‎Durante Black Hat, la conferenza dedicata alla sicurezza, alcuni ricercatori hanno riferito di una nuova tecnica per gli attacchi DDoS (Denial of Service), in grado di mettere in crisi i server e mandare in tilt i siti web. ‎‎Molti di essi infatti utilizzano algoritmi per trasformare gli input dati in azioni e risultati. I ricercatori hanno scoperto che è sufficiente un piccolo e apparentemente innocuo input di pochi byte per costringere l’algoritmo stesso a svolgere una quantità di lavoro enorme, che può portare al rallentamento del servizio o al crash dell’intero sistema.

Nathan Hauke e David Renardy, I due ricercatori dell’azienda di sicurezza Two Six Labs, hanno iniziato a interessarsi di queste “complessità algoritmiche”, cercandole all’interno dei servizi mainstream e hanno così scoperto rapidamente che esse sono presenti nei lettori PDF, nei desktop server remoti e persino negli strumenti di valutazione del livello di sicurezza delle password.

La loro ricerca ha mostrato che, forniti degli input ad hoc, è possibile bloccare tutti questi servizi. A preoccupare però è il fatto che queste non sono semplici bug software che è possibile identificare e correggere tramite rilascio di patch. Qui si tratta invece di difetti insiti nel modo in cui gli algoritmi sono sviluppati e implementati, consentendo a un piccolo input di generare carichi di lavoro che richiedono risorse ingenti.

‎I due ricercatori hanno sviluppato uno strumento pubblico chiamato ‎‎ACsploit‎‎ che gli sviluppatori possono utilizzare per identificare gli input che nello scenario peggiore sono in grado di mettere in crisi i propri algoritmi, così da poter apportare le dovute modifiche di progettazione e implementazione. Hauke e Renardy hanno anche sottolineato che queste vulnerabilità possono presentarsi in quasi tutti i sistemi ed è quindi importante comprenderne a fondo la natura. I ricercatori vogliono che gli sviluppatori siano consapevoli del problema, così da evitarne le insidie e che la più ampia comunità dei responsabili della sicurezza si mettano in cerca di tali vulnerabilità in grado di provocare gravi attacchi DDoS.‎