Gli Zombie sono fra noi: il sito che stai visitando è già infetto?
I siti Web che quotidianamente visitiamo per informarci sono sicuri?
Non parlo delle credibilità o meno delle notizie pubblicate ma del rischio di contrarre un’infezione sul nostro personal computer con conseguente possibilità di offrire, a qualche malintenzionato, i nostri dati sensibili (password di accesso a servizi di posta elettronica o di home banking, ad esempio) o le nostre foto personali e riservate.
Il comune utente di Siti Web forse non si pone la domanda, forse non sa che qualora un sito da lui visitato fosse “compromesso” sul lato della sicurezza potrebbe contenere al proprio interno, un virus che, lavorando in maniera silente, potrebbe trasmettere il codice malevolo sul computer dell’utente.
«Il 44% dei PC italiani vengono attaccati da malware durante la navigazione in Internet». Tanto riporta Clusit, l’associazione italiana per la sicurezza informatica.
Quanta gente visita siti Web senza sapere i rischi che corre, quindi?
Ho provato a rispondere alla domanda sulla sicurezza dei siti Web svolgendo una piccola indagine e fruendo anche della collaborazione di Sucuri, una delle maggiori aziende mondiali del settore.
Ho esaminato, i siti Web della mia città, Trapani. In particolare, quelli dei principali organi d’informazione online e quindi dove, quotidianamente, si recano migliaia di concittadini per aggiornarsi sui comunicati emananti dai vari politici.
Ecco un breve report di quanto rilevato.
Dei sette siti Web considerati (TrapaniOggi, Tvio, Gazzetta Trapanese, SocialTP, MonitorTP, Notizia Trapanese, TrapaniPiù), si è rilevato che sei sono realizzati col CMS Oper Source WordPress e sfruttando le potenzialità di programmazione standard.
Solo uno, MonitorTP, risulta personalizzato dal programmatore professionista che l’ha curato.
Per il resto il panorama non è rassicurante al 100%.
Il Malware? Per Sucuri, il sito Tvio è infetto
La notizia ci sorprende e preoccupa. Secondo l’azienda americana “Sucuri”, Tvio sarebbe “compromesso”.
Il giornale online di Bettio Tancredi presenta, al proprio interno un codice i-frame che risulterebbe “strano” alla scansione di Sucuri.
Abbiamo contattato l’editore del giornale che ci ha fornito le proprie plausibili spiegazioni. Nessun Malware, solo uno strano codice che pubblica su Tvio una pagina invisibile che fa riferimento al sito di una Web Agency (“BizUp” di Roma) che vende articoli “redazionali” tramite il servizio “UpStory”.
Questo il codice rilevato su Tvio:
<iframe style=”display: none; visibility: hidden;” src=”http://upstory.it/t.aspx?pID=1273″ width=”0″ height=”0″>
Questo non è il codice di un “virus”. Ma, in ogni caso, scorrettamente, a nostra insaputa, carica una pagina Web apparentemente bianca ma che, in realtà, contiene un ulteriore piccolo codice dal valore criptato.
… <form name=”form1″ method=”post” action=”t.aspx?pID=1273″ id=”form1″>
<div>
<input type=”hidden” name=”__VIEWSTATE” id=”__VIEWSTATE” value=”/wEPDwULLTE2MTY2ODcyMjlkZK5JF3GF0qX1T/3unEGW6h2zQmz4z8yii+Cop3I5bKsX” />
</div>
<div>
<input type=”hidden” name=”__VIEWSTATEGENERATOR” id=”__VIEWSTATEGENERATOR” value=”86B2391D” />
</div> …
Il Login: la porta d’accesso del sito è solo socchiusa
La prima fra le attività che suggerisce ai neofiti chi si occupa di sicurezza Web è quella di garantire l’inviolabilità del “Login”, ovvero alla pagina Wp-Admin. Questa, infatti, consente l’accesso all’Amministrazione del sito. l primo suggerimento standard è quello di disattivare l’utente «Admin».
Tvio e La Gazzetta Trapanese, tuttavia, mantengono attivo l’utente con l’username «Admin», quello su cui, prima d’ogni altro, si concentra l’attenzione dell’eventuale malintenzionato. La Notizia Trapanese, invece, utilizza «Redazione», cui era facile giungere per facile logica atteso che siamo davanti ad un giornale.
In questi tre casi, con un cosiddetto attacco «bruteforce», ovvero con software robot che prova velocemente tutta una serie di possibili combinazioni secondo un dizionario già predisposto dall’attaccante, in alcune ore (secondo la lunghezza della password) è possibile accedere all’Amministrazione del sito e creare eventuali danni, anche irreversibili, agli archivi.
Il problema di questi, e molti altri siti Web, è quello di attribuire a dei redattori una “username” di accesso al “Login”. In questa maniera, con dei semplici tentativi di “ingegneria sociale” è possibile recuperare, in maniera semplice, la prima metà del codice di accesso all’Amministrazione del sito Web.
SocialTP sembra aver attivato, invece, un software che blocca gli accessi. TrapaniPiù richiede l’abilitazione dei «Cookies». Meglio di tutti TrapaniOggi, invece, che ha cambiato l’indirizzo della pagina di Login standard (/wp-admin.php).
Lo stile grafico del sito? Il Re è nudo
Una veloce osservazione del codice HTML dei siti Web della mia indagine, mi regala una piccola chicca.
Qual è lo stile grafico scelto da ogni sito Web esaminato?
- Per TrapaniOggi il “template” è “Advanced Newspaper” uno stile professionale scritto dalla GabFire;
- La “Notizia” opera con “Linepress” sempre di GabFire;
- SocialTP si accontenta di “Imag-Mag”, software gratuito che non viene aggiornato dal maggio 2013 e che quindi – avvisa lo stesso distributore WordPress.org – può soffrire di errori di compatibilità con le successive versioni della piattaforma WordPress;
- “La Gazzetta Trapanese” si affida al gratuito “Fastnews”;
- “TrapaniPiù”, infine, utilizza lo stile grafico professionale “Smart-Mag” di ThemeSphere e distribuito da una delle Aziende dei leader del mercato mondiale, ThemeForest.
Non sempre “gratis” è garanzia di qualità: il mancato supporto in termini di aggiornamento d’un “template”, ad esempio, è motivo d’insicurezza dello stesso.
Rischi l’infezione se WordPress e Plugin non sono aggiornati!
Il secondo pilastro per garantire la sicurezza ad un sito Web ed ai suoi utenti è quello di tenere aggiornati tanto il software WordPress quanto i suoi plugin, ovvero i software accessori che ne aumentano le funzionalità.
Purtroppo, si rileva che, stante che la corrente versione di WordPress è la 4.3, i siti Web dei nostri giornali online non risultano tutti aggiornati:
- Alla Versione 4.3 sono aggiornati: solo TrapaniOggi e La Gazzetta Trapanese;
- Utilizza ancora la versione 4.2.4 (aggiornata al 5 agosto 2015): Tvio;
- Sono fermi al ramo di sviluppo 4.1 (versione 4.1.7): SocialTP e TrapaniPiù;
- Risulta abbandonato alla storica versione 4.0.7 (novembre 2014): La Notizia Trapanese.
Per “La Notizia”, “TrapaniPiù” e “SocialTP”, l’azienda “Sucuri” indica come “critiche” le condizioni dei siti Web a causa del mancato aggiornamento della versione della piattaforma WordPress.
Perché gli Amministratori non aggiornano il proprio software? Per inerzia o forse perché utilizzano vecchi plugin o vecchi stili grafici, probabilmente incompatibili con la nuova versione, preferiscono, quindi, evitare l’aggiornamento e confrontarsi con la scelta di nuovi “template” o nuovi “plugin”.
I consigli contro i siti Zombie?
Quello di evitare di utilizzare questi siti poco curati sul lato della sicurezza (avrebbero dovuto, al minimo, seguire le linee guida proposte in “Come mettere in sicurezza il tuo sito Web“) è il consiglio che mi sento di offrire ai lettori. Si potrebbe rischiare, al contrario, di fornire proprie notizie riservate a qualche Cracker.