Cerca nel blog

2007/06/19

Internet italiana sotto attacco, come difendersi

Infettati quasi diecimila siti italiani di ogni genere


Questo articolo vi arriva grazie alle gentili donazioni di "pot" e "luigi".

E' sicuramente la notizia del momento: ne parlano PC al Sicuro, Punto Informatico e, in inglese, Slashdot, The Register, Websense, Trend Micro e ZDNet. Symantec elenca alcuni dei siti compromessi dall'attacco in corso da sabato scorso ai danni di un enorme numero di siti, principalmente italiani.

L'attacco è stato molto improvviso: ha preso inizio con un'infezione ai danni di oltre un migliaio di siti Web, prevalentemente italiani, che usano Internet Information Server di Microsoft; da lì è partito un contagio esponenziale.

Secondo alcune indicazioni, il provider maggiormente colpito è Aruba. I siti infettati, se visitati con un computer Windows (con qualsiasi browser) non opportunamente blindato, iniettano automaticamente nel computer del visitatore del codice ostile che consente ogni sorta di malefatta, compreso il furto di dati personali.

E' importante, per gli utenti, tenere presente che nessun genere di sito è al sicuro: risultano coinvolti anche rispettabilissimi siti commerciali e di comuni e pubbliche amministrazioni. La trappola scatta semplicemente visitando una pagina Web con un computer Windows (gli utenti Mac e Linux sono sostanzialmente immuni).

Chi usa Windows deve aggiornare appena possibile il proprio antivirus e tutti i programmi che interagiscono con Internet, oltre al proprio sistema operativo, perché l'attacco sfrutta anche falle in Apple Quicktime e WinZip. Va detto che si tratta sempre e comunque di vulnerabilità che sono già state risolte dai produttori, per cui la cosa migliore è appunto assicurarsi che il proprio computer sia completamente aggiornato, usando per esempio il servizio di verifica gratuita di Secunia.

19 commenti:

Francesco Sblendorio ha detto...

L'estensione "AdBlock" di Firefox consente di vedere (cliccando su "AdBlock" in basso a destra) l'elenco degli oggetti esterni alla pagina, come immagini, EMBED, scripts, FRAME e IFRAME.

Nelle pagine di un sito che so essere ospitato su aruba non vedo IFRAME che puntano a "http://58.[omissis]" come indicato da symantec. Al max c'è un IFRAME che ha come url "banner.technorail.com". Ora, non so se questo è l'effetto del virus, ma avevo già preventivamente bloccato con AdBlock qualunque cosa proveniente da "banner.technorail.com"... spero di non essermi beccato nulla.

Rado il Figo ha detto...
Questo commento è stato eliminato dall'autore.
Rado il Figo ha detto...

Ma che strano! Ne parlavo giusto venerdì col Notaio presso cui lavoro, dopo aver versato il suo cospicuo anticipo IRPEF via telematica (l'unica consentita ora per società, professionisti ed altre "partite IVA"): "Dottore, scommettiamo che ora di lunedì [NdR: il 18 era la scadenza degli impegni fiscali] ci sarà un attacco virale in Italia?"

Francesco Sblendorio ha detto...

Dove sono ora la verifica online non funziona

Unknown ha detto...

L'attacco ha colpito principalmente il provider ARUBA. Forse la configurazione di IIS sui server Aruba è vulnerabile a questo tipo di attacco.
La serieta' della web hosting company nr. 1 italiana è dimostrata dalla trasparenza con cui stanno operando per rimediare.
Nessuna email è stata inviata ai siti colpiti. Nessun ticket è stato chiuso riguardo al problema. Nessun avviso in home page per segnalare la cosa. Il forum ribolle e loro ... tacciono. Sembra che vogliano far passare sotto silenzio la cosa (peccato che ne abbiano parlato pure al TG).
Io ho una decina di domini sotto Aruba, per fortuna non sono stati colpiti. Ma ... il prossimo rinnovo sara' altrove!

Ciao
Alberto

TNT ha detto...

E' almeno dallo scorso venerdi' che le societa' di sicurezza avevano trovato questo problema. Quelli di Aruba non s'erano ancora accorti di nulla il lunedi' seguente, pur avendo i server in casa. E quando presumibilmente hanno saputo la cosa, non hanno informato neanche i clienti, con gente come quelli di bestoftuscany.it che dicono oggi "non c'e' mai stato nessun virus"... no cari miei, il virus c'era e l'ho visto io con i miei occhi, ma quelli di Aruba hanno semplicemente ripristinato la pagina, tre giorni dopo, senza dire nulla del problema.

Che squallore.

Maurizio Grillini ha detto...

Ora tocca ad Aruba, domani tocchera' ad altri, non credo che sia il caso di cambiare per un solo attacco... Io ho domini sparsi tra piu' provider (tutti in php) e gli unici che non mi hanno dato assolutamente problemi sono quelli che costano di piu' (guarda caso!). I siti che faccio per hobby, meno importanti, li ospito presso provider economici, e vengono bucati praticamente ogni due anni (finora dei semplici defacing che si accettano senza problemi).
Curiosita': Aruba prevede il backup e ripristino dei dati?

Unknown ha detto...

CAro Maurizio, il problema non è l'attacco ad un provider o un altro. Il problema è la trasparenza e la professionalita' dimostrata da Aruba in questo frangente.
Non appena ci sono dei problemi si parano il c%%o nascondendo le tracce. In un altra occasione, quando per ragioni tecniche la posta di tutti i domini è stata KO per una intera giornata, si sono comportati allo stesso modo. Sul forum della comunity addirittura cancellavano i post di lamentele (li si che erano efficienti) e chi alzava la voce, come me o altri, minacciando azioni legali veniva addirittura cancellato come user dal forum!
Non conosco i dettagli tecnici di questo attacco, ma leggendo qua e la mi è sembrato di capire che questo bug di IIS fosse conosciuto e che fosse possibile ripararsi per tempo.

Ciao
Alberto

Dan ha detto...

Nonostante la grafica luccicante del sito, Aruba è a un livello piuttosto basso. D'altronde offre hosting economici, non è che ci possa aspettare granchè di più. Quando lavoravo alla costruzione di un sito di cui il cliente aveva già acquistato l'hosting su Aruba(purtroppo), qualche volta il collegamento FTP così come il sito stesso sparivano... per ricomparire misteriosamente poco dopo. C'è poco da fare, se si vuole professionalità bisogna spendere soldi, e allora saremo certi che i nostri soldi vanno dove devono. Si ha ciò per cui si paga, chi più spende meno spende, eccetera.

Dan ha detto...

"Dove sono ora la verifica online non funziona"
E' quel che pensavo anch'io, poi mi sono ricordato delle restrizioni che faccio applicare a Firefox... e ho riattivato i cookie. Funziona.

Maurizio Grillini ha detto...

Non mi sento di dare tutti i torti al provider. E' vero che deve comportarsi con maggiore serieta' nei confronti del cliente (cliente che pero' sceglie il provider soprattutto in base al prezzo), ma e' altrettanto vero che questa situazione e' la conseguenza della sempre piu' diffusa mancanza di precauzioni da parte degli utenti, dovute a scarsa di cultura.
Due-informazioni-due (1: aggiornare l'antivirus, 2: aggiornare il sistema) da parte della TV, in sostituzione di una puntata di un grande fratello o di una fattoria, sono davvero cosi onerose? Queste due informazioni Paolo le ha date con tanta semplicita' e tanta chiarezza durante la trasmissione in radio (...svizzera, naturalmente...).

Unknown ha detto...

Scusate, ma esiste ancora ARUBA????
Allora è solo colpa vostra, che gli date ancora soldi.. dovevano essere da anni eliminati dal mercato, non sono MAI stati corretti, professionali, non hanno MAI avuto un'assistenza degna di essere chiamata tale! Esistono anche altri providers che offrono tanto a poco, ma il problema te lo risolvono con garbo anche alle 3 di notte, se lo segnali...
Aruba... pfua...

TNT ha detto...

Grillini: si' certo, e' colpa dei clienti. E' semplicemente un caso che questi fossero tutti clienti di Aruba.

Ma per favore...

Anonimo ha detto...

Sinceramente come browser uso Opera, e non ho ancora trovato un altro borwser che possa stargli alla pari :))))
Peccato che se ne parli così poco... :))))
Cmq ormai uso in pianta stabile Linux e quindi non ho più di questi problemi, ma Opera lo usavo anche con Windows e devo dire che mi sono sempre trovato bene, meglio che con firefox...
Provare per credere...

Maurizio Grillini ha detto...

tnt, io non do la colpa ai clienti: ho parlato di utenti e di prevenzione, non di clienti e di colpe! Non ho avuto tempo per approfondire, e non ho la piu' pallida idea di dove nasca il problema: per esempio, i siti colpiti utilizzavano un CMS?
Il mio commento era riferito al "come difendersi".

Maurizio Grillini ha detto...

Bene, il virus ha un nome: The Italian Job. Dobbiamo esserne orgogliosi...
Niente di niente in TV. E i giornali?
Repubblica e Stampa riportano all'unisono un comunicato secondo il quale i siti danneggiati sono 4500 e relativi al settore turistico. Fanno riferimento a un comunicato di David Perry, portavoce della Trend Micro. Ho cercato "Perry" sul sito trendmicro.com e non ho trovato il comunicato originale, ma un bel whitepaper del 2005 dal titolo The Spyware Battle. L'articolo si riferisce alla vendita degli antivirus, ma e' significativo il titolo del paragrafo User Education Is Paramount. E qui torniamo ai nostri media: come "educano" gli utenti? Col silenzio oppure invitando ad "aggiornare la versione di Explorer andando sul sito www.microsoft.com" (qualunque utente generico, tipo signora Cesira o signor Rossi - a questo punto si perderebbe).

Ma non basta: InfoWorld riporta il comunicato di Perry e informa che: The malware can be used to attack Internet Explorer, Firefox, and even the Opera browser. Quindi anche gli altri browser non sarebbero immuni...

Unknown ha detto...

Uhm... Ho letto per la prima volta di questo problema su Microsoft Watch, lì si dice che "the people posting the exploits to the websites are using harvested user/password info. Again the OS of the web server is not an issue here." Altrove, si legge di "vulnerabilità" in IIS/cpanel, ma non si specifica quali... Chissà...

Dan ha detto...

Un po' troppo generico e fumoso il tutto, mi sembra... c'è la stessa qualità di informazioni di "c'è un coccdrillo bianco nelle fogne di NEw York" finora. Spero che approfondimenti e chiarimenti arrivino in seguito, di queste cose più se ne sa e meglio è.

LuViWeb.it ha detto...

Anche io su Aruba (non sono un professionista IT e come tutti ho scelto l'offerta più economica e semplice da attivare) ...
Io ho acquistato il servizio di back up giornaliero e settimanale, sia del sito che del db, ciò nonostante tutti i file index.php dei backup del sito sono stati corrotti.

Devo dire che non mi aspettavo una cosa del genere.
Al momento ho solo segnalato la cosa ad Aruba ma stò valutando la possibilità di effettuare una denuncia alla polizia postale e penso che tutti dovrebbero farne una.

Ciao
Luigi » LuVi Weblog
La mente è come un paracadute, funziona solo se si apre