Check Point Whitepaper. Attacchi DoS: Pianificazione delle Attività di Risposta e Azioni di Mitigazione

Transcript

1 Check Point Whitepaper Attacchi DoS: Pianificazione delle Attività di Risposta e Azioni di Mitigazione Agosto 2012

2 Indice Introduzione. 3 DoS Story Cos è un Attacco DoS?.. 3 Chi utilizza gli Attacchi DoS e per quale motivo?.. 4 Tipi di Attacchi DoS... 5 Attacchi DoS: Metodi e Strumenti 5 Come difendersi dagli Attacchi DoS?... 9 Check Point Software Blade: i Tool per mitigare gli Attacchi DoS. 11 Check Point DDoS Protector 15 Esempio: un caso di mitigazione di un Attacco DoS 15 Sintesi Classificazione: [Protetto] 2

3 Introduzione Il presente White Paper fornisce informazioni generali relative agli attacchi Denial of Service, presenta tecnologie e strumenti utilizzabili in questo contesto e dimostra l efficacia della protezione garantita da Check Point Software Blade e DDoS Protector contro tali attacchi. Presenta inoltre un esempio di vita reale, in cui l Account Team Check Point ha aiutato concretamente un cliente colpito da un attacco DoS, permettendogli di mitigarne gli effetti. Con il termine DoS, così come utilizzato nel presente documento, si intendono sia gli attacchi DoS (Denial of Service) che quelli DDoS (Distributed Denial of Service). Gli attacchi DoS hanno come bersaglio sistemi di reti e singoli servizi; li sommergono con un volume di traffico tale da causarne il crash o da bloccarne l operatività. Cosa fareste se improvvisamente i vostri "sistemi non rispondessero più"? DoS Story Nella maggior parte dei film di fantascienza si assiste spesso ad una scena tipica: impegnati allo stremo in situazioni difficilissime e obbligati ad affrontare sfide durissime, i protagonisti improvvisamente scoprono che i sistemi non rispondono Ne consegue che la situazione diventa difficilmente controllabile, le persone non sanno più cosa fare e non riescono ad evitare conseguenze disastrose. Una situazione analoga si verifica nel mondo reale del business, ogniqualvolta le reti diventano vittima degli attacchi DoS. Si immagini una qualsiasi impresa, ad esempio una piccola banca regionale che offre i propri servizi al pubblico, come conti correnti, gestione di paghe e contributi, mutui e prestiti aziendali, compensazione di assegni e bonifici bancari, quando da un momento all altro " i sistemi non rispondono " Oppure un retailer che fa la maggior parte del suo business annuale nella stagione estiva, quando improvvisamente in tale periodo nota che " i sistemi non rispondono " Si potrebbe anche immaginare la situazione di un college o di un università: da un lato, la presenza in rete è essenziale per cercare nuovi studenti, ottenerne l iscrizione e generare profitto; dall altro, la rete è indispensabile per prestare quotidianamente agli studenti i servizi fondamentali quali gli orari dei corsi, l accesso alle risorse per le ricerche e le attività in aula, le comunicazioni d emergenza relative al campus. Il fatto che improvvisamente " i sistemi non rispondano " ha sicuramente conseguenze molto gravi. Lo stesso dicasi nel caso in cui si verifichi una situazione di interruzione dei sistemi all interno di un importante istituto finanziario, le cui operazioni giornaliere sono cruciali per la continuità economica del Paese e il benessere dei cittadini. Si tratta di esempi del mondo reale che dimostrano come gli attacchi DoS siano in grado di sopraffare persino le reti più protette e sofisticate causando danni ingenti ad aziende ed imprese di qualsiasi tipologia e dimensione. Cos è un attacco DoS? Gli attacchi Denial-of-Service (DoS) hanno come obiettivo le reti, i sistemi e anche i singoli servizi, che vengono inondati da un volume di traffico tale da causare il crash degli stessi o da bloccarne l operatività; di fatto, si tratta di una negazione del servizio agli utenti che legittimamente sarebbero destinati ad avvalersene. L attacco DoS è sferrato da una singola sorgente con l obiettivo di sopraffare e disabilitare il servizio di destinazione, mentre l attacco DDoS (Distributed Denialof-Service) è coordinato e sferrato simultaneamente da più sorgenti, con la finalità di disabilitare il servizio di destinazione. Tipicamente, nel caso di più sorgenti, queste fanno parte di una "bot-net" (una rete di computer compromessi) e possono essere sparse all interno di una regione o addirittura disseminate in tutto il globo. Le botnet possono operare in modo dinamico: un obiettivo può essere attaccato da diverse bot in qualsiasi momento e ciò rende molto difficile individuare e bloccare l attacco. 3

4 I sintomi di un attacco DoS sono evidenti: lentezza fino a mancanza di reazione da parte della rete e della relativa performance, applicazioni che non rispondono o non risultano essere disponibili. Il verificarsi di effetti o danni collaterali è altamente probabile; un attacco DoS sferrato contro una pipe o un applicazione può impattare anche sui tempi di risposta di altri servizi che si trovano sullo stesso segmento della rete. Gli attacchi DoS sono universalmente definiti come violazioni delle norme di comportamento accettabili, contrastano lo spirito e le regole stabilite nel documento IAB RFC 1087, Ethics and the Internet; nella maggior parte dei paesi sono considerati alla stregua di reati e non è previsto alcun caso in cui ne sia legittimato il loro utilizzo. Chi utilizza gli attacchi DoS e per quale motivo? Diversi tipi di gruppi e organizzazioni si sono serviti degli attacchi DoS allo scopo di promuovere la rispettiva causa. Chi sono tali gruppi e quali sono le loro motivazioni? Si tratta essenzialmente di tre diverse tipologie di utenti : 1. Hacktivisti 2. Aggressori che sfidano le leggi nazionali o l operato dei governi 3. Aggressori con motivazioni di natura finanziaria Chi sferra attacchi DoS e per quale motivo lo fa? Gruppi di hacktivisti organizzati e motivati a conseguire obiettivi e finalità di natura sociale e politica. Organizzazioni volte a provocare caos e disordini contro l operato dei governi e, ovviamente, gruppi che eseguono attività di spionaggio e furto di segreti nazionali. La criminalità organizzata e gli hacktivisti differiscono presumibilmente solo per la motivazione che per le organizzazioni criminali è data dal guadagno finanziario - che è uno dei denominatori comuni tra tutti i gruppi di aggressori. Gli hacktivisti sono singoli individui o gruppi di persone spinti all azione da motivazioni legate al sostegno di questioni sociali o all attuazione di programmi politici; per raggiungere questi scopi, mirano a interrompere o disgregare i sistemi informatici, sferrando attacchi DoS o aggressioni similari. Su Wikipedia¹ si legge che il termine è stato coniato per la prima volta nel 1966 da Omega, un membro del collettivo di hacker e attivisti, denominato Cult of the Dead Cow. Qualora si presupponga che le pratiche di hacking siano assimilabili a una violazione con effrazione di computer, allora l hacktivismo potrebbe essere definito come l uso di strumenti digitali legali e/o illegali volto al perseguimento di finalità e obiettivi di natura politica. Oltre alle motivazioni sociali e politiche, alcuni ritengono che gruppi ristretti di hacktivisti siano attualmente legati alla criminalità organizzata ed utilizzino le pratiche di hacking al fine di facilitare il furto di informazioni per ottenerne profitti finanziari. Gli attacchi DoS sferrati da questi ultimi aggressori, sottoposti a sanzioni specifiche nella maggior parte dei governi, sono motivati anch essi da svariate ragioni note ed ovvie, ovvero per generare disordini e caos al fine di mettere in discussione e contestare l operato di governi e multinazionali o più tradizionalmente per spiare e rubare segreti nazionali. Si deve tuttavia considerare che attacchi di questo tipo possono effettivamente essere atti non sponsorizzati, perpetrati da singoli individui motivati ad eseguire azioni che nella loro percezione personale ritengono essere patriottiche. Sferrare un attacco con la finalità di conseguirne un guadagno economico costituisce tuttavia un comune denominatore per la stragrande maggioranza di attacchi DoS, indirizzati in modo analogo contro i governi e le aziende. Un individuo che sferra un attacco DoS su commissione può essere pagato per sferrare l attacco DoS ai danni di un concorrente del proprio committente, dando luogo ad un profitto sia per il committente stesso che per l aggressore. In altri casi, gli attacchi DoS costituiscono semplicemente un modo per rubare informazioni, tra cui dati personali, informazioni bancarie, proprietà intellettuale, insomma tutto ciò che può poi essere in qualsiasi modo venduto o utilizzato per ricavarne un utile. Ci sono infine casi di attacchi DoS ransom, in cui è richiesto un riscatto che la vittima dell attacco DoS deve pagare perchè i propri sistemi informatici non diventino inutilizzabili. 4

5 Tipi di Attacchi DoS Attualmente, esistono due categorie principali di attacchi DoS: attacchi che sono sferrati contro la rete e attacchi che hanno come bersaglio le applicazioni. Anche se gli attacchi contro le applicazioni sono diventati sempre più frequenti nel corso degli ultimi due anni, gli attacchi sferrati contro la rete continuano ad essere una tecnica di disgregazione di uso comune e con gravi conseguenze. 1. Attacco DoS di tipo Network Flood Noti anche come attacchi volumetrici, tali attacchi inviano volumi enormi di traffico irrilevante (UDP, SYN o TCP) con l obiettivo di consumare la larghezza di banda della rete e inondare i dispositivi di rete, rendendo inutilizzabile il segmento di rete colpito o addirittura l intera rete. 2. Attacco DoS contro le applicazioni Sferrati contro le applicazioni, questi attacchi continuano ad inondarle con richieste apparentemente legittime fino al momento in cui i sistemi non rispondono più. Nella maggior parte dei casi, tali attacchi passano del tutto inosservati, in quanto il volume di traffico da essi contemplato non è di dimensione rilevante e implica un consumo abbastanza lento delle risorse protraendosi tuttavia fino a mettere fuori servizio l applicazione. Entrambi i tipi di attacco possono rientrare nelle categorie sotto riportate: Asimmetria dell utilizzo delle risorse in starvation La finalità di questo attacco è semplicemente quella di sopraffare la capacità della vittima. Si tratta di attacchi DoS sferrati su qualsiasi rete o applicazione: l aggressore prende il controllo di un numero crescente di risorse (capacità di elaborazione e/o larghezza di banda) rispetto a quanti ne controlli la vittima e utilizza tali risorse per mettere fuori uso l obiettivo del suo attacco. Attacco DoS basato su tecnica di diversion Talvolta, un attacco DoS viene utilizzato a livello di diversion allo scopo di distrarre il team di sicurezza della vittima mentre, nel frattempo, gli aggressori si dirigono verso altri obiettivi. In funzione della disgregazione e dell impatto che un aggressore intende arrecare, esiste sempre una tecnica o un tool in grado di aiutarlo in tal senso. Il ciclo di vita di un tool è comunque di breve durata e ciò sottolinea l importanza e l efficacia di azioni difensive intraprese contro gli attacchi DoS, ma evidenzia anche la resistenza e le grandi capacità mostrate dalla comunità di aggressori nella creazione di nuove metodologie e tool di attacchi DoS. Attacchi DoS: Metodi e Strumenti Anche se attualmente si conta già un elevato numero di tecniche e strumenti utilizzati per gli attacchi DoS, sono molte le nuove metodologie e i mezzi che vengono sviluppati a questo proposito. In funzione della disgregazione e dell impatto che un aggressore intende arrecare, c è sempre una tecnica o un tool in grado di aiutarlo in tal senso. È importante considerare che il ciclo di vita di un tool ha spesso una durata estremamente breve, generalmente di solo alcuni mesi. Questo ciclo di vita così breve sottolinea l importanza e l efficacia di azioni difensive intraprese contro gli attacchi DoS, ma evidenzia anche la resistenza e le grandi capacità mostrate dalla comunità di aggressori nella creazione di nuove metodologie e tool di attacchi DoS. Il presente capitolo fornisce un riepilogo delle tecniche e dei tool utilizzati per gli attacchi DoS, illustrando alcune delle tecniche di attacco più semplici ed arrivando a descrivere i toolkit DoS più sofisticati e pronti per l uso. Attacco SYN Flood La finalità di questo attacco è di consumare le risorse del bersaglio, inondandole con una massa di connessioni half-open, fino ad esaurirle completamente. L aggressore invia ripetutamente richieste di connessioni aperte (TCP/SYN) al sistema individuato per l attacco avvalendosi, a tal scopo, di un indirizzo sorgente falsificato. Il destinatario conferma la ricezione della richiesta (SYN-ACK) all indirizzo sorgente falsificato aprendo in tal modo una connessione per ogni singola richiesta. Il processo TCP standard (three-way handshake) non viene tuttavia mai completato, in quanto l indirizzo sorgente falsificato non invia più alcuna risposta e quindi la vittima dell attacco viene generalmente sommersa con connessioni half-open. Le versioni oggi disponibili delle applicazioni più diffuse offrono generalmente una protezione da questo tipo di attacco DoS. 5

6 HTTP Flood Nella maggior parte dei casi, gli HTTP flood sono indirizzati verso servizi che generano volumi e carichi decisamente ingenti quali, ad esempio, le operazioni di ricerca all interno di un sito oppure attività di database estremamente pesanti che consumano un numero maggiore di risorse, causando ritardi a livello di risposta ed eventualmente anche una condizione di fail. Esistono diverse forme di attacchi di tipo HTTP flood. "GET" o "PUT" flood - L aggressore invia richieste HTTP di tipo GET o POST alla pagina principale del sistema target finché la pipe di rete, il server target o altri dispositivi di rete vengono sopraffatti e non sono più in grado di gestire le richieste. Questo attacco può anche contemplare l aggiunta di una qualsiasi stringa di query alle richieste HTTP allo scopo di bypassare le reti per la trasmissione di contenuti (Content Delivery Network) o i servizi di caching; ciò genera un traffico che colpisce direttamente il sito Web e non il CDN. Attacchi HTTP "lenti" - Sono simili ai SYN flood, ma sono sferrati a livello HTTP. Questi attacchi sono sferrati in modo tale che il server web esaurisca le sue risorse su connessioni nuove continuamente aperte. Gli aggressori inviano una richiesta "GET", riducendo nettamente la dimensione della finestra. Ciò costringe il server web a inviare la sua risposta in pacchetti più piccoli rispetto al solito, forzando le connessioni in modo tale da rimanere aperte più a lungo del normale e riempiendo la tabella delle connessioni del server. Si tratta di un attacco lento e silenzioso, in quanto non genera segni evidenti di attacco quali un consumo elevato della CPU. Lo stesso attacco può essere sferrato utilizzando comandi POST, con cui l aggressore simula di dover inviare un grande chunk di dati che di fatto non viene mai inviato. HTTP flood su una risorsa mirata - L aggressore profila il sito della vittima allo scopo di individuare una risorsa che genera un carico particolarmente pesante sui server come, ad esempio, le operazioni di ricerca di un sito oppure attività su database molto pesanti. Generalmente, l aggressore sferra il proprio attacco contro il servizio con volumi di traffico estremamente ridotti. Un server configurato per poter gestire migliaia di connessioni al secondo può essere completamente sopraffatto e messo fuori servizio dalle 20 connessioni al secondo di questo tipo di attacco. "Slowloris" costituisce l esempio classico di un tool che fa uso di questa tecnica. UDP Flood L aggressore invia alla vittima pacchetti contenenti datagrammi UDP; la vittima a questo punto controlla la porta di un applicazione correlata; non trovandone alcuna, è costretta a rispondere con un pacchetto ICMP Destination Unreachable. Tale attacco viene sferrato in modo continuativo finché la pipe di rete, il firewall oppure altri dispositivi di rete che operano presso la vittima non vengono totalmente sopraffatti. L aggressore può anche falsificare l indirizzo IP dei pacchetti UDP, non svelando alcun dato e rimanendo pertanto totalmente anonimo. Attacchi di tipo ICMP Flood Molto diffusa negli anni novanta, questa tipologia di attacco DoS viene attualmente bloccata dai firewall e dalla policy dei dispositivi di rete. Questa tipologia di attacco (ICMP flood) comprende alcune tecniche piuttosto note, quali: Ping Flood - La finalità che si prefigge tale attacco è quella di sommergere la rete con traffico ICMP. Un esempio tipico di questa tecnica prevede che l aggressore invii un ingente volume di richieste "ping" e falsifichi l indirizzo sorgente inserendo l indirizzo della vittima che, a questo punto, viene sommersa da tutte le risposte alle richieste ping. Smurf Attack - La finalità di questo attacco è di inondare il bersaglio con traffico ICMP utilizzando a tal scopo il servizio di trasmissione IPS. Gli aggressori generano il traffico ping ICMP inserendo l indirizzo falsificato della vittima in qualità di sorgente; inviano poi tale traffico agli indirizzi di trasmissione IP della rete che lo trasmettono a tutti gli host, i quali rispondono poi alla vittima dell attacco sommergendola totalmente con tale traffico. Essendo lenti e silenziosi, gli attacchi contro le applicazioni sono subdoli e passano spesso inosservati. Attaccato dal tool Slowloris, un server normalmente in grado di gestire migliaia di connessioni al secondo può essere completamente sopraffatto e messo fuori servizio dall esiguo numero di connessioni (solo 20 al secondo) di questo tipo di attacco. 6

7 Attacco Low-rate DoS (LDOS) La finalità di questo attacco è di rallentare il throughput TCP del sistema target senza essere intercettati. Un aggressore sfrutta i punti deboli del timing TCP per generare l elaborazione TCP presso la vittima, la quale pertanto entra ripetutamente in uno stato di ritrasmissione; ciò va ad impattare sostanzialmente e negativamente sul throughput TCP. Attacco Peer-to-peer La finalità di questo attacco è di generare un enorme massa di richieste di connessioni quasi simultanee indirizzate alla vittima. I bug presenti nel server software peer-to-peer consentono agli aggressori di dirottare i client negli hub peer-to-peer, facendoli disconnettere dalla rete peer-to-peer e connettersi al sito della vittima, creando in tal modo una vera e propria ondata di richieste di connessione. Il numero di client nelle reti peer-to-peer varia dalla decina fino alle centinaia di migliaia; pertanto, l entità di questi attacchi può sopraffare immediatamente chi ne è colpito. Low-Orbit Ion Canon (LOIC)² Si tratta di un tool utilizzato per sferrare attacchi DoS allo scopo di interrompere il servizio colpito, inondandolo con pacchetti TCP o UDP. Nato come strumento per lo stress testing open source e tool di attacco DoS, è stato successivamente rilasciato al pubblico, che ne ha invece fatto uso come tool di questo attacco. Il gruppo Anonymous ha utilizzato il tool LOIC per sferrare attacchi contro diverse istituzioni pubbliche, tra cui l FBI e il Dipartimento di Giustizia, facendo rientrare tali attacchi nella sua campagna di protesta contro la chiusura del sito di file hosting MegaUpload, come pure contro la legislazione U.S. SOPA (Stop Online Piracy Act), la quale disciplina la materia trattata dal PIPA (Preventing Real Online Threats to Economic Creativity and theft of Intellectual Property Act). Le aziende sono costrette ad affrontare esborsi e spese aggiuntive, anche solo a seguito di una semplice minaccia di attacco DoS. L attacco "Operation New Son", che era stato programmato ufficialmente per il 25 maggio 2012, sarebbe stato indirizzato ai danni di alcune aziende molto note. A seguito di tale minaccia, molte di queste hanno intrapreso azioni difensive. Di fatto in quella data non è poi stato intentato alcun attacco. Un attacco chiamato "Operation New Son" (OpNewSon), esplicitamente formulato da Anonymous, era stato programmato per il 25 maggio 2012 attraverso l uso del LOIC quale tool di attacco prescelto. L attacco doveva avere come bersaglio numerose aziende molto note e causare intralci e interruzioni delle relative attività. A seguito di tale minaccia, molte di queste hanno intrapreso azioni difensive. Di fatto in quella data non è poi stato intentato alcun attacco.³ High-Orbit Ion Canon (HOIC) Questo tool è nuovissimo ed è quello di ultima generazione tra i LOIC. Mentre il LOIC usa gli attacchi TCP, UDP e HTTP, l High-Orbit Ion Canon (HOIC) si basa esclusivamente su HTTP. La finalità dell HOIC è quella di interrompere contemporaneamente diversi servizi target inondandoli con richieste HTTP POST e GET. L HOIC differisce dal LOIC per altri due aspetti. In primo luogo, può sferrare attacchi contro un numero massimo di 256 diversi indirizzi web in modo simultaneo oppure, in alternativa, può ripetere per 256 volte il suo attacco contro un solo bersaglio. Può inoltre modificare a livello dinamico la sua attack signature rendendo estremamente difficili le operazioni di intercettazione. 7

8 Slowloris Si tratta di un tool utilizzato per gli attacchi DoS contro le applicazioni, la cui finalità è quella di mandare lentamente in crash il server web colpito. Con un ritmo particolarmente lento, l attacco apre connessioni con il server-vittima e le mantiene aperte inviando ulteriori informazioni tidbits, senza tuttavia mai portare a termine la relativa richiesta. Continua a mettere in atto questa tattica fino al momento in cui il server web colpito viene totalmente sommerso dalle richieste - numero massimo di connessioni, memoria esaurita - e non è più in grado di funzionare. R-U-Dead Yet (RUDY) Si tratta del tool utilizzato per gli attacchi DoS a livello di applicazione web, la cui finalità è quella di consumare la capacità delle sessioni del server web che costituisce il suo bersaglio. Analogamente a Slowloris, RUDY consuma le sessioni inviando ripetutamente trasmissioni POST con header Content-Length di grandissime dimensioni. Google+ 4 In meno di un anno, questa tecnica ha fatto leva sui servizi pubblici di Google come proxy per lanciare un attacco DoS Response Plan sull obiettivo. Se automatizzato tramite uno script, il bersaglio viene sommerso dal numero enorme di richieste. Il Security Team di Google ha reagito a questo tipo di attacco in modo estremamente tempestivo, risolvendo pienamente il problema della vulnerabilità, per cui il servizio poteva essere precedentemente attaccato e messo fuori servizio. THC-SSL-DOS (anche THC-SSL-DDoS) 4 Si tratta del tool utilizzato per attacchi DoS contro le applicazioni che ha come bersaglio i server web. In questo scenario, un singolo computer aggressore è in grado di sopraffare un server web che supporta una rinegoziazione SSL. Questa opzione di configurazione consente al server web di creare una nuova chiave segreta sulla connessione SSL esistente, che forza la rinegoziazione e il consumo delle risorse. L invio di un elevato numero di tali richieste può sopraffare il server web e metterlo fuori uso. Apache Killer 4 Si tratta di un altra tecnica concepita nella seconda metà del 2011 e risolta in tempi abbastanza brevi, sempre nel corso dello stesso semestre. Ha fatto leva sulla vulnerabilità presente in Apache HTTPD che causava l esaurimento di risorse, principalmente a livello di memoria, inviando al server un elevato numero di header HTTP errati. Apache ha eliminato tale vulnerabilità nelle versioni più recenti. Slowloris è un tool di attacco DoS contro le applicazioni, la cui finalità è quella di mandare lentamente e silenziosamente in crash il server web colpito. Con un ritmo particolarmente lento, l attacco apre connessioni con il server-vittima e le mantiene aperte inviando ulteriori informazioni tidbits, senza tuttavia mai portare a termine la relativa richiesta. Continua a mettere in atto questa tattica fino al momento in cui la vittima è sovraccarica di richieste e ha raggiunto il numero massimo di connessioni oppure ha esaurito la sua memoria e non è più in grado di funzionare. Darkness (Optima) DDoS Bot 5 Originariamente attivatosi nel 2009 con il nome di "Optima", il DDoS bot toolkit si è quindi evoluto trasformandosi in "Darkness Optima" e la sua decima versione è stata rilasciata nell ottobre 2011 come "Darkness X Bot". È stato descritto in un annuncio pubblicitario nei seguenti termini: "Darkness X, potente DDoS bot con Optima, console di amministrazione di altissima qualità, (From Russia with Love), 4 tipi di attacchi DDoS / Moduli supplementari / 7 pacchetti / Supporto sorprendente" Questo toolkit offre tecniche di attacco HTTP, ICMP, SYN e UDP, la capacità di sferrare attacchi contro più server URL simultaneamente, metodi per bypassare protezioni anti-ddos e supporto tecnico in tempo reale. 8

9 Dirt Jumper e le sue varianti 6,7 Questo è un altro esempio di un DDoS bot toolkit che si è evoluto nel tempo. Originariamente rilasciato nel 2009 come "Russkill" con funzionalità di attacco a livello di HTTP e SYN flood, agli inizi del 2011 si è trasformato in "Dirt Jumper" ed è stato inizialmente messo in vendita ad un prezzo di 600 $. Verso la fine del 2011 è uscita la versione "Dirt Jumper September". Il toolkit Dirt Jumper offre diverse tecniche di attacco DoS, tra cui: HTTP Flood: causa un sovraccarico del server a seguito dell invio simultaneo di un elevato numero di richieste HTTP Synchronous Flood: causa un sovraccarico di server a seguito di un elevato numero di richieste inviate ripetutamente e simultaneamente Downloading Flood: consuma la larghezza di banda della vittima, a seguito di un elevato numero di richieste di download Post Flood: consuma la larghezza di banda del server web target, a seguito dell invio di comandi GET e POST simultanei Considerando che gli attacchi DoS sono spesso sferrati per scopi di lucro, è evidente che il mercato delle tecnologie correlate ad essi e ai relativi tool chiavi in mano è particolarmente vivace, resistente e ben consolidato, non fosse altro che per i profitti che si assicurano coloro che sviluppano questi prodotti. Il ceppo di toolkit "Dirt Jumper" continua a evolversi e a proliferare. "Trojan. Khan" è il nome di una versione che sembra essere solo una copia del precedente, mentre Di BoTNet è un altro toolkit, al quale è stata aggiunta la capacità di uccidere le botnet in concorrenza. Questi sono solo alcuni esempi di tecniche e tool DoS, ma è evidente che la threat community è molto resistente, tenace e motivata dal punto di vista finanziario a sviluppare nuovi tool finalizzati a generare interruzioni e danni consistenti nei confronti dell IT. Anche se le tecniche Google+, TC-SSL-DDoS e Apache Killer hanno avuto vita breve, nel loro ciclo di vita si sono comunque dimostrate essere estremamente efficaci. Le serie Darkness/Optima e Dirt Jumper dimostrano un evoluzione costante e consolidata e possono addirittura vantare un "product management" che ne guida lo sviluppo. Considerando che gli attacchi DoS sono spesso basati su motivazioni finanziarie, è evidente che il mercato delle tecnologie di DoS attack e dei tool chiavi in mano è particolarmente vivace, resistente e consolidato, non fosse altro per i guadagni finanziari ad esso connessi di cui beneficiano coloro che sviluppano questi prodotti. Come difendersi dagli attacchi DoS? A questo punto dovrebbe essere chiaro che difendersi dagli attacchi DoS e DDoS è estremamente difficile. Di fatto, non esistono soluzioni ottimali per proteggersene completamente. Nella maggior parte dei casi, questi attacchi colpiscono senza che se ne venga preavvertiti da warning o da altri messaggi e ciò accresce ulteriormente il loro impatto. È pertanto estremamente importante prepararsi in via preventiva a rispondere con efficacia a questi attacchi. A tal fine, ogni singola impresa e organizzazione dovrebbe porsi il seguente interrogativo: "Se un attacco DoS ci colpisse proprio in questo momento e i nostri sistemi non dovessero più rispondere, cosa dovremmo fare?" Rispondere a questa domanda è la base di partenza per lo sviluppo di un piano di azione volto a mitigare gli effetti degli attacchi DoS e a difendersi da questi. Nel momento in cui si è colpiti da un pesante attacco DoS e i sistemi sono messi fuori uso, la situazione all interno della vostra organizzazione diventerà immediatamente critica, estremamente confusa, caratterizzata da forte tensione e stress. Chi ci sta attaccando? Per quale motivo? Come lo stanno facendo? Quanto tempo durerà l attacco? Cosa dovremmo fare? Chi dovremmo avvisare? Quali partner e fornitori sono in grado di fornirci assistenza e supporto? Il Management vi contatterà con una serie incessante di telefonate e richieste di conference call, chiedendo insistentemente: Quali attività state eseguendo per contrastare questa situazione e quando riuscirete a risolvere il tutto?!". Essere adeguatamente preparati nei confronti di eventi di questo tipo è veramente essenziale! 9

10 Elaborate un piano! Lo sviluppo di un "DoS Attack Response Plan" è di fatto cruciale al fine di mitigare un attacco DoS e, possibilmente, di bloccarlo in modo da impedirgli di concretizzarsi. È inoltre fondamentale che, subito dopo aver preso conoscenza dell attacco, l intero team IT sia in grado di riconoscerne i pericoli mettendo immediatamente in atto il Piano di Risposta agli Attacchi DoS. Per quanto attiene ad un Piano di Risposta agli Attacchi DoS, è fondamentale che sia definito quanto segue: 1. Chi è responsabile? È essenziale che sia stata definita una gerarchia chiara e appropriata che dovrà operare fin dall inizio e per tutta la durata di questo grave evento. Quali persone devono operare all interno del team di Incident Response, quali sono i rispettivi ruoli e chi è responsabile di dirigere il team e le relative attività di mitigazione dell attacco DoS? 2. Quali azioni devono essere intraprese? A. Analisi del traffico Utilizzate i tool del vendor e quelli sviluppati in-house per analizzare il traffico e individuare il profilo dell attacco. Ad esempio: - Individuate fonti geografiche sospette - Incrociate indirizzi sorgente IP sospetti con indirizzi IP notoriamente non validi - Individuate eventuali spike nelle diverse tipologie di traffico, nel traffico applicativo, nelle fonti geografiche di traffico, ecc. - Individuate pattern di connessione diversi da quelli abituali B. Implementazione di Regole di Blocco Impostate delle regole che blocchino il traffico in modo adeguato al profilo dell attacco individuato. Ad esempio: - Bloccate tutto il traffico proveniente dall elenco di Paesi sospetti - Bloccate gli indirizzi IP sorgente noti per essere IP non validi - Bloccate tutti i tipi di traffico sospetti che avete individuato - Bloccate tutto il traffico basato sul pattern di connessione sospetto individuato e/o tutti i pattern diversi da quelli abituali - E qualsiasi altra operazione, laddove richiesta e appropriata. Lo sviluppo di un "DoS Attack Response Plan" è di fatto cruciale al fine di mitigare un attacco DoS e, possibilmente, di bloccarlo in modo da impedirgli di concretizzarsi. È inoltre fondamentale che, subito dopo aver preso conoscenza dell attacco, l intero team IT sia in grado di riconoscerne i pericoli mettendo immediatamente in atto il Piano di Risposta agli Attacchi DoS. 3. Richiedete l assistenza del Service Provider Contattate i vostri Service Provider per comprendere quali servizi di protezione contro gli attacchi DoS e rispettivi tool vi sono offerti allo scopo di mitigare e bloccare un attacco DoS qualora ne siate rimasti vittima. Determinate e documentate esattamente le modalità richieste per contattarli e implementarne i relativi servizi. Quali servizi offrono e in quali circostanze dovrebbero essere contattati? In base a quale regola vengono addebitati tali servizi - per singolo incidente, per quantità di dati oppure in base ad un premio trimestrale/annuo, simile a quello di una polizza di assicurazione contro l incendio stipulata dal proprietario di una casa? Generalmente, i Service Provider sono in grado di offrire la massima assistenza per quanto concerne la mitigazione degli attacchi DoS, ma è opportuno prendere conoscenza dei loro servizi, procedure e costi preventivamente ad un attacco DoS e non nel corso dello stesso, quando si è già stati colpiti. 4. Contattate vendor terze parti Oltre ai Service Provider, esistono vendor terzi che offrono servizi specifici di difesa degli attacchi DoS, quali quelli definiti "clean pipes". Questi servizi costituiscono talvolta l unica opzione perseguibile per mitigare un attacco DoS volumetrico, network-consuming e di grande entità. Nell ambito del Piano di Risposta agli Attacchi DoS, è essenziale pertanto individuare tali provider ed essere a conoscenza dei servizi che offrono, dei relativi costi nonché delle procedure e dei passi da intraprendere per avvalersi dei loro servizi. È fondamentale che le azioni siano documentate adeguatamente; in tal modo, sarà possibile reindirizzare immediatamente tutto il vostro traffico Internet alla facility che fornisce il servizio di "clean pipes nel caso in cui foste colpiti da un attacco volumetrico. 10

11 5.Contattate le istituzioni competenti Contattate le istituzioni competenti nel caso in cui ci sia la possibilità di intraprendere un azione legale. Assicuratevi di conservare i log e altre prove che potrebbero essere utili per individuare e perseguire legalmente gli aggressori. Le autorità federali stanno costantemente intensificando la collaborazione con le aziende al fine di eliminare tutti coloro che sono coinvolti in spam, botnets, DoS e altri crimini correlati a IT. La definizione di un piano d azione contro gli attacchi DoS è la misura di gran lunga più importante che possiate intraprendere per difendervi da attacchi di questo tipo. A nostro avviso, l importanza di questi piani non sarà mai sottolineata a sufficienza. In caso di attacco DoS riuscito, è fondamentale sapere esattamente cosa fare già nell istante in cui l attacco viene identificato, altrimenti si rischia di venire travolti da confusione, incertezza, panico e dalle domande pressanti del management che vuole conoscere immediatamente le ragioni per cui i "sistemi non rispondono". Check Point Software Blade: i tool per mitigare gli attacchi DoS Anche se di fatto non esistono soluzioni ottimali e globali per difendersi dagli attacchi DoS, le Software Blade Check Point possono dimostrarsi estremamente efficaci al fine di contrastare gli attacchi DoS. I clienti che hanno implementato queste Blade possono beneficiare facilmente dei vantaggi offerti dalle funzionalità fornite dalle Blade durante un attacco DoS, riuscendo ad individuare le fonti e i modelli di attacco nonché altri fattori identificativi che li supportino efficacemente nelle attività di mitigazione. Quando si è colpiti da un attacco DoS, esistono solo due alternative: sapere esattamente quali azioni intraprendere già nell istante in cui l attacco viene identificato oppure essere travolti da confusione, incertezza, panico e dalle domande pressanti del management che vuole conoscere immediatamente le ragioni per cui i "sistemi non rispondono". SmartEvent SmartEvent Blade è lo strumento fondamentale con cui individuare rapidamente il profilo e gli schemi di attacco. Partendo da un unico grafico che fornisce una vista sulle maggiori fonti di attacco su base geografica, fino ad arrivare alla schermata di analisi delle allerte in cui una classificazione e una correlazione individueranno automaticamente tali schemi, SmartEvent si dimostra essere uno strumento di massima rilevanza ai fini dell analisi e dell individuazione dei modelli di traffico correlato ad attacchi DDoS. Lo screenshot sotto riportato evidenzia, a titolo di esempio, i maggiori eventi di flooding suddivisi per paese di provenienza. I paesi dai quali provengono gli attacchi possono essere bloccati facilmente sia in modo permanente che solo per la durata del singolo attacco. 11

12 Funzione SmartLog di Logging and Status Blade La funzione SmartLog di Logging and Status Blade consente di individuare in tempi brevi i profili degli attacchi DoS e i rispettivi schemi. SmartLog offre analisi molto approfondite dei log fornendo nel giro di alcuni secondi i risultati ottenuti dalla ricerca effettuata su miliardi di record all interno di diversi file log, intervalli di tempo, gateway, domini, azioni, user, periodi di tempo o dati geografici. Le Software Blade Check Point possono dimostrarsi estremamente efficaci al fine di contrastare gli attacchi DoS. I clienti che hanno implementato queste Blade possono beneficiare facilmente dei vantaggi offerti dalle funzionalità fornite dalle Blade durante un attacco DoS, riuscendo ad individuare le fonti e i modelli di attacco nonché altri fattori identificativi che li supportino efficacemente nelle attività di mitigazione. Firewall Software Blade La Firewall è un tool front-line che consente di mitigare gli attacchi DoS basati su specifici elementi di attacco. Di seguito alcuni esempi delle funzionalità di cui si può avvalere: Aggressive Aging: nel caso in cui le connessioni siano inattive per un tempo superiore alla soglia definita, le connessioni sono contrassegnate per poter essere cancellate dalla tabella delle connessioni del gateway. Grazie a questa tecnica, è possibile difendersi da attacchi caratterizzati da lentezza ed elevato consumo delle connessioni. Il valore di default è pari a 60 secondi ma, nel caso di un attacco, può essere abbassato ad un valore nettamente inferiore. Network Quota: applica un limite al numero di connessioni ammesse dallo stesso indirizzo IP sorgente. Nel caso in cui tale indirizzo superi il numero di connessioni ammesse, la Network Quota è in grado di bloccare tutti i nuovi tentativi di connessione dalla relativa sorgente oppure di monitorare l evento. Blocco ICMP/UDP: una regola, impostata tempestivamente nel set di regole, blocca il traffico in un determinato perimetro. Timers Stateful Inspection: i Timers Lower Stateful Inspection offrono un efficace difesa contro gli attacchi DoS di tipo lento e di grande consumo di risorse: - TCP Start, Session and End Timeout - UDP, ICMP and IP Virtual Session Timeout Servizio custom: con timeout di sessione maggiormente aggressivi. 12

13 Software Blade IPS La Software Blade IPS fornisce funzioni supplementari mirate a mitigare e contrastare gli attacchi DoS. Ecco alcuni esempi: Block by Country: blocco di tutto il traffico da Paesi che possono apparentemente essere la fonte dell attacco, inclusi i Paesi con i quali non esistono relazioni di business. Worm Catcher Signature: mediante l attivazione della Worm Catcher Signature si bloccano gli attacchi URL individuati. TCP Window Size Enforcement: protezione per le due vulnerabilità TCP specifiche di Windows, su cui spesso gli attacchi DoS fanno leva: la prima vulnerabilità riguarda l impostazione della finestra di ricezione del TCP a dimensione ridotta o addirittura pari a zero che viene inondata di connessioni TCP. La seconda vulnerabilità riguarda l invio massiccio di connessioni che hanno uno stato di attesa praticamente infinito. SYN Flood Protection: protezione supplementare e specifica dagli attacchi SYN Flood. Come è possibile notare dallo screenshot riportato di seguito, l Attacco SYN è stato abilitato e definito nel "Recommended Profile (Profilo Raccomandato). Nel caso specifico, ogniqualvolta IPS Blade intercetta almeno 200 pacchetti SYN in un singolo intervallo di 5 secondi, la protezione contro gli Attacchi SYN interviene per bloccare il traffico incriminato. Le soluzioni Check Point che garantiscono un efficace supporto nella lotta contro gli attacchi DoS comprendono: SmartEvent Firewall IPS DDoS Protector 13

14 HTTP Flooding: Attivazione della protezione Web Servers http Flooding Denial of Service al fine di ottenere una maggiore e ulteriore protezione dagli attacchi di tipo HTTP flood. Come riportato nello screenshot seguente, la difesa è attivata e definita nel Recommended Profile. Nello specifico, ogniqualvolta si registrano più di richieste HTTP inviate allo stesso indirizzo IP di destinazione in un lasso di tempo di 10 secondi, la protezione viene attivata allo scopo di bloccare il traffico incriminato. Per essere pronti a mitigare gli effetti di un attacco DoS, è fondamentale che nel vostro Piano di Risposta agli Attacchi DoS siano compresi e documentati tutti i tool e le tecniche di mitigazione disponibili nei prodotti Check Point e negli altri prodotti di sicurezza implementati. I vostri prodotti di sicurezza esistenti costituiranno la prima linea di difesa contro gli attacchi DoS, vi consentiranno di intercettarli e rappresenteranno il tool box necessario per analizzare il traffico e quindi ampliare le attività di sicurezza richieste al fine di mitigare l attacco. Questa protezione può essere adattata in modo da rispondere alle esigenze specifiche del singolo ambiente. Si inizia con l impostare la modalità di intercettazione con un ritmo di 10 richieste HTTP al secondo. Si accertano i log, si adattano le soglie e dopo che nessun log compare nel traffico normale, si alza il numero per abilitare un valore massimo e si modifica la protezione passandola alla modalità di blocco. Le Software Blade Check Point offrono molte funzionalità volte a contrastare efficacemente gli attacchi DoS: a partire dai tool di analisi che possono individuare il profilo del traffico che sta violando i vostri sistemi fino alle funzioni di sicurezza che consentono di individuare e bloccare le molti varianti del traffico correlato agli attacchi DoS. Per essere pronti a mitigare gli effetti di un attacco DoS, è fondamentale che nel vostro Piano di Risposta agli Attacchi DoS siano compresi e documentati tutti i tool e le tecniche di mitigazione disponibili nei prodotti Check Point e negli altri prodotti di sicurezza implementati. I vostri prodotti di sicurezza esistenti costituiranno la prima linea di difesa contro gli attacchi DoS, vi consentiranno di intercettarli e rappresenteranno il tool box necessario per analizzare il traffico e quindi ampliare le attività di sicurezza richieste al fine di mitigare l attacco. 14

15 Check Point DDoS Protector Check Point DDoS Protector è una soluzione per attenuare gli attacchi DoS che si avvale di un software specialistico che opera su una piattaforma hardware accelerata. Implementata al di fuori del firewall perimetrale, questa soluzione consente di individuare e mitigare gli attacchi DoS prima che questi possano impattare sulla rete di produzione. Per garantire una difesa di massima efficacia contro gli attacchi DoS, il Protector fa leva su tre tecniche di protezione: - Network Flood Protection: per assicurare massima protezione dai network flood, il Protector si avvale delle analisi comportamentali. Basandosi su campioni di traffico normale giornaliero e settimanale, ivi compresi traffico di rete e applicativo, il Protector riesce a individuare il traffico anomalo ovvero tutto quanto è correlato agli spike provenienti dai network flood. - Server Flood Protection: il Protector protegge dall abuso delle risorse generando automaticamente nuove signature volte a mitigare attacchi sospetti; dispone inoltre di signature predefinite che prevengono comportamenti evidentemente scorretti. Tra gli elementi fondamentali delle signature ci sono IP sorgente, protocolli, soglie, rinegoziazione SSL e altro ancora. - Application Layer Protection: il Protector blocca tool automatici e utilizza tecniche di challenge/response; gli utenti legittimati e autorizzati sono invece ridiretti alla destinazione richiesta con modalità pienamente trasparenti. DDoS Protector combina queste tecniche allo scopo di assicurare alle aziende una mitigazione DoS di massima efficacia, specialmente per quanto riguarda gli attacchi DoS lenti e silenziosi sferrati sulle applicazioni. Esempio: un caso di mitigazione di un attacco DoS Banca statunitense In occasione di un attacco DoS sferrato nei suoi confronti, una piccola banca negli Stati Uniti si è rivolta all Account Team Check Point per ottenere supporto e assistenza. L attacco era già in corso da alcune ore quando Check Point è stata contattata; il cliente aveva già allertato il proprio personale e contattato le autorità competenti. Non disponendo di un Piano di Risposta all Attacco DoS, la banca ha dovuto decidere e definire le azioni di mitigazione in sede di attacco. Quando una piccola banca degli Stati Uniti è stata colpita da attacco DoS, l assenza di un Piano di Risposta specifico all Attacco DoS l ha obbligata a decidere e definire azioni di mitigazione in sede di attacco. Dopo che l Account Team Check Point ha raggiunto il cliente, la prima azione intrapresa dal Security Engineer ha contemplato l utilizzo di SmartEvent per analizzare i log al fine di individuare gli schemi - indirizzi IP, fattori geografici, URL, TCP e pattern di connessione. L analisi, eseguita tramite SmartEvent, ha richiesto solo pochi minuti e ha svelato molte informazioni su svariati aspetti. In primo luogo, la classificazione in base a Source Country (Paese Sorgente) nella schermata dell evento di SmartEvent ha prodotto un immediata visibilità sulla situazione riguardante la distribuzione geografica: 15

16 È opportuno considerare che, pur trattandosi di una piccola banca statunitense di valenza regionale, il 66% del traffico proveniva da fonti offshore e il 35% del traffico dal continente asiatico ed europeo. Dall analisi dei log emergeva chiaramente una correlazione del numero di connessioni per singolo paese. Grazie ai tool delle Software Blade Check Point è stato possibile individuare rapidamente che gli attacchi avevano pattern specifici in termini di provenienza geografica, connessione e caratteristiche; ciò ha consentito di definire regole relative a Firewall e IPS con cui bloccarli efficacemente. Il grafico sopra riportato mostra chiaramente che le connessioni tipiche provenienti dagli host statunitensi (asse Y) non sono mai più di 25 (asse x), mentre le connessioni dagli host internazionali evidenziano una situazione anomala. A questo punto, il Team Check Point IPS Protection ha provveduto a scrivere una signature custom IPS con l obiettivo di analizzare le impronte TCP. Questa signature ha svelato che esistevano una quantità di finestre TCP con dimensione pari a zero, correlate a indirizzi IP noti non validi (vedi nel presente documento IPS Software Blade e TCP Window Size Enforcement): Azioni di Mitigazione Dall analisi è emersa la presenza di diversi pattern comportamentali di attacco DoS messi in atto ai danni della banca. Grazie a queste informazioni, l Account Team e il cliente hanno potuto implementare delle regole per bloccare il traffico caratterizzato da elementi sospetti. Nello specifico si sono intraprese le seguenti azioni di mitigazione: Software Blade Firewall: aggiunta della regola IP quota al fine di limitare le connessioni a un determinato numero di server < 25. Software Blade IPS: impostazione di regole volte a bloccare il traffico proveniente da circa 40 Paesi. Software Blade IPS: implementazione di una signature custom IPS al fine di mettere nella lista nera gli user che chiudono le connessioni con finestre di dimensioni pari a zero. In questo caso, Check Point Firewall, IPS e SmartEvent Software Blades hanno fornito i tool necessari per poter analizzare la massa di traffico, distinguere ed esporre i pattern di individuazione dell attacco DoS. Disponendo di queste informazioni e del profilo del comportamento, l Account Team Check Point e il personale tecnico del Cliente sono riusciti a definire e implementare nuove regole che hanno permesso di attuare un adeguata mitigazione dell attacco DoS. È tuttavia opportuno considerare che se la rete della banca fosse stata protetta da un appliance Check Point DDoS Protector, probabilmente sarebbe stata difesa in automatico dall attacco, senza dover coinvolgere l Account Team Check Point. 16

17 Sintesi La minaccia correlata agli attacchi DoS è reale e concreta e il problema è sempre presente. Sostenuta da una forte domanda nei confronti di tool in grado di danneggiare o interrompere le operazioni dell IT nel nome di cause politiche, sociali e anche economiche - non fosse altro che per i profitti ricavabili da tali attacchi - la threat community continua ad essere molto attiva e a far piena leva sull innovazione tecnologica. Pur non essendoci una soluzione ottimale in grado di assicurare una protezione totale e completa da tutti i diversi tipi e forme di attacchi DoS, esiste comunque un ampia gamma di azioni che possono essere intraprese per mitigare efficacemente l attacco nel momento in cui questo si presenta. Tra queste, una delle azioni più significative da intraprendere consiste nell elaborazione di un DoS Attack Response Plan ovvero di un piano di attività in risposta agli attacchi DoS, in cui siano definiti responsabilità, tool, attività di analisi e azioni di mitigazione da intraprendersi nel momento in cui si è colpiti da un attacco. In assenza di un simile piano, al team responsabile della sicurezza non rimarrà altro che improvvisarne uno in tempo reale nel tentativo di mitigare l attacco. Assicuratevi di disporre di un DoS Attack Response Plan, in modo che il vostro team di sicurezza non sia obbligato a improvvisarne uno in tempo reale nel tentativo di mitigare l attacco. Per ulteriori informazioni sui prodotti Check Point menzionati nel presente White Paper, accedere ai seguenti link: SmartEvent Software Blade Firewall Software Blade IPS Software Blade DDoS Protector 17

18 1 Wikipedia 2 Alert (TA12-024A) "Anonymous" DDoS Activity US-Cert 3 threatpost.com 4 DoS Attack Response Plan in H SecureList 5 "A Peek Inside the Darkness (Optima) DDoS Bot" Webroot Threat Blog 6 ProLexic Threat Advisory 7 "A DDoS Family Affair: Dirt Jumper Bot Family Continues to Evolve" Arbor Networks About Check Point Software Technologies Ltd. Check Point Software Technologies Ltd. ( è leader mondiale nel settore della sicurezza su Internet ed è l unico vendor in grado di offrire una Sicurezza Totale, integrata in un unica infrastruttura di gestione comprendente reti, dati ed endpoint. Check Point offre ai clienti protezione senza se e senza ma contro qualsiasi tipo di minaccia, riduce la complessità e abbassa il TCO. Vero precursore nel settore della sicurezza grazie a FireWall-1 e alla sua tecnologia brevettata Stateful Inspection, Check Point continua il suo percorso innovativo con lo sviluppo di Software Blade; questa architettura dinamica offre soluzioni sicure, semplici e flessibili che possono essere pienamente personalizzate in modo da rispondere alle esigenze specifiche di sicurezza di qualsiasi organizzazione o ambiente. Tra i suoi clienti Check Point vanta decine di migliaia di imprese e organizzazioni di qualsiasi dimensione, ivi comprese tutte le aziende di Fortune 100. Le soluzioni pluri-premiate Check Point ZoneAlarm proteggono milioni di utenti da hacker, spyware e furti di identità. SEDI CHECK POINT Sede Internazionale 5 Ha Solelim Street Tel Aviv 67897, Israel Tel: Fax: info@checkpoint.com Sede Italia Via M. Viganò de Vizzi, 93/ Cinisello Balsamo (MI) Tel: Fax: Check Point Software Technologies Ltd. Tutti i diritti riservati. 10 Agosto 2012