hit counter
Chiarimenti sulle notizie di enorme diffusione di malware sui siti web italiani - NonSoloSecurity Blog di Feliciano Intini - Site Home - TechNet Blogs

NonSoloSecurity Blog di Feliciano Intini

Notizie, best practice, strategie ed innovazioni di Sicurezza (e non solo) su tecnologia Microsoft

Chiarimenti sulle notizie di enorme diffusione di malware sui siti web italiani

Chiarimenti sulle notizie di enorme diffusione di malware sui siti web italiani

  • Comments 4
  • Likes

E' sicuramente necessario aggiungere qualche elemento di chiarezza per aiutare a comprendere cosa stia succedendo in questi giorni relativamente alle notizie delle migliaia di siti web italiani "infettati" con malware in grado di carpire informazioni sensibili ai danni degli utenti. Purtroppo il "panico mediatico" che si genera naturalmente di fronte a eventi di questa portata non aiuta la diffusione di informazioni realmente utili per la protezione reattiva e, soprattutto, preventiva. Cerco quindi di darvi qualche indicazione che possano aiutarvi in tal senso.

Partiamo dall'inizio: non è propriamente corretto dire che i siti web colpiti siano stati "infettati". Quello che è successo è che un numero molto elevato di siti web sono stati compromessi in modo da permettere l'alterazione delle home page pubblicate, con l'aggiunta di codice in grado di causare una redirezione silente verso altri siti pericolosi, all'insaputa del cliente (grazie all'uso di un IFRAME di dimensioni ridottissime in termini di numero di pixel, e quindi praticamente invisibile). Quindi i siti legittimi interessati non sono stati "infettati" perché non ospitano loro il malware, ma hanno la loro Home Page modificata ad arte per dirottare gli utenti su siti pericolosi a loro insaputa. Perché è stata colpita l'Italia in modo predominante ? C'è un disegno premeditato di colpire i siti turistici, in questo periodo pre-vacanziero ? Come è possibile che siano stati colpiti tanti siti contemporaneamente ? Sinceramente la mia personale opinione, che permette di dare risposta ragionevole alle tre domande precendenti, è che questo evento di hacking abbia avuto un tale impatto grazie alla compromissione dei server di uno dei maggiori (se non il maggiore) Web Hosting provider sul panorama italiano: Aruba. I diversi indirizzi URL di siti legittimi segnalati come coinvolti dall'attacco risultano tutti ospitati da Aruba e questo è un fatto: per il resto non vi sono altre evidenze che confermino che possa essere stato l'unico web hosting provider coinvolto, e soprattutto mancano comunicazioni fornite direttamente da Aruba su possibili problemi di questo tipo, sia al pubblico, sia ai propri clienti che hanno aperto richieste di supporto rimaste, a quanto si legge, inascoltate (questo atteggiamento di mancata trasparenza e di poca attenzione alle richieste dei clienti, oltre che essere non molto etico, non paga in termini di immagine ...). Come  siano stati compromessi i web server non è quindi noto al momento e forse non si saprà mai: potrebbe essere stato una configurazione errata (sistema non blindato rispetto ai privilegi dei web operator) o potrebbe essere stato un mancato aggiornamento con security patch. La raccomandazione che ne segue: per chi gestisce siti web ricordarsi di fare adeguato hardening non solo sul sistema operativo di base ma anche su tutti i livelli applicativi presenti sui sistemi , compreso il codice custom; per chi delega la gestione ad un web hosting provider, chiedere, anzi pretendere, garanzie e visibilità sulle attività di hardening realizzate sui sistemi di hosting. In conclusione sull'aspetto "Server side": se chi gestisce i siti web avesse fatto hardening robusto come dovuto, non avremmo avuto tutto questo.

Cosa dire invece per quanto riguarda l'esperienza dell'utente che ignaro atterra su un sito legittimo e di colpo si ritrova a rischio di infezione (badate bene non ad infezione certa, come sembra leggersi da qualche parte) con malware in grado di intercettare e carpire informazioni personali sensibili ? La compromissione dei siti web legittimi ha avuto solo l'effetto di far navigare forzatamente e silenziosamente l'utente verso siti pericolosi, ma su cui sarebbe potuto atterrare anche portato da altri vettori: e-mail fraudolente, navigazione libera su siti di dubbia provenienza, download di file da reti P2P... Quindi l'attacco ha solo reso molto più probabile cadere nella trappola di chi su Internet vuole attaccarci, creando una specie di scivolo che ci ha portato ad atterrare direttamente nelle braccia dei malintenzionati. OK, ma qual'è a questo punto il vero livello di rischio di imbocca involontariamente questo scivolo ? Una volta dirottati sui siti che ospitano il malware  (la dinamica esatta è più articolata e la vedete rappresentata graficamente da Trend Micro) i sistemi client sono esposti solo nella misura in cui non sono aggiornati con le security patch dei programmi che hanno a bordo. Il malware toolkit MPack (sembra sia stata usata la versione 0.86, non esattamente documentata nel PDF che vi ho indicato) è ben equipaggiato con una serie numerosa di exploit per sfruttare diverse recenti vulnerabilità di Microsoft e non solo di Microsoft: basta che manchi la patch che corregge una di queste vulnerabilità e siete compromessi. Avrei voluto potervi dare l'elenco di vulnerabilità Microsoft sfruttate da questo specifico attacco, in modo da capire quali bollettini di sicurezza sicuramente si deve avere installati per poter essere al sicuro, ma questa lista è tuttora in fase di indagine. Il problema risiede proprio nella rapida capacità di evoluzione di toolkit come Mpack, in grado di aggiungere in modo modulare nuovi exploit man mano che escono ...  Il punto importante è che il toolkit non sta utilizzando exploit di vulnerabilità sconosciute: sono tutte note e già corrette! E per questo che alla fine la raccomandazione davvero utile per gli utenti rimane quella classica di aggiornare i sistemi con TUTTE le security patch come vi ho già detto qui, sia per gli applicativi Microsoft che per gli altri, e di dotarsi di soluzioni AntiVirus/AntiSpyware, da mantenere anch'esse rigorosamente aggiornatissime, per beneficiare di una protezione aggiuntiva nel rivelare e bloccare i tentativi di infezione.

Se i numeri di siti compromessi e di download del toolkit sono così alti in Italia, questo è sicuramente un triste indizio di una cultura di base di sicurezza informatica nel nostro paese, sia lato aziendale, sia lato utente finale, che deve fare ancora molta strada...

Comments
  • PingBack from http://puntodivista.mirkotebaldi.it/2007/06/20/chiarimenti-sulle-notizie-di-enorme-diffusione-di-malware-sui-siti-web-italiani/

  • Condivido a pieno a tua ultima citazione e devo anche dire che rimango sempre più stupito di come  un provider del calibro di Aruba non sia pronto a queste eventualità

  • Ciao,

    io purtroppo ho perso dei dati forse a causa di questo virus...

    che faccio?

    aiutooo!!!!

    Grazie

    melymeli@msn.com

  • Ciao Melissa, so che il mio aiuto arriva in ritardo, perdonami, quando ho postato in generale la situazione era già "sotto controllo" nel senso che i maggiori vendor antivirus avevano già aggiornato le firme per rilevare questo tipo di malware, e quindi la protezione preventiva era in qualche modo garantita. Cosa fare invece a posteriori in caso di possibile compromissione come il tuo ? In breve si deve limitare il danno subito e analizzare e rimuovere quanto prima il malware presente sul tuo PC: ricordo a te e a tutti coloro che ne dovessero aver bisogno, che Microsoft offre un supporto telefonico gratuito per problemi di sicurezza/virus, trovi qui il numero da chiamare http://www.microsoft.com/italy/athome/security/support/default.mspx

Your comment has been posted.   Close
Thank you, your comment requires moderation so it may take a while to appear.   Close
Leave a Comment