Gli Zombie sono fra noi:‭ ‬il sito che stai visitando è già infetto‭?

I siti Web che quotidianamente visitiamo per informarci sono sicuri‭?

Non parlo delle credibilità o meno delle notizie pubblicate ma del rischio di contrarre un’infezione sul nostro personal computer con conseguente possibilità di offrire, a qualche malintenzionato, i nostri dati sensibili‭ (‬password di accesso a servizi di posta elettronica o di home banking,‭ ‬ad esempio‭) ‬o le nostre foto personali e riservate.

Il comune utente di Siti Web forse non si pone la domanda,‭ ‬forse non sa che qualora un sito da lui visitato fosse‭ “‬compromesso‭” ‬sul lato della sicurezza potrebbe contenere ‬al proprio interno, ‬un virus che, lavorando in maniera silente, potrebbe trasmettere il codice malevolo sul computer dell’utente.

‭«‬Il‭ ‬44%‭ ‬dei PC italiani vengono attaccati da malware durante la navigazione in Internet‭»‬.‭ ‬Tanto riporta‭ ‬Clusit, l’associazione italiana per la sicurezza informatica.

Quanta gente visita siti Web‭ ‬senza sapere i rischi che corre,‭ ‬quindi‭?

Ho provato a rispondere alla domanda sulla sicurezza dei siti Web ‬svolgendo una piccola indagine ‬e fruendo anche della collaborazione di‭ ‬Sucuri, una delle maggiori aziende mondiali del settore.

Ho esaminato, i siti Web della mia città,‭ ‬Trapani. In particolare, ‬‬quelli dei principali organi d’informazione online e quindi dove,‭ ‬quotidianamente,‭ ‬si recano migliaia di concittadini per aggiornarsi sui comunicati emananti dai vari politici.

Ecco un breve report di quanto rilevato.

Dei sette siti Web considerati‭ (‬TrapaniOggi,‭ ‬Tvio,‭ ‬Gazzetta Trapanese,‭ ‬SocialTP,‭ ‬MonitorTP,‭ ‬Notizia Trapanese,‭ ‬TrapaniPiù‭)‬,‭ ‬si è rilevato che sei sono‭ ‬realizzati col CMS Oper Source‭ WordPress e sfruttando le potenzialità di programmazione standard.

Solo uno, MonitorTP, risulta personalizzato dal programmatore professionista che l’ha curato.

Per il resto il panorama non è rassicurante al‭ ‬100%.

Il Malware‭? ‬Per Sucuri, il sito Tvio è infetto

La notizia ci sorprende e preoccupa.‭ ‬Secondo l’azienda americana‭ ‬“Sucuri”,‭ ‬Tvio sarebbe‭ “‬compromesso‭”‬.‭ ‬

Il giornale online di Bettio Tancredi presenta,‭ ‬al proprio interno un codice i-frame che risulterebbe‭ “‬strano‭” ‬alla scansione di Sucuri.

Abbiamo contattato l’editore del giornale che ci ha fornito le proprie plausibili spiegazioni.‭ ‬Nessun Malware,‭ ‬solo uno strano codice che pubblica su Tvio una pagina invisibile che fa riferimento al sito di una Web Agency‭ (“‬BizUp” di Roma) che vende articoli “redazionali” tramite il servizio “UpStory”.

Questo il codice rilevato su Tvio:

<iframe style=”display: none; visibility: hidden;” src=”http://upstory.it/t.aspx?pID=1273″ width=”0″ height=”0″>

Questo non è il codice di un “virus”. Ma, in ogni caso, scorrettamente, a nostra insaputa, carica una pagina Web apparentemente bianca ma che, in realtà, contiene un ulteriore piccolo codice dal valore criptato.

… <form name=”form1″ method=”post” action=”t.aspx?pID=1273″ id=”form1″>
<div>
<input type=”hidden” name=”__VIEWSTATE” id=”__VIEWSTATE” value=”/wEPDwULLTE2MTY2ODcyMjlkZK5JF3GF0qX1T/3unEGW6h2zQmz4z8yii+Cop3I5bKsX” />
</div>
<div>
<input type=”hidden” name=”__VIEWSTATEGENERATOR” id=”__VIEWSTATEGENERATOR” value=”86B2391D” />
</div> …

Il Login:‭ ‬la porta d’accesso del sito è solo socchiusa

La prima fra le attività che suggerisce ai neofiti chi si occupa di sicurezza Web è quella di‭ ‬garantire l’inviolabilità del‭ “‬Login‭”‬, ovvero alla pagina Wp-Admin. Questa, infatti, consente l’accesso all’Amministrazione del sito. l primo suggerimento standard‭ ‬è quello di disattivare l’utente «Admin».

Tvio e La Gazzetta Trapanese,‭ ‬tuttavia,‭ ‬mantengono attivo l’utente con l’username‭ «‬Admin‭»‬,‭ ‬quello su cui,‭ ‬prima d’ogni altro,‭ ‬si concentra l’attenzione dell’eventuale malintenzionato.‭ ‬La Notizia Trapanese,‭ ‬invece,‭ ‬utilizza‭ «‬Redazione‭»‬,‭ ‬cui era facile giungere per facile logica atteso che siamo davanti ad un giornale.

In questi tre casi,‭ ‬con un cosiddetto attacco‭ «‬bruteforce‭»‬,‭ ‬ovvero con software robot che prova velocemente tutta una serie di possibili combinazioni secondo un dizionario già predisposto dall’attaccante,‭ ‬in alcune ore‭ (‬secondo la lunghezza della password‭) ‬è possibile accedere all’Amministrazione del sito e creare eventuali danni,‭ ‬anche irreversibili,‭ ‬agli archivi.

Il problema di questi,‭ ‬e molti altri siti Web,‭ ‬è quello di attribuire a dei redattori una‭ “‬username‭” ‬di accesso al‭ “‬Login‭”‬.‭ ‬In questa maniera,‭ ‬con dei semplici tentativi di‭ “‬ingegneria sociale‭” ‬è possibile recuperare,‭ ‬in maniera semplice,‭ ‬la prima metà del codice di accesso all’Amministrazione del sito Web.

SocialTP sembra aver attivato,‭ ‬invece,‭ ‬un software che blocca gli accessi.‭ ‬TrapaniPiù richiede l’abilitazione dei‭ «‬Cookies‭»‬.‭ ‬Meglio di tutti TrapaniOggi,‭ ‬invece,‭ ‬che ha cambiato l’indirizzo della pagina di Login standard‭ (‬/wp-admin.php‭)‬.

Lo stile grafico‭ del sito? ‬Il Re è nudo

Una veloce osservazione del codice HTML dei siti Web della mia indagine,‭ ‬mi regala una piccola chicca.‭

Qual è lo stile grafico scelto da ogni sito‭ Web esaminato?

Per TrapaniOggi il‭ “‬template‭” ‬è‭ “‬Advanced Newspaper” uno stile professionale scritto dalla GabFire;
La “Notizia” opera con “Linepress” sempre di GabFire;
SocialTP si accontenta di “Imag-Mag”, software gratuito che non viene aggiornato dal maggio 2013 e che quindi – avvisa lo stesso distributore WordPress.org – può soffrire di errori di compatibilità con le successive versioni della piattaforma WordPress;
“La Gazzetta Trapanese” si affida al gratuito “Fastnews”;
“TrapaniPiù”, infine, utilizza lo stile grafico professionale “Smart-Mag” di ThemeSphere e distribuito da una delle Aziende dei leader del mercato mondiale, ThemeForest.

Non sempre “gratis” è garanzia di qualità: il mancato supporto in termini di aggiornamento d’un‭ “‬template‭”, ad esempio, ‬è motivo d’insicurezza dello stesso.

Rischi l’infezione se WordPress e Plugin non sono aggiornati‭!

Il secondo pilastro per garantire la sicurezza ad un sito Web ed ai suoi utenti è quello di‭ ‬tenere aggiornati tanto il software WordPress quanto i suoi plugin, ovvero i software accessori che ne aumentano le funzionalità.

Purtroppo,‭ si rileva che, stante che la corrente versione di WordPress è la‭ ‬4.3,‭ i siti Web dei nostri giornali online non risultano tutti aggiornati:

Alla Versione‭ ‬4.3‭ ‬sono aggiornati:‭ ‬solo‭ ‬TrapaniOggi e‭ ‬La Gazzetta Trapanese‭;
Utilizza ancora la versione‭ ‬4.2.4‭ (‬aggiornata al‭ ‬5‭ ‬agosto‭ ‬2015‭)‬:‭ ‬Tvio‭;
Sono fermi al ramo di sviluppo‭ ‬4.1‭ (‬versione‭ ‬4.1.7‭)‬:‭ ‬SocialTP e‭ ‬TrapaniPiù‭;
Risulta abbandonato alla storica versione‭ ‬4.0.7‭ (‬novembre‭ ‬2014‭)‬:‭ ‬La Notizia Trapanese.

Per “‬La Notizia‭”‬,‭ “‬TrapaniPiù‭” ‬e‭ “‬SocialTP‭”‬,‭ ‬l’azienda “Sucuri” indica come “critiche” le condizioni dei siti Web ‬a causa del mancato‭ ‬aggiornamento della versione della piattaforma WordPress.

Perché gli Amministratori non aggiornano il proprio software‭? ‬Per inerzia o forse perché utilizzano vecchi plugin o vecchi stili grafici,‭ ‬probabilmente incompatibili con la nuova versione,‭ ‬preferiscono, quindi, evitare l’aggiornamento e confrontarsi con la scelta di nuovi “template” o nuovi “plugin”.

I consigli contro i siti Zombie?

Quello di evitare di utilizzare questi siti poco curati sul lato della sicurezza (avrebbero dovuto, al minimo, seguire le linee guida proposte in “Come mettere in sicurezza il tuo sito Web“) è il consiglio che mi sento di offrire ai lettori.‭ ‬Si potrebbe rischiare, al contrario, di fornire proprie notizie riservate a qualche Cracker.

Cookie	Tipo	Durata	Descrizione
aIfVUNxPle	0	1 day
cookielawinfo-checkbox-necessary	0	11 months	Questo cookie è impostato dal plugin GDPR Cookie Consent. I cookie vengono utilizzati per memorizzare il consenso dell'utente per i cookie nella categoria "Necessario".
cookielawinfo-checkbox-non-necessary	0	11 months	Questo cookie è impostato dal plugin GDPR Cookie Consent. I cookie vengono utilizzati per memorizzare il consenso dell'utente per i cookie nella categoria "Non necessario".
eEtDkAsFf-Km	0	1 day
frontend	1
fRvgMocJwKkqlZ	0	1 day
GPS	0	30 minutes	Questo cookie è impostato da Youtube e registra un ID univoco per il tracciamento degli utenti in base alla loro posizione geografica
IDE	1	2 years	Utilizzato da Google DoubleClick e memorizza informazioni su come l'utente utilizza il sito web e qualsiasi altra pubblicità prima di visitare il sito web. Questo viene utilizzato per presentare agli utenti gli annunci che sono rilevanti per loro in base al profilo dell'utente.
ig_putma	1
ji-MtYxAEKsI	0	1 day
lg_fpeADK	0	1 day
sc_anonymous_id	0	9 years
test_cookie	0	11 months
UCcKWdpe	0	1 day
viewed_cookie_policy	0	11 months	Il cookie è impostato dal plugin GDPR Cookie Consent ed è utilizzato per memorizzare se l'utente ha acconsentito o meno all'uso dei cookie. Non memorizza alcun dato personale.
VISITOR_INFO1_LIVE	1	5 months	Questo cookie è impostato da Youtube. Utilizzato per tracciare le informazioni dei video di YouTube incorporati in un sito web.
VjALYH	0	1 day
XukacsrYRM	0	1 day
YSC	1		Questi cookie sono impostati da Youtube e vengono utilizzati per tracciare le visualizzazioni dei video incorporati.
ZzyYGMSqrbAkKv	0	1 day
_ga	0	2 years	Questo cookie è installato da Google Analytics. Il cookie viene utilizzato per memorizzare informazioni su come i visitatori utilizzano un sito web e aiuta a creare un rapporto analitico su come il sito web si sta comportando. I dati raccolti comprendono il numero di visitatori, la fonte da cui provengono e le pagine visualizzate in forma anonima.
_gat	0	1 minute	Questi cookie vengono installati da Google Universal Analytics per limitare la velocità di richiesta e limitare la raccolta di dati su siti ad alto traffico.
_gat_gtag_UA_2678277_5	0	1 minute	Google utilizza questo cookie per distinguere gli utenti.
_gat_UA-23705000-16	0	1 minute
_gid	0	1 day	Questo cookie è installato da Google Analytics. Il cookie viene utilizzato per memorizzare informazioni su come i visitatori utilizzano un sito web e aiuta a creare un rapporto analitico su come il sito web si sta comportando. I dati raccolti comprendono il numero di visitatori, la fonte da cui provengono e le pagine visualizzate in forma anonima.
_initial_referrer	0

Cookie	Tipo	Durata	Descrizione
aIfVUNxPle	0	1 day
cookielawinfo-checkbox-necessary	0	11 months	Questo cookie è impostato dal plugin GDPR Cookie Consent. I cookie vengono utilizzati per memorizzare il consenso dell'utente per i cookie nella categoria "Necessario".
cookielawinfo-checkbox-non-necessary	0	11 months	Questo cookie è impostato dal plugin GDPR Cookie Consent. I cookie vengono utilizzati per memorizzare il consenso dell'utente per i cookie nella categoria "Non necessario".
eEtDkAsFf-Km	0	1 day
frontend	1
fRvgMocJwKkqlZ	0	1 day
GPS	0	30 minutes	Questo cookie è impostato da Youtube e registra un ID univoco per il tracciamento degli utenti in base alla loro posizione geografica
IDE	1	2 years	Utilizzato da Google DoubleClick e memorizza informazioni su come l'utente utilizza il sito web e qualsiasi altra pubblicità prima di visitare il sito web. Questo viene utilizzato per presentare agli utenti gli annunci che sono rilevanti per loro in base al profilo dell'utente.
ig_putma	1
ji-MtYxAEKsI	0	1 day
lg_fpeADK	0	1 day
sc_anonymous_id	0	9 years
test_cookie	0	11 months
UCcKWdpe	0	1 day
viewed_cookie_policy	0	11 months	Il cookie è impostato dal plugin GDPR Cookie Consent ed è utilizzato per memorizzare se l'utente ha acconsentito o meno all'uso dei cookie. Non memorizza alcun dato personale.
VISITOR_INFO1_LIVE	1	5 months	Questo cookie è impostato da Youtube. Utilizzato per tracciare le informazioni dei video di YouTube incorporati in un sito web.
VjALYH	0	1 day
XukacsrYRM	0	1 day
YSC	1		Questi cookie sono impostati da Youtube e vengono utilizzati per tracciare le visualizzazioni dei video incorporati.
ZzyYGMSqrbAkKv	0	1 day
_ga	0	2 years	Questo cookie è installato da Google Analytics. Il cookie viene utilizzato per memorizzare informazioni su come i visitatori utilizzano un sito web e aiuta a creare un rapporto analitico su come il sito web si sta comportando. I dati raccolti comprendono il numero di visitatori, la fonte da cui provengono e le pagine visualizzate in forma anonima.
_gat	0	1 minute	Questi cookie vengono installati da Google Universal Analytics per limitare la velocità di richiesta e limitare la raccolta di dati su siti ad alto traffico.
_gat_gtag_UA_2678277_5	0	1 minute	Google utilizza questo cookie per distinguere gli utenti.
_gat_UA-23705000-16	0	1 minute
_gid	0	1 day	Questo cookie è installato da Google Analytics. Il cookie viene utilizzato per memorizzare informazioni su come i visitatori utilizzano un sito web e aiuta a creare un rapporto analitico su come il sito web si sta comportando. I dati raccolti comprendono il numero di visitatori, la fonte da cui provengono e le pagine visualizzate in forma anonima.
_initial_referrer	0

Il Malware‭? ‬Per Sucuri, il sito Tvio è infetto

Il Login:‭ ‬la porta d’accesso del sito è solo socchiusa

Lo stile grafico‭ del sito? ‬Il Re è nudo

Rischi l’infezione se WordPress e Plugin non sono aggiornati‭!

I consigli contro i siti Zombie?

Articoli Correlati