Interoute monitora gli attacchi in Internet con un barometro, ecco come funziona

Durante l'estate Interoute ha lanciato un nuovo tool che consente di monitorare, in tempo reale, gli attacchi in corso sulla rete Internet. Dopo aver parlato dell'Internet Barometer nel nostro articolo, abbiamo deciso di dedicare uno speciale a questo nuovo strumento, oggi abbiamo il piacere di ospitare Matteo Biancani, Sales Engineer di Interoute Italia, per alcune brevi domande sul funzionamento di Internet Barometer e sulle sue potenzialità.

La rete di Interoute in Europa

Si tratta di uno strumento utilizzabile gratuitamente, anche tramite un widget, e senza particolari implicazioni commerciali per la società. Matteo spiega nell'intervista come si differenzia il sistema di interoute da altri noti e quale è l'obiettivo nel suo utilizzo.

Per ora nessuna previsione di versioni commerciali o espansioni future, ci appare più uno sforzo teso a rafforzare il brand di Interoute e mostrare le potenzialità degli oltre 50.000 km di fibra ottica proprietaria, un dato che ha portato Interoute ad una buona crescita negli ultimi mesi, entrando anche fra i principali fornitori presi in considerazione nel mondo degli hosting provider per la connettività delle server farm o la colocation delle proprie macchine.

Di seguito l'intervista a Matteo Biancani:

Il sistema presentato da Interoute ricorda vagamente altri sistemi già approntati da grandi provider in passato: in cosa si differenzia questo "barometro"?

Si parla di un'analisi che non avviene più sui router delle reti.  Gli altri    tendono a monitorare il traffico web dai punti di accesso alla rete internet. Interoute barometer permette invece  un  monitoraggio dall'interno della rete e non soltanto dall ' esterno. Questo ci da' la possibilità di identificare eventuali minacce in tempi brevissimi. I barometri internet non sono nuovi; il più conosciuto e' quello  Internet Storm Centre, http://isc.sans.org/top10" http://isc.sans.org/top10" http://isc.sans.org/top10 , quest’ ultimo dà alla utente la percezione di tutte le attivita' internet sospette in ogni momento.  La nostra intenzione non e' quella di competere con strumenti preziosi come questi.

• Da dove è partita l'idea dello sviluppo e quali sono state le scelte "cruciali" nella sua progettazione?

 Stiamo lavorando a questo progetto da circa due anni. In un primo momento, abbiamo sviluppato il Barometro nell’ambito della nostra suite di prodotti per la sicurezza dedicati ai nostri clienti, dopodiché, abbiamo deciso di metterlo a disposizione dell’intera comunità internet contribuendo ad incrementare il livello di sicurezza della rete globale

•  Si parla di 22 sensori inseriti nella rete Interoute. Dove sono stati posizionati e come lavorano tecnicamente? 

I sensori sono posizionati  in punti strategici nel backbone in cui convergono poi per la trasmissione. La posizione di ogni sensore e' studiata per fornire a tutte le regioni coperte dalla nostra rete la massima copertura, ma cambiano costantemente per essere aggiornati al costante aggiornamento del nostro backbone.

• I dati sono il primo passo, ma la loro analisi in tempo reale immagino sia un discorso più complesso. Come viene fatta?  

Abbiamo utilizzato hardware specifici disponibili sul mercato modificandone il firmware in modo da adattarli alle nostre esigenze. Tali apparati garantiscono il livello di prestazioni richiesto e si interfacciano perfettamente con il backbone 20Gb/sec - 80Gb/sec di Interoute.

Metodologie quali il masking degli indirizzi IP rendono i dati processati anonimi e la sicurezza degli stessi è garantita.Processiamo le segnalature di vulnerabilità già presenti nei sw più diffusi, combinandole con darknet per individuare tutti i tipi di minacce reali e virtuali creando black-list per quantificare il livello di pericolosità dell’attacco.
 

• Come verrà proposto questo sistema? Sarà disponibile una versione commerciale e dedicata ai singoli provider che intendono aumentare la loro protezione? 

Al momento non abbiamo un progetto di questo tipo.
 

• Nel periodo di sviluppo avrete monitorato sicuramente le tipologie di attacco più diffuse; quali sono oggi e quale il motivo della diffusione di alcune tipologie rispetto ad altre?

In generale comunque possiamo affermare che i piu diffusi sono Cracking,Sniffing (tecnica per intercettare i dati in transito in rete e decodificarli), Keylogging (software che una volta eseguito su di una macchina memorizza in maniera trasparente all'utente ogni tasto premuto in un proprio database.

Solitamente viene installato tramite virus o backdoor, e viene programmato in modo che ritrasmetta via rete i dati memorizzati.), Spoofing, Trojan(software maligni nascosti all'interno di programmi apparentemente utili, e che dunque l'utente esegue volontariamente.),Virus, DOS (negazione del servizio"; tecnica per tempestare di richieste un singolo servizio al fine di farlo collassare) e violazione della policy. Il veicolo preferenziale di infezione è invece oggi rappresentato dalle comunicazioni di posta elettronica e dalle reti di peer to peer come emule