con l'obiettivo di influenzare i funzionari o provocare una protesta pubblica.

Come vengono eseguiti gli attacchi

Il principio di funzionamento degli attacchi DoS e DDoS è quello di inviare un grande flusso di informazioni al server, il quale, al massimo (per quanto consentito dalle capacità dell'hacker), carica le risorse di calcolo del processore, la RAM, intasa i canali di comunicazione o riempie lo spazio su disco. La macchina attaccata non è in grado di gestire i dati in ingresso e smette di rispondere alle richieste dell'utente.

Sembra lavoro normale server visualizzato nel programma Logstalgia:

L'efficacia dei singoli attacchi DOS non è molto elevata. Inoltre, un attacco da un personal computer mette un utente malintenzionato a rischio di essere identificato e catturato. Gli attacchi distribuiti (DDoS) dalle cosiddette reti zombie o botnet forniscono profitti molto maggiori.

Ecco come il sito Norse-corp.com mostra l'attività della botnet:

Una rete zombie (botnet) è un gruppo di computer che non hanno alcuna connessione fisica tra loro. Sono uniti dal fatto che sono tutti sotto il controllo dell'attaccante. Il controllo viene effettuato tramite cavallo di Troia, che per il momento potrebbe non manifestarsi in alcun modo. Quando effettua un attacco, l'hacker ordina ai computer infetti di inviare richieste al sito Web o al server della vittima. E lui, incapace di resistere all'assalto, smette di rispondere.

Ecco come Logstalgia mostra l'attacco DDoS:

Qualsiasi computer può unirsi alla botnet. E anche uno smartphone. È sufficiente catturare il Trojan e non rilevarlo in tempo. A proposito, la botnet più grande aveva quasi 2 milioni di macchine in tutto il mondo e i loro proprietari non avevano idea di cosa dovessero fare.

Metodi di attacco e difesa

Prima di iniziare un attacco, un hacker capisce come eseguirlo con il massimo effetto. Se il nodo attaccato presenta diverse vulnerabilità, l'impatto può essere effettuato in direzioni diverse, il che complicherà notevolmente la risposta. Pertanto, è importante che ogni amministratore del server lo studi tutto " posti stretti»E, se possibile, rafforzali.

Alluvione

Flood, in termini semplici, è un'informazione che non ha un carico semantico. Nel contesto degli attacchi DoS / DDoS, un flood è una valanga di richieste vuote e prive di significato di un livello o di un altro, che il nodo ricevente è costretto a elaborare.

Lo scopo principale dell'utilizzo del flooding è intasare completamente i canali di comunicazione, saturare la larghezza di banda al massimo.

Tipi di alluvione:

  • MAC flood - impatto sui comunicatori di rete (blocco delle porte con flussi di dati).
  • Flood ICMP: inondare la vittima di richieste echo di servizio utilizzando una rete zombie o inviando richieste "per conto" dell'host attaccato in modo che tutti i membri della botnet gli inviino contemporaneamente una risposta echo (attacco Smurf). Un caso speciale di flooding ICMP è il ping flooding (invio di richieste ping al server).
  • SYN flood - Invio di più richieste SYN alla vittima, riempiendo la coda di connessione TCP creando un numero elevato di connessioni semiaperte (in attesa di conferma del client).
  • UDP flood: funziona secondo lo schema degli attacchi Smurf, in cui vengono inviati datagrammi UDP anziché pacchetti ICMP.
  • HTTP flood - inondazione del server con numerosi messaggi HTTP. Un'opzione più sofisticata è un flusso HTTPS, in cui i dati trasmessi sono pre-crittografati e prima che l'host attaccato li elabori, deve decrittografarli.


Come proteggersi dalle inondazioni

  • Configurare la convalida dell'indirizzo MAC e il filtro sugli switch di rete.
  • Limitare o negare l'elaborazione delle richieste echo ICMP.
  • Blocca i pacchetti provenienti da un indirizzo o dominio specifico, il che fa sorgere il sospetto di inaffidabilità.
  • Imposta un limite al numero di connessioni semiaperte con un indirizzo, riduci il loro tempo di ritenzione, allunga la coda di connessione TCP.
  • Disabilita i servizi UDP dalla ricezione del traffico dall'esterno o limita il numero di connessioni UDP.
  • Usa CAPTCHA, ritardi e altre tecniche di protezione anti-bot.
  • Aumento importo massimo Connessioni HTTP, configura la memorizzazione nella cache delle richieste utilizzando nginx.
  • Espandi la larghezza di banda canale di rete.
  • Se possibile, allocare un server separato per l'elaborazione della crittografia (se applicabile).
  • Creare un canale di backup per l'accesso amministrativo al server in situazioni di emergenza.

Sovraccarico delle risorse hardware

Esistono tipi di flooding che non interessano il canale di comunicazione, ma le risorse hardware del computer attaccato, caricandole al massimo e causandone il blocco o l'arresto anomalo. Per esempio:

  • Creare uno script che verrà pubblicato su un forum o un sito in cui gli utenti hanno l'opportunità di lasciare commenti è un'enorme quantità di inutile informazioni di testo fino a quando tutto lo spazio su disco è pieno.
  • La stessa cosa, solo i log del server riempiranno l'unità.
  • Caricamento del sito, dove vengono effettuate alcune trasformazioni dei dati inseriti, mediante elaborazione continua di tali dati (invio dei cosiddetti pacchetti "pesanti").
  • Caricamento del processore o della memoria eseguendo il codice tramite l'interfaccia CGI (il supporto CGI consente di eseguire qualsiasi programma esterno sul server).
  • Attivazione di un sistema di sicurezza, che rende il server inaccessibile dall'esterno, ecc.


Come proteggersi dal sovraccarico delle risorse hardware

  • Aumenta le prestazioni dell'hardware e lo spazio su disco. Quando il server funziona in modalità normale, almeno il 25-30% delle risorse deve rimanere libero.
  • Coinvolgi i sistemi per analizzare e filtrare il traffico prima di trasmetterlo al server.
  • Limitare l'utilizzo delle risorse hardware da parte dei componenti di sistema (impostare le quote).
  • Archivia i file di registro del server su un'unità separata.
  • Disperdere le risorse su più server indipendenti. In modo che se una parte si guasta, le altre rimangono operative.

Vulnerabilità nei sistemi operativi, software, firmware del dispositivo

Esistono incommensurabilmente più opzioni per eseguire tali attacchi rispetto all'utilizzo di inondazioni. La loro implementazione dipende dalle capacità e dall'esperienza dell'attaccante, dalla sua capacità di trovare errori nel codice del programma e di utilizzarli a proprio vantaggio ea scapito del proprietario della risorsa.

Dopo che un hacker ha scoperto una vulnerabilità (un errore software che può essere utilizzato per interrompere il sistema), tutto ciò che deve fare è creare ed eseguire un exploit, un programma che sfrutti questa vulnerabilità.

Lo sfruttamento delle vulnerabilità non è sempre inteso a causare solo la negazione del servizio. Se l'hacker è fortunato, sarà in grado di ottenere il controllo della risorsa e di disporre di questo "dono del destino" a sua discrezione. Ad esempio, usa per distribuire malware, rubare e distruggere informazioni, ecc.

Metodi per contrastare lo sfruttamento delle vulnerabilità nel software

  • Installa tempestivamente gli aggiornamenti per eliminare le vulnerabilità nei sistemi operativi e nelle applicazioni.
  • Isola tutti i servizi amministrativi dall'accesso di terze parti.
  • Utilizzare mezzi di monitoraggio costante del sistema operativo e dei programmi del server (analisi comportamentale, ecc.).
  • Rinuncia a programmi potenzialmente vulnerabili (gratuiti, auto-scritti, raramente aggiornati) a favore di quelli comprovati e ben protetti.
  • Utilizzare mezzi già pronti per proteggere i sistemi dagli attacchi DoS e DDoS, che esistono sia sotto forma di sistemi hardware che software.

Come determinare se una risorsa è stata attaccata da un hacker

Se l'attaccante riesce a raggiungere l'obiettivo, è impossibile non notare l'attacco, ma in alcuni casi l'amministratore non può determinare esattamente quando è iniziato. Cioè, a volte occorrono diverse ore dall'inizio dell'attacco ai sintomi evidenti. Tuttavia, durante l'esposizione latente (fino a quando il server "si stende"), ci sono anche alcuni segni. Per esempio:

  • Comportamento innaturale applicazioni server o sistema operativo(blocco, spegnimento con errori, ecc.).
  • Carico della CPU RAM e l'accumulatore sale bruscamente dal livello originale.
  • Il volume di traffico su una o più porte aumenta notevolmente.
  • Ci sono più chiamate di client alle stesse risorse (apertura di una pagina del sito, download dello stesso file).
  • L'analisi dei registri del server, del firewall e dei dispositivi di rete mostra un gran numero di richieste monotone da vari indirizzi, spesso dirette a una porta oa un servizio specifico. Soprattutto se il sito è rivolto a un pubblico ristretto (ad esempio, di lingua russa) e le richieste provengono da tutto il mondo. Allo stesso tempo, un'analisi qualitativa del traffico mostra che le richieste non hanno alcun significato pratico per i clienti.

Tutto quanto sopra non è un segno al 100% di un attacco, ma è sempre un motivo per prestare attenzione al problema e adottare misure protettive appropriate.

Chi viene attaccato?

Secondo la Banca centrale, nel 2016 il numero delle istituzioni finanziarie russe è quasi raddoppiato. A novembre, attacchi DDoS hanno preso di mira cinque importanti banche russe. Alla fine dello scorso anno, la Banca centrale ha riferito di attacchi DDoS alle istituzioni finanziarie, inclusa la Banca centrale. “Lo scopo degli attacchi era interrompere i servizi e, di conseguenza, minare la fiducia in queste organizzazioni. Questi attacchi sono stati notevoli per il fatto che è stato il primo utilizzo su larga scala dell'Internet of Things in Russia. Fondamentalmente, l'attacco ha coinvolto telecamere Internet e router domestici ", hanno osservato i servizi di sicurezza delle grandi banche.

Allo stesso tempo, gli attacchi DDoS non hanno causato danni significativi alle banche: sono ben protetti, quindi tali attacchi, sebbene abbiano causato problemi, non sono stati critici e non hanno interrotto un singolo servizio. Tuttavia, si può affermare che l'attività anti-bancaria degli hacker è aumentata in modo significativo.

Nel febbraio 2017, i servizi tecnici del Ministero della Salute russo hanno respinto il più grande attacco DDoS degli ultimi anni, che ha raggiunto il picco di 4 milioni di richieste al minuto. Ci sono stati attacchi DDoS ai registri governativi, ma non hanno avuto successo e non hanno portato ad alcuna modifica dei dati.

Tuttavia, le vittime degli attacchi DDoS sono numerose organizzazioni e aziende che dispongono di una "difesa" così potente. Nel 2017 si prevede un aumento dei danni causati dalle minacce informatiche: ransomware, DDoS e attacchi ai dispositivi IoT.


I dispositivi IoT stanno guadagnando popolarità come strumento per eseguire attacchi DDoS. Un evento degno di nota è stato l'attacco DDoS lanciato nel settembre 2016 utilizzando il codice dannoso Mirai. In esso, centinaia di migliaia di telecamere e altri dispositivi dei sistemi di videosorveglianza hanno agito come mezzi di attacco.

È stato effettuato contro l'hosting provider francese OVH. Era l'attacco DDoS più potente: quasi 1 Tbit/s. Gli hacker che utilizzano una botnet hanno utilizzato 150 mila. Dispositivi IoT, principalmente telecamere a circuito chiuso. Gli attacchi che utilizzano la botnet Mirai hanno dato origine a molte botnet da dispositivi IoT. Secondo gli esperti, nel 2017 le botnet IoT continueranno a essere una delle principali minacce nel cyberspazio.


Secondo il rapporto sugli incidenti di violazione dei dati di Verizon del 2016 (DBIR), il numero di attacchi DDoS è aumentato in modo significativo nell'ultimo anno. Nel mondo, i più colpiti sono l'industria dell'intrattenimento, le organizzazioni professionali, l'istruzione, l'IT e la vendita al dettaglio.

Una tendenza notevole negli attacchi DDoS è l'espansione della "lista delle vittime". Ora include rappresentanti di quasi tutti i settori. Inoltre, vengono migliorati i metodi di attacco.
Secondo Nexusguard, alla fine del 2016 si è registrato un netto aumento del numero di attacchi DDoS misti che coinvolgono più vulnerabilità. Molto spesso, sono stati esposti a organizzazioni finanziarie e governative. Il movente principale dei criminali informatici (70% dei casi) è il furto di dati o la minaccia della loro distruzione a scopo di riscatto. Meno comunemente, obiettivi politici o sociali. Per questo è importante una strategia di difesa. Può prepararsi a un attacco e minimizzarne le conseguenze, ridurre i rischi finanziari e reputazionali.

Dopo gli attacchi

Quali sono le conseguenze di un attacco DDoS? Durante un attacco, la vittima perde i clienti a causa di lavoro lento o completa inaccessibilità del sito, la reputazione dell'azienda ne risente. Il fornitore di servizi può bloccare l'indirizzo IP della vittima per ridurre al minimo i danni ad altri clienti. Ci vorrà tempo, e forse denaro, per ripristinare tutto.
Secondo un sondaggio aziendale, gli attacchi DDoS sono visti da metà delle organizzazioni come una delle minacce informatiche più gravi. La minaccia di DDoS è persino maggiore della minaccia di accesso non autorizzato, virus, frode e phishing, per non parlare di altre minacce.

Le perdite medie degli attacchi DDoS in tutto il mondo sono stimate in $ 50.000 per le piccole organizzazioni e quasi $ 500.000 per le grandi imprese. L'eliminazione delle conseguenze di un attacco DDoS richiederà tempo di lavoro aggiuntivo per i dipendenti, deviare risorse da altri progetti per garantire la sicurezza, sviluppare un piano di aggiornamento del software, aggiornare le apparecchiature, ecc.


La reputazione dell'organizzazione attaccata può essere danneggiata non solo a causa delle scarse prestazioni del sito Web, ma anche a causa del furto di dati personali o informazioni finanziarie.
Secondo il sondaggio dell'azienda, il numero di attacchi DDoS sta crescendo del 200% all'anno, con 2.000 attacchi di questo tipo segnalati ogni giorno nel mondo. Il costo dell'organizzazione di un attacco DDoS settimanale è solo di circa $ 150 e le perdite medie della vittima superano i $ 40.000 all'ora.

Tipi di attacchi DDoS

I principali tipi di attacchi DDoS sono attacchi di massa, attacchi di protocollo e attacchi di applicazioni. In ogni caso, l'obiettivo è disabilitare il sito o rubare dati. Un altro tipo di crimine informatico è la minaccia di un attacco di riscatto DDoS. Tali gruppi di hacker come Armada Collective, Lizard Squad, RedDoor ed ezBTC sono famosi per questo.

L'organizzazione degli attacchi DDoS è diventata molto più semplice: ora ci sono strumenti automatizzati ampiamente disponibili che praticamente non richiedono conoscenze speciali da parte dei criminali informatici. Ci sono anche servizi a pagamento DDoS per attacchi target anonimi. Ad esempio, il servizio vDOS offre i propri servizi senza verificare se il cliente è il proprietario del sito, che vuole testarlo "sotto carico", o se lo fa con l'obiettivo di un attacco.


Gli attacchi DDoS sono attacchi provenienti da molte fonti che impediscono agli utenti legittimi di accedere al sito attaccato. Per fare ciò, viene inviato un numero enorme di richieste al sistema attaccato, che non può far fronte. Di solito vengono utilizzati sistemi compromessi per questo scopo.

La crescita annuale del numero di attacchi DDoS è stimata al 50% (secondo le informazioni), ma i dati provenienti da diverse fonti differiscono e non tutti gli incidenti sono noti. La potenza media degli attacchi DDoS Layer 3/4 è cresciuta negli ultimi anni da 20 a diverse centinaia di GB/s. Sebbene gli attacchi DDoS e a livello di protocollo massicci siano di per sé dannosi, i criminali informatici li combinano sempre più con attacchi DDoS di livello 7, ovvero a livello di applicazione, volti ad alterare o rubare dati. Tali attacchi "multivettoriali" possono essere molto efficaci.


Gli attacchi multivettore rappresentano circa il 27% del numero totale di attacchi DDoS.

Nel caso di un massiccio attacco DDoS (basato sul volume), viene utilizzato un gran numero di richieste, spesso inviate da indirizzi IP legittimi, in modo che il sito "affoga" nel traffico. Lo scopo di tali attacchi è "intasare" tutta la larghezza di banda disponibile e bloccare il traffico legittimo.

In un attacco a livello di protocollo (come UDP o ICMP), l'obiettivo è esaurire le risorse di sistema. Per questo vengono inviate richieste aperte, ad esempio richieste TCP/IP con IP fasullo e, a causa dell'esaurimento delle risorse di rete, diventa impossibile elaborare richieste legittime. Rappresentanti tipici sono gli attacchi DDoS, conosciuti in circoli ristretti come Smurf DDos, Ping of Death e SYN flood. Un altro tipo di attacco DDoS a livello di protocollo prevede l'invio di un numero elevato di pacchetti frammentati che il sistema non è in grado di gestire.

Gli attacchi DDoS di livello 7 sono l'invio di richieste apparentemente innocue che sembrano essere il risultato della normale attività dell'utente. Di solito vengono utilizzati botnet e strumenti automatizzati per implementarli. Esempi notevoli sono Slowloris, Apache Killer, Cross-site scripting, SQL-injection, Remote file injection.

Nel 2012-2014, la maggior parte dei massicci attacchi DDoS erano attacchi stateless (nessun stato e tracciamento della sessione): utilizzavano il protocollo UDP. Nel caso di Stateless, molti pacchetti circolano in una sessione (ad esempio, l'apertura di una pagina). Chi ha avviato la sessione (ha richiesto la pagina), i dispositivi stateless, di regola, non lo sanno.

Protocollo UDP suscettibile di spoofing - sostituzione dell'indirizzo. Ad esempio, se si desidera attaccare il server DNS a 56.26.56.26 utilizzando l'attacco di amplificazione DNS, è possibile creare un insieme di pacchetti con l'indirizzo mittente 56.26.56.26 e inviarli ai server DNS in tutto il mondo. Questi server invieranno una risposta a 56.26.56.26.

Lo stesso metodo funziona per i server NTP, i dispositivi abilitati per SSDP. NTP è forse il metodo più diffuso: nella seconda metà del 2016 è stato utilizzato nel 97,5% degli attacchi DDoS.
Best Current Practice (BCP) 38 consiglia agli ISP di configurare i gateway per prevenire lo spoofing: l'indirizzo del mittente, la rete di origine è monitorata. Ma questa pratica non è seguita da tutti i paesi. Inoltre, gli aggressori aggirano i controlli BCP 38 passando ad attacchi stateful a livello TCP. Secondo l'F5 Security Operations Center (SOC), tali attacchi hanno dominato gli ultimi cinque anni. Nel 2016, ci sono stati il ​​doppio degli attacchi TCP rispetto agli attacchi UDP.

Gli attacchi di livello 7 sono utilizzati principalmente da hacker professionisti. Il principio è il seguente: viene preso un URL "pesante" (con file PDF o una richiesta a un database di grandi dimensioni) e viene ripetuto decine o centinaia di volte al secondo. Gli attacchi di livello 7 sono terribili e difficili da riconoscere. Ora rappresentano circa il 10% degli attacchi DDoS.


Correlazione di diversi tipi di attacchi DDoS secondo il Verizon Data Breach Investigations Report (DBIR) (2016).

Spesso, gli attacchi DDoS sono programmati in modo da coincidere con i periodi di picco del traffico, come i giorni di vendita online. Grandi flussi di dati personali e finanziari attraggono gli hacker in questo momento.

Attacchi DDoS al DNS

Il Domain Name System (DNS) svolge un ruolo fondamentale nelle prestazioni e nella disponibilità di un sito. In definitiva - nel successo della tua attività. Sfortunatamente, l'infrastruttura DNS è spesso il bersaglio di attacchi DDoS. Sopprimendo la tua infrastruttura DNS, gli aggressori possono danneggiare il tuo sito web, la reputazione della tua azienda e le tue prestazioni finanziarie. L'infrastruttura DNS deve essere altamente resiliente e scalabile per resistere alle minacce odierne.
Essenzialmente DNS - base distribuita dati, che, tra le altre cose, mappano nomi di siti di facile lettura su indirizzi IP, consentendo all'utente di navigare verso il sito desiderato dopo aver inserito l'URL. La prima interazione dell'utente con il sito inizia con le richieste DNS inviate al server DNS con l'indirizzo del dominio Internet del tuo sito. La loro elaborazione può rappresentare fino al 50% del tempo di caricamento della pagina web. Pertanto, una diminuzione delle prestazioni DNS può portare all'abbandono del sito da parte dell'utente e alla perdita dell'attività. Se il tuo server DNS smette di rispondere a causa di un attacco DDoS, nessuno sarà in grado di accedere al sito.

Gli attacchi DDoS sono difficili da rilevare, soprattutto all'inizio quando il traffico sembra normale. L'infrastruttura DNS può essere soggetta a vari tipi di attacchi DDoS. A volte si tratta di un attacco diretto ai server DNS. In altri casi, vengono utilizzati exploit, utilizzando sistemi DNS per attaccare altri elementi dell'infrastruttura o dei servizi IT.


Gli attacchi DNS Reflection espongono il bersaglio a massicce risposte DNS fasulle. Per questo vengono utilizzate le botnet, che infettano centinaia e migliaia di computer. Ciascun bot in tale rete genera diverse richieste DNS, ma utilizza lo stesso indirizzo IP di destinazione dell'IP di origine (spoofing). Il servizio DNS risponde a questo indirizzo IP.

In questo modo si ottiene un doppio effetto. Sistema di destinazione migliaia e milioni di risposte DNS vengono bombardate e il server DNS può "sdraiarsi" senza far fronte al carico. La query DNS stessa è in genere inferiore a 50 byte e la risposta è dieci volte più lunga. Inoltre, i messaggi DNS possono contenere molte altre informazioni.

Supponiamo che un utente malintenzionato abbia emesso 100.000 brevi query DNS da 50 byte (5 MB in totale). Se ogni risposta contiene 1 KB, il totale è già di 100 MB. Da qui il nome Amplificazione. La combinazione di attacchi DNS Reflection e Amplification può avere conseguenze molto gravi.


Le richieste sembrano traffico regolare e le risposte sono un mucchio di messaggi grande taglia diretto al sistema di destinazione.

Come proteggersi dagli attacchi DDoS?

Come proteggersi dagli attacchi DDoS, quali misure adottare? Prima di tutto, non rimandare "per dopo". È necessario tenere in considerazione alcune considerazioni durante la configurazione della rete, l'avvio dei server e la distribuzione del software. E ogni modifica successiva non dovrebbe aumentare la vulnerabilità agli attacchi DDoS.
  • Sicurezza del codice. Le considerazioni sulla sicurezza devono essere prese in considerazione durante la scrittura del software. Si consiglia di seguire gli standard di "codifica sicura" e di testare accuratamente il software per evitare insidie ​​e vulnerabilità comuni come scripting tra siti e SQL injection.

  • Sviluppare un piano d'azione per l'aggiornamento del software. Dovrebbe esserci sempre un'opportunità di "ripristino" nel caso in cui qualcosa vada storto.

  • Mantieni aggiornato il tuo software. Se è stato possibile scaricare gli aggiornamenti, ma sono comparsi problemi, vedere il punto 2.

  • Non dimenticare di limitare l'accesso. L'amministratore e/o gli account devono essere protetti da password complesse e modificate regolarmente. È inoltre richiesto un controllo periodico dei diritti di accesso, la cancellazione tempestiva degli account dei dipendenti in pensione.

  • L'interfaccia di amministrazione dovrebbe essere accessibile solo dalla rete interna o tramite VPN. Chiudere tempestivamente l'accesso VPN per i dipendenti che hanno lasciato il lavoro e ancora di più per coloro che sono stati licenziati.

  • Includi la mitigazione DDoS nel tuo piano di ripristino di emergenza. Il piano dovrebbe includere modi per identificare il fatto di un tale attacco, contatti per la comunicazione con un provider Internet o di hosting, un albero di "escalation del problema" per ciascun dipartimento.

  • La scansione delle vulnerabilità aiuterà a identificare i problemi nell'infrastruttura e nel software e a ridurre i rischi. Un semplice test OWASP Top 10 Vulnerability identificherà i problemi più critici. Anche i test di penetrazione saranno utili: ti aiuteranno a trovare punti deboli.

  • La protezione DDoS hardware può essere costosa. Se il tuo budget non lo prevede, esiste una buona alternativa: la protezione DDoS "on demand". Tale servizio può essere abilitato semplicemente modificando lo schema di instradamento del traffico in situazione di emergenza, o è protetto in modo permanente.

  • Usa un partner CDN. Le reti di distribuzione dei contenuti consentono la distribuzione dei contenuti del sito su una rete distribuita. Il traffico viene distribuito su più server, riducendo la latenza per l'accesso degli utenti, compresi quelli geograficamente distanti. Pertanto, sebbene il principale vantaggio di CDN sia la velocità, funge anche da barriera tra il server principale e gli utenti.

  • Usa il Web Application Firewall, un firewall per le applicazioni web. Monitora il traffico tra un sito o un'applicazione e il browser, verificando la legittimità delle richieste. Lavorando a livello di applicazione, WAF è in grado di rilevare attacchi contro modelli archiviati ed esporre comportamenti insoliti. Gli attacchi a livello di applicazione non sono rari nell'e-commerce. Come con i CDN, puoi utilizzare i servizi WAF nel cloud. Tuttavia, la configurazione delle regole richiede una certa esperienza. Idealmente, tutte le principali applicazioni dovrebbero essere protette con WAF.

    • Protezione DNS

    Come proteggere la tua infrastruttura DNS dagli attacchi DDoS? I normali firewall e IPS non aiutano in questo caso, sono impotenti contro un complesso attacco DDoS al DNS. In effetti, i firewall e i sistemi di prevenzione delle intrusioni sono essi stessi vulnerabili agli attacchi DDoS.
    Possono venire in soccorso servizi cloud pulizia del traffico: viene inviato a un determinato centro, dove viene controllato e reindirizzato a destinazione. Questi servizi sono utili per il traffico TCP. Chi gestisce la propria infrastruttura DNS può adottare le seguenti misure per mitigare l'impatto degli attacchi DDoS.
  • Il monitoraggio dei server DNS per attività sospette è il primo passo per proteggere la tua infrastruttura DNS. Le soluzioni DNS commerciali e i prodotti open source come BIND forniscono statistiche in tempo reale che possono essere utilizzate per rilevare gli attacchi DDoS. Il monitoraggio degli attacchi DDoS può essere un'attività che richiede molte risorse. È meglio creare un profilo di base dell'infrastruttura in condizioni operative normali e quindi aggiornarlo di volta in volta man mano che l'infrastruttura si evolve e i modelli di traffico cambiano.

  • Ulteriori risorse del server DNS possono aiutare a gestire gli attacchi su piccola scala fornendo un'infrastruttura DNS ridondante. Le risorse del server e della rete dovrebbero essere sufficienti per gestire più richieste. Naturalmente, la ridondanza costa denaro. Paghi per le risorse server e di rete che normalmente non vengono utilizzate in condizioni normali. E con una "riserva" significativa di potere, è improbabile che questo approccio sia efficace.

  • L'abilitazione del DNS Response Rate Limiting (RRL) ridurrà la probabilità che il server sia coinvolto in un attacco DDoS Reflection riducendo la velocità della sua risposta a richieste ripetute. Molte implementazioni DNS supportano RRL.

  • Utilizzare configurazioni ad alta disponibilità. Puoi difenderti dagli attacchi DDoS distribuendo DNS su un server ad alta disponibilità (HA). Se un server fisico "si arresta" a causa dell'attacco, il servizio DNS può essere ripristinato sul server di backup.

    • Il modo migliore per proteggere il DNS dagli attacchi DDoS è utilizzare una rete Anycast geograficamente dispersa. Le reti DNS distribuite possono essere implementate utilizzando due diversi approcci: indirizzamento Unicast o Anycast. Il primo approccio è molto più facile da implementare, ma il secondo è molto più resistente agli attacchi DDoS.

    Nel caso di Unicast, ciascuno di Server DNS la tua azienda riceve un indirizzo IP univoco. DNS mantiene una tabella dei server DNS del tuo dominio e degli indirizzi IP corrispondenti. Quando l'utente immette un URL, uno degli indirizzi IP viene selezionato casualmente per eseguire la richiesta.

    Con lo schema di indirizzamento Anycast, diversi server DNS condividono un indirizzo IP comune. Quando l'utente immette un URL, viene restituito l'indirizzo collettivo dei server DNS. La rete IP instrada la richiesta al server più vicino.

    Anycast offre vantaggi di sicurezza fondamentali rispetto a Unicast. Unicast fornisce gli indirizzi IP dei singoli server, in modo che gli aggressori possano lanciare attacchi mirati contro server fisici specifici e macchine virtuali e quando le risorse di questo sistema sono esaurite, si verifica un errore del servizio. Anycast può aiutare a mitigare gli attacchi DDoS distribuendo le richieste su un gruppo di server. Anycast è utile anche per isolare gli effetti di un attacco.

    Protezione DDoS fornita dal provider

    Progettare, implementare e gestire una rete Anycast globale richiede tempo, denaro e know-how. La maggior parte delle organizzazioni IT non ha le competenze e le risorse finanziarie per farlo. Puoi fidarti di un provider di servizi gestiti specializzato in DNS per mantenere in funzione la tua infrastruttura DNS. Hanno le conoscenze necessarie per proteggere il DNS dagli attacchi DDoS.

    I provider di servizi DNS gestiti gestiscono reti Anycast su larga scala e hanno punti di presenza in tutto il mondo. Gli esperti di sicurezza di rete monitorano la rete 24 ore su 24, 7 giorni su 7, 365 giorni all'anno e applicano strumenti speciali per mitigare l'impatto degli attacchi DDoS.


    I servizi sono offerti anche da alcuni provider di hosting: il traffico di rete viene analizzato 24 ore su 24, 7 giorni su 7, quindi il tuo sito sarà relativamente sicuro. Tale protezione è in grado di resistere a potenti attacchi, fino a 1500 Gbps. Allo stesso tempo, il traffico è pagato.

    Un'altra opzione è proteggere gli indirizzi IP. Il provider inserisce l'indirizzo IP, che il cliente ha scelto come protetto, in una speciale rete di analizzatori. L'attacco abbina il traffico al client rispetto ai modelli di attacco noti. Di conseguenza, il client riceve solo traffico pulito e filtrato. Pertanto, gli utenti del sito potrebbero non sapere che è stato effettuato un attacco. Per organizzare ciò, viene creata una rete distribuita di nodi di filtraggio in modo che per ogni attacco sia possibile selezionare il nodo più vicino e ridurre al minimo il ritardo nella trasmissione del traffico.

    Il risultato dell'utilizzo dei servizi di protezione contro gli attacchi DDoS sarà il rilevamento e la prevenzione tempestivi degli attacchi DDoS, la continuità del sito e la sua costante disponibilità per gli utenti, la minimizzazione delle perdite finanziarie e di reputazione dovute ai tempi di inattività del sito o del portale.

    Condividere
    Condividere
    Tweet
    Piace
    Piace

    Leggi anche

    LA CAMPANA

    C'è chi ha letto questa notizia prima di te.
    Iscriviti per ricevere gli ultimi articoli.
    E-mail
    Nome
    Cognome
    Come vuoi leggere La Campana?
    Niente spam