Cerca nel blog

2010/04/11

Svizzera presa di mira da BredoLab

Siti svizzeri infettati da semplici visite Web


MELANI, uno degli organismi federali svizzeri per la sicurezza informatica, avvisa di aver rilevato "diverse decine di casi d'infezione di siti Internet svizzeri" che stanno diffondendo il trojan BredoLab, che scarica ed esegue file scaricati da Internet.

Per infettarsi è necessario visitare uno dei siti infetti (il comunicato non dice quali sono) con Windows e con un antivirus poco aggiornato e cliccare senza pensarci su eventuali messaggi che avvisano di scaricamenti in corso. Se l'attacco ha successo, il computer dell'utente scarica BredoLab da un sito russo. I responsabili dei siti Web possono accorgersi dell'infezione perché il codice HTML della pagina indice del sito include del Javascript apparentemente senza senso in fondo alla pagina, dopo il tag "/HTML" di chiusura. I siti web vengono infettati grazie a password di accesso FTP rubate. Prudenza.

33 commenti:

gfranza ha detto...

Paolo,
ti devo ringraziare, e, un poco, dovrei rinraziare questi mascalzoni qui.
Perché? Perché posso finalmente linkare una spiegazione semplice (il tuo articolo) a tutti i pesudotecnici che si meravigliano del fatto che non voglio aprirgli un sito ftp per percmettergli di mandarmi questo e quello...

Giovanni

Luigi Rosa ha detto...

Attacchi di questo tipo non sono nuovi, purtroppo. Molti siti ritenuti sicuri e affidabili di enti o di organizzazioni hanno una sicurezza ridicola.
Era capitata una cosa simile al sito di un cliente, di cui avevano indovinato la password e su cui avevano messo un JavaScript che faceva cose simili.

Possibili soluzioni del problema. (1) Adottare un sistema di blacklisting degli IP dopo 'n' tentativi di login errati (fail2ban per Linux, per esempio). (2) Limitare l'accesso FTP ad un determinato gruppo di IP. (3) Utilizzare una VPN con endpoint sul web server con un IP non-routabile dedicato e configurare il server in modo da consentire modifiche amministrative solamente da qull'IP. (4) Non usare FTP, ma FTP incapsulato dentro SSH, magari con autenticazione a chiave condivisa.

Alessandro ha detto...

io non ho capito come questi siti vengono infettati con questo codice malevolo javascript, non penso sia la password rubata il problema, ci dev'essere qualche altro metodo, ad esempio sfruttano qualche falla del plugin flash?

perchè ho già visto questo giochetto in diversi siti anche qui in italia

cmq fortunamente google chrome e firefox li segnano subito come siti pericolosi, però sarebbe interessante capire come fanno a infettare le pagine web

aleritty ha detto...

Paolo, visto il contenuto il titolo dell'articolo è un po' fuorviante... Non è il sito ad essere infettato da una semplice visita ma è il pc del visitatore ad essere infettato!
Infatti come dici alla fine il sito è infettato mediante il furto della password ftp!

theDRaKKaR ha detto...

siti svizzeri? ma perché ne esistono?

scherzo :P

theDRaKKaR ha detto...

@Alessandro

la password del server FTP serve per accedere ai file dei siti web e modificarli (giacché molto spesso questi siti sono accessibili col server FTP perché gli sviluppatori web non accedono - per impossibilità o per pigrizia - all'interfaccia utente del sistema operativo del web server, ma uploadano i file attraverso, appunto, un server FTP attivo sulla stessa macchina)

@gfranza

sarò uno pseudotecnico, ma francamente non aprire un server FTP per paura che rubino le password è come non usare una macchina per paura che rubino le chiavi...

Luigi Rosa ha detto...

@theDRaKKaR: paragoni come quelli che fai tra Internet e il mondo reale sono fuorvianti e semplicemente inutili.
Proteggere un sito FTP solamente con una login/password e' come proteggere un sito FTP solamente con una login e password. Punto. I paragoni e le allegorie non servono a nulla, se non a confondere le idee. Se proprio vuoi mantenere la tua similitudine, devi considerare che la tua automobile resti incustodita 24 ore su 24 e i ladri possano provare ogni tipo di chiave possibile.
Posto che le coppie login/password non sono infinite e i vari botnet hanno a disposizione tanto tempo e tanti computer, se non ti proteggi con altri sistemi (tipo IDS, anche banali coma fail2ban) l'accesso non autorizzato al sito non e' questione di "se" ma di "quando".

theDRaKKaR ha detto...

@Luigi

I paragoni e le allegorie non servono a nulla, se non a confondere le idee

è una tua opinione, tra l'altro non molto diffusa e io aggiungo per fortuna

Proteggere un sito FTP solamente con una login/password e' come proteggere un sito FTP solamente con una login e password

non è quello che ha affermato gfranza, lui ha affermato che non vuole aprire un sito FTP

analizziamo la questione

si presume che gfranza, visto che fa questo lavoro, abbia le competenze per considerare tutte le protezioni possibili ad un server FTP: la sua opinione è da leggere quindi "non voglio aprire un sito FTP perché nonostante tutte le possibili protezioni per me rimane troppo insicuro" (gfranza, dimmi se ho interpretato male)

a questo tipo di concezione della sicurezza io mi oppongo perché equivale a dire di non usare una macchina per paura che rubino le chiavi NONOSTANTE io le possa portare con me, conservare in un luogo custodito, usare un aggeggio elettronico che le faccia attivare solo dopo inserimento di codice eccetera (tutto ciò dopo il NONOSTANTE equivale a tutte le protezioni aggiuntive all'autenticazione nome utente / password)

quindi, la questione è: davvero è giusto pensare che un server FTP non vada installato perché non si può raggiungere un sistema di protezione sufficientemente ragionevole?

la questione in altri termini è: sappiamo che il superamento delle protezioni è questione di tempo, ma davvero per un server web questo tempo è dilatabile in modo da sentirsi in qualche modo autorizzato a pubblicarlo, invece per un server FTP non è dilatabile allo stesso modo?


io so che c'è una filosofia al riguardo: "che i file me li mandino in un altro modo, aprire un server FTP significa aprire un potenziale punto di vulnerabilità e io non voglio farlo". È una concezione sensata, ma purtroppo spesso e volentieri viene applicata ottusamente anche quando l'apertura, per esempio, di un server FTP sia effettivamente necessaria. Non ho nessun elemento per ipotizzare che gfranza sia così ottusamente rigido, né lo penso, ma quell'accenno agli "pseudotecnici che si meravigliano" m'ha fatto un po' saltare la mosca al naso, ché di "pseudotecnici" che non aprono servizi perché pensano che così "facciano sicurezza" ne è pieno il mondo: bel modo di fare sicurezza eh, facile soprattutto...

Ste ha detto...

Forse ti è sfuggito ma Aruba aveva migliaia di siti infetti nello stesso modo una settimana fa, anche il mio che uso Linux; quindi avevano accesso in un altro modo al server apache e infestavano tutti gli index.php delle installazioni wordpress e installavano anche due backdoor diretti (chat.pl e mailcheck.php).
http://safebrowsing.clients.google.com/safebrowsing/diagnostic?client=Firefox&hl=de&site=AS:31034

Professionisti.

gfranza ha detto...

Eheheheh...
Le provocazioni funzionano sempre...
Allora:
Le autenticazioni a "user" + "password" sono IL MALE ,-) anche perché alla fine passano in chiaro in rete.
Quindi si ricade su protocolli che autenticano con il meccanismo della chiave pubblica.
Quindi su SSH/SSL e, di conseguenza su SCP/SFTP.
Poi: FTP apre 2 connessioni invece di una (e quindi richiede di attivare dei meccanismi specifici nei fireall).
Aggiungete che una buona parte delle implementazioni di FTP sono pure bacate e capirete agevolmente perché qui l'FTP non ha dimora.
Per la cronaca: io continuo a vedere sui miei server attacchi di password guessing in SSH, quindi non solo NIENTE FTP ma nemmeno niente SSH senza autenticazione con chiavi pubbliche.

Giovanni

p.s.: è ovvio che ognuno fa quel che crede ed io, se non conosco più che bene la realtà, non mi sogno di giudicare.
Però io l'FTP non lo uso, e continuo a meravigliarmi della facilità con cui lo si usa, della scarsezza delle precauzioni e del fatto che, a me, continuino ad arrivare richieste da perte di "tecnici" che non vogliono fare lo sforzo di usare SSH (e qui taccio, che mi verrebbero mali pensieri) :-)

theDRaKKaR ha detto...

@gfranza

un FTPS (non SFTP, né SCP) non ti sembra abbastanza sicuro?

martinobri ha detto...

sob... voglio anch'io un gatto come quello

gfranza ha detto...

@theDRaKKaR
FTPS è decisamente più sicuro di FTP ma comunque soffre degli stessi problemi per quel che riguarda il passaggio dei firewall (anzi, usando la cifratura del canale di controllo li peggiora). E comunque usa un meccanismo (le due sessioni per comandi/dati) che non mi piace.
Per il resto non lo uso perché mi trovo bene con SCP .

Buona giornata

Giovanni

Turz ha detto...

@theDRaKKaR:
a questo tipo di concezione della sicurezza io mi oppongo perché equivale a dire di non usare una macchina per paura che rubino le chiavi NONOSTANTE io le possa portare con me, conservare in un luogo custodito, usare un aggeggio elettronico che le faccia attivare solo dopo inserimento di codice eccetera (tutto ciò dopo il NONOSTANTE equivale a tutte le protezioni aggiuntive all'autenticazione nome utente / password)

Anch'io sono uno pseudotecnico e amante delle metafore, ma se ho capito bene è la metafora ad essere sbagliata, perché è il sistema di accesso che è insicuro.

Facciamo un'altra metafora (perché alle metafore non rinuncio): è come avere una bella villa (o banca, a seconda del tipo di sito), protetta da una porta blindata con serratura a doppia mappa o ancora di più; aprire un server FTP è come tenere sul retro una porticina di legno con serratura di tipo Yale o peggio tipo quelle che si usano nelle porte delle stanze (http://tinyurl.com/ydo2wgn). NONOSTANTE tu possa portare le chiavi con te, eccetera eccetera. E non è che se non apri la porticina rinunci a usare la villa.

Poi se usi un computer come server FTP ed esso è isolato dagli altri, penso che in tal caso non ci sia alcun problema. (La metafora equivalente è la baracca attrezzi, separata dalla villa, con la porta di legno e la serratura scaciosa.)

mangacomics ha detto...
Questo commento è stato eliminato dall'autore.
mangacomics ha detto...

mi sa di bufala

ǚşå÷₣ŗẻễ ha detto...

OT: Stasera ritorna Voyager! brrrr... O_O

Turz ha detto...

@usa-free:
Accipicchia è vero! Un'altra puntata che grazie alla parabola puntata altrove per fortuna mi perderò (evviva!)

Una puntata dove Giacobbo esporrà le prove che dimostrano l'esistenza del topolino che porta i soldi ai bambini quando perdono un dente. Si tratta di un topo alieno. (dai GiacobboFact)

ǚşå÷₣ŗẻễ ha detto...

Io invece lo guarderò e credo che alla fine della trasmissione avrò la stessa espressione del gatto! :D

PIPPOCALIPPO ha detto...

Aspetto ansioso un bel articolo sul video di Brosio che, come dice il responsabile del CICAP è vera e propria pareidolia! Giletti lo preferivo quando molestava e palpeggiava le sue co-conduttrici..... La situazione è pietosa! Buon lavoro Paolo!

Quetzalcoatl ha detto...

Scusate l'OT ma passavo nel forum di assistenza di blogspot e ho visto questo. Magari vi volete fare due risate.

ǚşå÷₣ŗẻễ ha detto...

Grazie della segnalazione Quetzalcoatl, quando avrò tempo lo leggerò per farmi 2 risate :D

Diego ha detto...

Per lavoro, ho cercato di mettere su un server ftps su richiesta di un cliente, con l'idea di avere un modo sicuro e standard per trasferire dei file.

Alla fine con il ftps non si puo' avere praticamente nessuno dei due. Infatti il problema sono:

- esistono diversi standard e combinazioni di configurazione diverse che portano a problemi di compatibilita' varie. Solo a titolo di esempio ftps esplicito contro ftps implicito e varie combinazioni di cosa crittografare tra connesione dati e connesione di controllo.

- se si crittografa la connessione di controllo, sulla quale viene fatta l'autenticazione, il firewall non puo' conoscere quale porta dati verra' usata e quindi non puo' aprirti quella porta (la porta dati cambia di volta in volta). L'alternativa e' tenere aperto un range di porte (con tanti saluti alla sicurezza).

Il ftp e' un protocollo intrinsicamente poco sicuro. E il ftps e' solo marginalmente piu' sicuro.

Ci sarebbe anche la possibilita' di fare il ftp over http(s), che risolverebbe molti problemi del ftps. Ma onestamente quando hai sftp che funziona chi te lo fa fare...

Sftp e' decisamente piu' sicuro come protocollo per trasferire file, ed e' molto piu' semplice da configurare e gestire.

theDRaKKaR ha detto...

grazie a tutti per le info su FTP FTPS SFTP SCP

il vostro pseudotecnico preferito ^__^

Anonimo ha detto...

Non fatelo vedere a Giacobbo.

So' L'enigmista ha detto...

OT: Stasera ritorna Voyager! brrrr... O_O

OT sull'OT: sapete dirmi qualcosa sul programma "Almost True" di Lucarelli? Ne ho visto pochi secondi, e sulle prime ho pensato ad una boiata tipo Voyager che spaccia teorie del complotto per verità e ho detto "Tu quoque, Carle? PAURA!" ... poi ho colto un "Elvis ha ucciso JFK" è ho pensato che forse è un programma comico che usa volutamente uno stile pseudo-serio... ci ho azzeccato? Purtroppo poi ho spento la tv per andare a dormire, ero stanchissimo, chissà cosa mi sono perso :)

p.s. OT sull'OT sull'OT: perché proprio la volta che decido di fare un interventino nel thread epico guarda caso c'è la moderazione? GOMBLODDO!!!!

So' L'enigmista ha detto...

E perché questo commento di Turz è visibile ma non lo sono i miei commenti di ieri? Dobbio gombloddo...

So' L'enigmista ha detto...

Com'è che adesso tutti i commenti dopo il 9 sono SPARITI ? Erano 27 un attimo fa .... che succede a Blogger? la maledizione di Straker?!?!?!?

So' L'enigmista ha detto...

Sono riapparsi... Mistero... no, non quello di Ruggeri!

ǚşå÷₣ŗẻễ ha detto...

Stanno sturando i cessi di Blogger, ancora un attimo di pazienza ;)

Turz ha detto...

@So' L'enigmista:
E perché questo commento di Turz è visibile ma non lo sono i miei commenti di ieri? Dobbio gombloddo...

Contattami in privato che ti sbiego duddo. A parte ciò, non preoccuparti per i tuoi commenti. Prima o poi spunteranno.

So' L'enigmista ha detto...
Questo commento è stato eliminato dall'autore.
Turz ha detto...

La mia mail è a due clic di distanza. Ma non importa, ora ti ho scritto. Puoi anche distruggere il commento precedente, onde evitare che spammer più furbi di Valentin possano abusare del tuo indirizzo.