Gli Zombie sono fra noi:‭ ‬il sito che stai visitando è già infetto‭?

Pubblicato· Aggiornato

I siti Web che quotidianamente visitiamo per informarci sono sicuri‭?

Non parlo delle credibilità o meno delle notizie pubblicate ma delrischio di contrarre un’infezionesul nostro personal computer con conseguente possibilità di offrire, a qualche malintenzionato, i nostri dati sensibili‭ (‬password di accesso a servizi di posta elettronica o di home banking,‭ ‬ad esempio‭) ‬o le nostre foto personali e riservate.

Il comune utente diSiti Webforse non si pone la domanda,‭ ‬forse non sa che qualora un sito da lui visitato fosse‭ “‬compromesso‭” ‬sul lato della sicurezza potrebbe contenere ‬al proprio interno, ‬unvirusche, lavorando in maniera silente, potrebbetrasmettere il codice malevolo sul computer dell’utente.

‭«‬Il‭ ‬44%‭ ‬dei PC italiani vengono attaccati da malware durante la navigazione in Internet‭»‬.‭ ‬Tantoriporta‭ ‬Clusit, l’associazione italiana per la sicurezza informatica.

Quanta gente visita siti Web‭ ‬senza sapere i rischi che corre,‭ ‬quindi‭?

Ho provato a rispondere alla domanda sullasicurezza dei siti Web‬svolgendo una piccola indagine ‬e fruendo anche dellacollaborazione di‭ ‬Sucuri, una delle maggiori aziende mondiali del settore.

Ho esaminato, i siti Web della mia città,‭ ‬Trapani. In particolare, ‬‬quelli dei principali organi d’informazione online e quindi dove,‭ ‬quotidianamente,‭ ‬si recano migliaia di concittadini per aggiornarsi sui comunicati emananti dai vari politici.

Ecco un breve report di quanto rilevato.

Dei sette siti Web considerati‭ (‬TrapaniOggi,‭ ‬Tvio,‭ ‬Gazzetta Trapanese,‭ ‬SocialTP,‭ ‬MonitorTP,‭ ‬Notizia Trapanese,‭ ‬TrapaniPiù‭)‬,‭ ‬si è rilevato che sei sono‭‬realizzati col CMS Oper Source‭ WordPresse sfruttando le potenzialità di programmazione standard.

Solo uno, MonitorTP, risulta personalizzato dalprogrammatore professionistache l’ha curato.

Per il resto il panorama non è rassicurante al‭ ‬100%.

Il Malware‭? ‬Per Sucuri, il sito Tvio è infetto

La notizia ci sorprende e preoccupa.‭ ‬Secondo l’azienda americana‭ ‬“Sucuri”,‭ ‬Tvio sarebbe‭ “‬compromesso‭”‬.‭ ‬

Il giornale online di Bettio Tancredi presenta,‭ ‬al proprio interno uncodice i-frameche risulterebbe‭ “‬strano‭” ‬alla scansione di Sucuri.

Abbiamo contattato l’editore del giornale che ci ha fornito le proprieplausibili spiegazioni.‭ ‬Nessun Malware,‭ ‬solo uno strano codice che pubblica su Tvio una pagina invisibile che fa riferimento al sito di una Web Agency‭ (“‬BizUp” di Roma) che vende articoli “redazionali” tramiteil servizio “UpStory”.

Questo il codice rilevato su Tvio:

<iframe style=”display: none; visibility: hidden;” src=”http://upstory.it/t.aspx?pID=1273″ width=”0″ height=”0″>

Questo non è il codice di un “virus”. Ma, in ogni caso, scorrettamente, a nostra insaputa, carica una pagina Webapparentemente bianca ma che, in realtà,contiene un ulteriore piccolo codicedal valore criptato.

… <form name=”form1″ method=”post” action=”t.aspx?pID=1273″ id=”form1″>
<div>
<input type=”hidden” name=”__VIEWSTATE” id=”__VIEWSTATE” value=”/wEPDwULLTE2MTY2ODcyMjlkZK5JF3GF0qX1T/3unEGW6h2zQmz4z8yii+Cop3I5bKsX” />
</div>
<div>
    <input type=”hidden” name=”__VIEWSTATEGENERATOR” id=”__VIEWSTATEGENERATOR” value=”86B2391D” />
</div>…

Il Login:‭ ‬la porta d’accesso del sito è solo socchiusa

La prima fra le attività che suggerisce ai neofiti chi si occupa di sicurezza Web è quella di‭ ‬garantire l’inviolabilità del‭ “‬Login‭”, ovvero allapagina Wp-Admin.Questa, infatti, consente l’accesso all’Amministrazione del sito. l primo suggerimento standard‬è quello di disattivare l’utente «Admin».

TvioeLa Gazzetta Trapanese,‭ ‬tuttavia,‭ ‬mantengono attivo l’utente con l’username‭ «‬Admin‭»‬,‭ ‬quello su cui,‭ ‬prima d’ogni altro,‭ ‬si concentra l’attenzione dell’eventuale malintenzionato.‭ ‬La Notizia Trapanese,‭ ‬invece,‭ ‬utilizza‭ «‬Redazione‭»‬,‭ ‬cui era facile giungere per logica atteso che siamo davanti ad un giornale.

In questi tre casi,‭ ‬con un cosiddettoattacco‭ «‬bruteforce‭»‬,‭ ‬ovvero con software robot che prova velocemente tutta una serie di possibili combinazioni secondoun dizionario già predisposto dall’attaccante,‭ ‬in alcune ore‭ (‬secondo la lunghezza della password‭) ‬è possibile accedere all’Amministrazione del sito ecreare eventuali danni,‭ ‬anche irreversibili,‭ ‬agli archivi.

Il problema di questi,‭ ‬e molti altri siti Web,‭ ‬è quello di attribuire a dei redattori una‭ “‬username‭” ‬di accesso al‭ “‬Login‭”‬.‭ ‬In questa maniera,‭ ‬con dei semplici tentativi di‭“‬ingegneria sociale‭”‬è possibile recuperare,‭ ‬in maniera semplice,‭ ‬la prima metà del codice di accesso all’Amministrazione del sito Web.

SocialTPsembra aver attivato,‭ ‬invece,‭ ‬un software che blocca gli accessi.‭ ‬TrapaniPiùrichiede l’abilitazione dei‭ «‬Cookies‭»‬.‭ ‬Meglio di tuttiTrapaniOggi,‭ ‬invece,‭ ‬che ha cambiato l’indirizzo della pagina di Login standard‭ (‬/wp-admin.php‭)‬.

Lo stile grafico‭ del sito? ‬Il Re è nudo

Una veloceosservazione del codice HTML dei siti Webdella mia indagine,‭ ‬mi regala una piccola chicca.‭

Qual è lostile grafico scelto da ogni sito‭ Webesaminato?

  • Per TrapaniOggi il‭ “‬template‭” ‬è‭ “‬Advanced Newspaper” uno stile professionale scritto dalla GabFire;
  • La “Notizia” opera con “Linepress” sempre di GabFire;
  • SocialTP si accontenta di “Imag-Mag”, software gratuito chenon viene aggiornato dal maggio 2013e che quindi –avvisa lo stesso distributoreWordPress.org– può soffrire di errori di compatibilità con le successive versioni della piattaforma WordPress;
  • “La Gazzetta Trapanese” si affida al gratuito “Fastnews”;
  • “TrapaniPiù”, infine, utilizza lo stile grafico professionale “Smart-Mag” di ThemeSphere e distribuito da una delle Aziende dei leader del mercato mondiale,ThemeForest.

Non sempre “gratis” è garanzia di qualità: il mancato supporto in termini diaggiornamento d’un‭ “‬template‭”, ad esempio, ‬èmotivo d’insicurezzadello stesso.

Rischi l’infezione se WordPress e Plugin non sono aggiornati‭!

Ilsecondo pilastro per garantire la sicurezzaad un sito Web ed ai suoi utenti è quello di‭tenere aggiornati tanto il software WordPress quanto i suoi plugin, ovvero i software accessori che ne aumentano le funzionalità.

Purtroppo,‭ si rileva che, stante chela corrente versione di WordPress è la‭ ‬4.3,‭ i siti Web dei nostri giornali online non risultano tutti aggiornati:

  • Alla Versione‭ ‬4.3‭ ‬sono aggiornati:‭ ‬solo‭ ‬TrapaniOggie‭ ‬La Gazzetta Trapanese‭;
  • Utilizza ancora la versione‭ ‬4.2.4‭ (‬aggiornata al‭ ‬5‭ ‬agosto‭ ‬2015‭)‬:‭ ‬Tvio‭;
  • Sono fermi al ramo di sviluppo‭ ‬4.1‭ (‬versione‭ ‬4.1.7‭)‬:‭ ‬SocialTPe‭ ‬TrapaniPiù‭;
  • Risultaabbandonato alla storica versione‭ ‬4.0.7‭(‬novembre‭ ‬2014‭)‬:‭ ‬La Notizia Trapanese.

Per “‬La Notizia‭”‬,‭ “‬TrapaniPiù‭” ‬e‭ “‬SocialTP‭”‬,‭ ‬l’azienda “Sucuri” indica come“critiche”le condizioni dei siti Web ‬a causa delmancato‭ ‬aggiornamento della versione della piattaforma WordPress.

Perché gli Amministratori non aggiornano il proprio software‭? ‬Per inerzia o forse perché utilizzano vecchi plugin o vecchi stili grafici,‭ ‬probabilmente incompatibili con la nuova versione,‭ ‬preferiscono, quindi, evitare l’aggiornamento e confrontarsi con la scelta dinuovi “template”onuovi “plugin”.

I consigli contro i siti Zombie?

Quello di evitare di utilizzare questisiti poco curati sul lato della sicurezza(avrebbero dovuto, al minimo, seguire le linee guida proposte inCome mettere in sicurezza il tuo sito Web) è il consiglio che mi sento di offrire ai lettori.‭ ‬Si potrebbe rischiare, al contrario, di fornire proprie notizie riservate a qualcheCracker.

Tag:

Potrebbero interessarti anche...