skip to main | skip to sidebar
18 commenti

Difendersi dai siti trappola

Come controllare se un sito è pericoloso


Una delle tante segnalazioni interessanti emerse dalla conferenza tenutasi mercoledì 11 marzo a Lugano con due esperti di lotta al crimine informatico, John Battista della Polizia di Stato italiana e Mauro Vignati dell'ente svizzero MELANI (la Centrale d'annuncio e d'analisi per la sicurezza dell'informazione), è quella di un servizio gratuito che effettua una verifica della pericolosità di un sito o di un documento sospetto.

Si chiama Wepawet ed è offerto dalla University of California a Santa Barbara: permette di scoprire anche minacce annidate nei documenti PDF e Flash e indica la specifica vulnerabilità che il sito o documento analizzato tenta di utilizzare.

Un servizio per certi versi analogo è offerto anche da questa pagina dell'ISSS (Information Security Society Switzerland) e da Webcheck di MELANI.

Tutti questi servizi sono da usare con prudenza e tenendone a mente i limiti: se indicano che un sito o un documento è ostile, potete stare sicuri che lo è davvero, mentre se indicano che tutto va bene, non c'è garanzia assoluta che sia proprio così, perché i criminali informatici inventano tecniche nuove in continuazione, e queste tecniche potrebbero non essere note subito a questi servizi.

Sono comunque più utili delle generiche barre di sicurezza o delle segnalazioni incorporate in molti programmi di navigazione, perché forniscono i dettagli della minaccia e permettono di studiarne il codice; non possono sostituire queste altre forme di sicurezza per ovvie ragioni di praticità, ma sono un complemento utile per capire meglio la dinamica di un attacco informatico o il funzionamento di un sito-trappola.


2009/03/15


Purtroppo l'audio della videoregistrazione della conferenza è risultato inascoltabile a causa di un'interferenza fortissima di origine ignota. Mi scuso con chi sperava di poter vedere o rivedere l'ottima serata, ma l'attrezzatura che in molte altre occasioni ha dato risultati ottimi stavolta mi ha tradito. Visto l'argomento, potrei dire che si è trattato sicuramente di un complotto per non rivelare dati scottanti.
Invia un commento
I commenti non appaiono subito, devono essere tutti approvati da un moderatore. Lo so, è scomodo, ma è necessario per tenere lontani scocciatori, spammer, troll e stupidi.
Siate civili e verrete pubblicati, qualunque sia la vostra opinione: gli incivili di qualsiasi orientamento non verranno pubblicati, se non per mostrare il loro squallore.
Inviando un commento date il vostro consenso alla sua pubblicazione, qui o altrove.
Maggiori informazioni riguardanti regole e utilizzo dei commenti sono reperibili nella sezione apposita.
NOTA BENE. L'area sottostante per l'invio dei commenti non è contenuta in questa pagina ma è un iframe, cioè una finestra su una pagina di Blogger esterna a questo sito. Ciò significa che dovete assicurarvi che non venga bloccata da estensioni del vostro browser (tipo quelle che eliminano le pubblicità) e/o da altri programmi di protezione antimalware (tipo Kaspersky). Inoltre è necessario che sia permesso accettare i cookie da terze parti.
Commenti
Commenti (18)
<< Tutti questi servizi sono da usare con prudenza e tenendone a mente i limiti: se indicano che un sito o un documento è ostile, potete stare sicuri che lo è davvero, mentre se indicano che tutto va bene, non c'è garanzia assoluta che sia proprio così >>

E siamo sicuri che non siano possibili anche falsi positivi? Ovvero un sito o documento marcato come pericoloso ma in realtà innocuo? Non ho ancora dimenticato il fattaccio di AVG.
E per i falsi positivi come si risolve? Quando visito alcuni siti, ad esempio il blog http://brezhnardini.blog.espresso.repubblica.it/ il mio antivirus Avast va in allarme, ma quei siti che hai segnalato non mi segnalano minacce.
Motogio mi chiama mitragliatrice, ma anche tu Paolo non scherzi... Non credere che postando articoli a raffica riuscirai a distogliere l'attenzione dalla Vibranovela, di cui attendiamo il capitolo finale!
Per quanto ne ho capito io Wepawet permette l'analisi di singoli files, non di interi siti...

Ma correggetemi se sbaglio.

Alessandro
A me sembra che funga bene anche per gli indirizzi dei siti(o almeno per i blog)...basta inserirli nello spazio contrassegnato con URL, e indicarli come Javascript/PDF.

Per esempio, il blog di Paolo è "benign" :-)

Grazie dell'utility, comunque!
in sostanza il sito segnalato è un "semplice" (si fa per dire) database nel quale vengono archiviati i casi di malware e simili noti? quando faccio l'upload verrà confrontato se esiste qualcosa di simile - al limite euristicamente - e lo segnalerà?

se è così mi pare un'ottima cosa...
Sul discorso sicurezza avrei un paio di cose da dire
innanzitutto è fondamentale usare la testa quando si naviga e questo è un requisito imprescindibile per una navigazione sicura, poi una buona idea sarebbe NON usare windows per tante ragioni :D anche di carattere più ideologico
e poi a prescindere dal sistema operativo è cosa buona e giusta avere un utente con diritti limitati in windows a maggior ragione
cosa che avviene veramente molto di rado sia perchè è scomodo sia per pigrizia, ma provate a cercare di infettarvi con l'utente di livello user che non può nemmeno scrivere su c: ma solo sulla SUA cartella utente e basta è molto più difficile, non che sia impossibile sia chiaro, però sputtanare windows con i privilegi di user un po' ci vuole

poi vogliamo parlare della password di Administrator? Quasi sempre sistematicamente BIANCA

e l'antivirus non aggiornato?

e quanti hanno un firewall?

insomma il problema dei virus di solito si trova tra la tastiera e la sedia... :)
Scusa Attivissimo avevo promesso di non seguire piu' il tuo sito perche' ripieno di adolescenti, sara' la mia repressa puberta' ma sono felice nel notare che tutte le vaccate che scrivi, in realta', hanno poco seguito mentre simpatici argomenti "complottisti e sciachimisti" hanno un sacco di commenti.
Bene.
Ho fatto una piccola ricerca su di te ed hai anche un credito in una certa simpatica frangia "angelista cicappista" e me ne compiaccio.
Credevo fossi un dipendente ma trovo che tu sia solo un simpatico cavallo col paraocchi e cio' mi spaventa molto.
Avrei sinceramente preferito fossi un "debunker" (che ridere questa parola).
Ti prego solo di continuare cosi' almeno ti affossi da solo che anche se in Svizzera gia' la gente non ti considera riuscirai in fretta a farti prendere in giro anche nel Balpaese.
Bravo
Grazie.
P.S.

Adoro questo sito perche' tu rispondi a tutti ;)
Genio!!
@sayhem:
no, il sito in questione analizza il codice html e eventuali script della pagina segnalata e ne verifica i potenziali "pericoli".

@Guido:
"BIANCA"? Di solito è "Vuota"... :P

@artecleto:
Hai ragione. La tua repressa pubertà deborda un pochetto.
Dovresti permetterle di sfogarsi un po': non c'è niente di male nel crescere e maturare.
Artecleto,

Scusa Attivissimo avevo promesso di non seguire piu' il tuo sito perche' ripieno di adolescenti

.... ma ti sei trovato così bene fra i tuoi simili che non riesci ad andartene.
beh potendo guardare tra i "recent visited" di artecleto ci si può fare un'idea sul discorso che fa a proposito di adolescenti e puberali :D
artecleto biccioni ...ti stimo!
Artecleto

sara' la mia repressa puberta'

Stai attento con la pubertà repressa, che si diventa ciechi...
Beh, il mio sito non sembra pericoloso......
A quanto pare nemmeno i miei lo sono... è un sollievo, temevo di avervi inserito accidentalmente qualche XSS o virus!
In effetti, piuttosto che le varie barre di avviso di McAfee o Norton credo sia più utile ed esaustivo un sito appositamente dedicato all'analisi. Una barra da browser fa quel che può!

Per "Artecleto":
non preoccuparti, continua pure a scriverci: vedrai che esercitandoti riuscirai anche a infilare un po' di senso nei tuoi discorsi.
Off topic, questo sconosciuto...

@brain_use

purtroppo c'è moltissima gente che usa il computer completamente non consapevole dei rischi che corre, peggio che andare su un CBR 900 a 300 all'ora senza avere i dischi dei freni...

sul discorso della pwd di administrator, ci siamo intesi, bianca (blank) vuota... :)
Caro Paolo,

in effetti forse il caso dei falsi positivi e' da analizzarsi. Ho inserito per prova l'indirizzo del mio blog (url con montata su piattaforma wordpress).

Il risultato e' stato:

------------
* The analyzed resource uses too much memory.

[vero; i content manager sono pessimi da questo punto di vista!]

* The analyzed resource uses an unknown script language (unspecified/VBScript)

This may affect the detection of malicious code.
------------

non so, immagino che una persona non molto pratica di internet che legge questo risultato potrebbe comunque preoccuparsi.
"..ma l'attrezzatura che in molte altre occasioni ha dato risultati ottimi stavolta mi ha tradito. Visto l'argomento, potrei dire che si è trattato sicuramente di un complotto per non rivelare dati scottanti."
Security through obscurity implementata dagli organizzatori per non far trapelare troppe informazioni.
Pazienza, dovrò chiedere ad HAL di leggermi il labiale...