Luca Annunziata

Come ti infetto Google search

Celebri siti presi d'assalto dai malintenzionati. Che sfruttano la loro popolaritÓ nel motore di ricerca di Mountain View per veicolare spam. Senza neppure preoccuparsi di crackare i server

Roma - ╚ un sistema ingegnoso quello ideato dai malintenzionati che tentano di sfruttare il successo di siti come ZDNet Asia e TorrenReactor per veicolare spam e altri contenuti potenzialmente più dannosi. La pratica consolidata di effettuare il caching delle ricerche sui rispettivi domini e sottoporle all'indicizzazione di Google ha infatti dato origine ad una minaccia per i navigatori che giungono sulle pagine dei due siti, minaccia che sussiste anche se i loro server non sono stati crackati.

Le ricerche inquinate di GoogleLa scoperta è stata effettuata dal noto esperto di sicurezza Dancho Danchev, che ha identificato non meno di 11mila pagine "contraffatte" di ZDNet Asia reperibili attraverso il search di Mountain View, e quasi 30mila appartenenti a TorrentReactor. Molte di queste sono state talmente ben mascherate da finire tra i primi 20 risultati quando si effettua una interrogazione che riguardi i due domini.

La vicenda nasce dalla pratica, adottata sia da ZDNet Asia che da TorrenReactor, di tenere traccia (caching) delle ricerche che gli utenti effettuano sul sito: una comune prassi SEO (Search Engine Optimization), soprattutto sui domini di grosse dimensioni, che consente di indicizzare queste informazioni sui principali motori di ricerca e metterle a disposizione di chi fosse interessato a determinati argomenti. ╚ proprio sfruttando questa pratica che un gruppo di pirati russi avrebbe cominciato a dare in pasto a Google indirizzi aggiuntivi riferiti ai due domini, contenenti stringhe di codice in grado di lanciare un iFrame sovrapposto alla visualizzazione della pagina legittima.
Nascosti all'interno dell'iFrame ci sono script potenzialmente pericolosi, che vengono fatti girare sul computer del navigatore a sua insaputa e che lo espongono ai consueti pericoli: malware e spam. Il tutto, dice Danchev, senza che i vari programmi antispyware e antivirus si accorgano di quanto sta succedendo: dal punto di vista di chi naviga e del software il codice risiede tutto su un dominio legittimo.

Ma la faccenda, secondo Danchev, è ancora più raffinata di quanto non sembri a prima vista: se il server russo su cui risiede il codice maligno rileva che l'IP del computer che fa richiesta delle informazioni appartiene ad un nota organizzazione che si occupa di sicurezza, tenta di restituire una pagina vuota per evitare di essere individuato (errore 404). Una chicca in più per tentare di massimizzare l'effetto delle proprie trovate e minimizzare il rischio che venga elaborata in breve una contromisura.

Ricapitolando, un gruppo di malintenzionati ha deciso di sfruttare una comune tecnica SEO per rivoltarla contro i suoi stessi ideatori. La vicenda pone un problema piuttosto serio: nonostante l'impegno di Google per minimizzare i rischi per chi cerca informazioni attraverso il suo motore, sempre nuovi stratagemmi vengono studiati per scavalcare le protezioni poste a guardia dei netizen. E, come in questo caso, sfruttando la credibilità e l'autorevolezza altrui per veicolare materiale pericoloso residente altrove.

Luca Annunziata
13 Commenti alla Notizia Come ti infetto Google search
Ordina
  • ... ribadisco il mio commento sul fatto che il titolo di questo articolo è sensazionalistico e non riflette la realtà.

    non è stato "infettato" in nessun modo google search, sono state sfruttate delle pratiche operate da alcuni siti (Zdnet e Torrent Reactor, nella fattispecie). google può anche provare a rimuovere dalle sue ricerche risultati che collegano a pagine "pericolose" per l'utente, ma continua a fare comunque il suo lavoro: indicizzare.

    se domani qualcuno fa un defacement ad un qualche sito governativo includendo malware, tale sito sarà sicuramente restituito nei primissimi posti da Google nelle sue ricerche. questo ovviamente non implica che sia stato infettato google search in qualunque modo.

    ovviamente non conosco le motivazioni che hanno portato a questo scollamento tra il titolo ed il contenuto del paper. posso solo fare qualche supposizione:

    1- errore casuale
    2- mancata comprensione della notizia
    3- volontà di utilizzare titoli sensazionalistici per attirare lettori e commentatori

    Un commento analogo a questo è stato precedentemente moderato (e non solo uno, a quanto pare). tuttavia sono abbastanza convinto che:

    1- questo commento sia perfettamente in tema con la discussione, dato che si tratta di una critica a come è scritto l'articolo che viene commentato

    2- questo commento non offenda la dignità di nessuno, dato che si tratta di una critica puntuale e motivata su un singolo lavoro.

    3- questo non sia un commento a come altri hanno scritto, non sia focalizzato sul fornire correzioni ortografiche ma sia invece produttivo ai fini della discussione in corso. IMHO, questo commento è utile alla discussione, in quanto chiarifica quello che è veramente successo. questa precisazione è IMHO necessaria per evitare che lettori non attenti, o non in grado di comprendere in pieno il contenuto dell'articolo, siano tratto in inganno da un titolo fuorviante.

    4- questo commento non contenga materiali pornografici o link a siti a luci rosse (i forum sono aperti a tutti, anche ai più piccoli!).
  • ho notato che anche se si usa l'attivazione degli utenti via admin, su phpbb precedente al 3 gil spammer sembrano usare l'iscrizione degli utenti solo per usare il campo "sito web" (che tra l'altro come "linkroll" è presente anche qui su PI, ci starei attento)...

    ma non capisco bene perché!

    riescono a capire che hai tanti accessi e ti usano come fonte di link come tecnica SEO?

    non capisco bene.
    non+autenticato
  • - Scritto da: ettaro
    > ho notato che anche se si usa l'attivazione degli
    > utenti via admin, su phpbb precedente al 3 gil
    > spammer sembrano usare l'iscrizione degli utenti
    > solo per usare il campo "sito web" (che tra
    > l'altro come "linkroll" è presente anche qui su
    > PI, ci starei
    > attento)...
    >
    > ma non capisco bene perché!
    >
    > riescono a capire che hai tanti accessi e ti
    > usano come fonte di link come tecnica
    > SEO?
    >
    > non capisco bene.

    in teoria, lo linkano un sacco di volte su delle pagine-discarica o robe del genere...una specie di g!bombing distribuito...
  • perché ha l'antiphishing !
    questa si che é sicurezza !
    non+autenticato
  • - Scritto da: Undertaker
    > perché ha l'antiphishing !
    > questa si che é sicurezza !

    chissa se in questo caso funziona?
    direi di no comunque...
    non+autenticato
  • - Scritto da: quoto
    Re: Ma IE é il pi˙ sicuro

    Ecco, è arrivato lo spam...

    > - Scritto da: Undertaker
    > > perché ha l'antiphishing !
    > > questa si che é sicurezza !
    non+autenticato
  • - Scritto da: mmmm
    > - Scritto da: quoto
    > Re: Ma IE é il pi˙ sicuro
    >
    > Ecco, è arrivato lo spam...

    Non ho capito dove avrai fatto spam???
    non+autenticato
  • Ovviamente non si fa neanche menzione del fatto che quegli iframe sono "presenti" sul sito di Zdnet sono perche' questo e' (o meglio, era) vulnerabile a cross-site scripting. Che dire, evidentemente e' necessario che gli articoli abbiano un livello tecnico infimo, altrimenti chissa' che succede.
    non+autenticato
  • Sarà una scelta per uniformarsi ai lettori...A bocca aperta
    non+autenticato
  • - Scritto da: rotfl
    > Ovviamente non si fa neanche menzione del fatto
    > che quegli iframe sono "presenti" sul sito di
    > Zdnet sono perche' questo e' (o meglio, era)
    > vulnerabile a cross-site scripting. Che dire,

    ovviamente non si fa neanche menzione che i browser vulnerabili sono elencati nella lista qui sotto, in ordine alfabetico:

    intenernet explorer


    fine della lista
    non+autenticato
  • - Scritto da: Undertaker
    > - Scritto da: rotfl
    > > Ovviamente non si fa neanche menzione del fatto
    > > che quegli iframe sono "presenti" sul sito di
    > > Zdnet sono perche' questo e' (o meglio, era)
    > > vulnerabile a cross-site scripting. Che dire,
    >
    > ovviamente non si fa neanche menzione che i
    > browser vulnerabili sono elencati nella lista qui
    > sotto, in ordine
    > alfabetico:
    >
    > intenernet explorer
    >
    >
    > fine della lista

    solite cazzate scritte dal solito cantinaro geloso del successo di IE la lista è molto più lunga:

    internet explorer 8
    internet explorer 7
    internet explorer 6
    internet explorer 5.5
    internet explorer 5

    e smettiamola di scrivere cazzate solo per attaccare il Bill nazionale
    non+autenticato
  • - Scritto da: quoto
    > e smettiamola di scrivere cazzate solo per
    > attaccare il Bill
    > nazionale

    Si, bel discorso, ma... Bill G. non è italiano!!! A bocca aperta

    Fan Linux
  • - Scritto da: Il Pinguino
    > - Scritto da: quoto
    > > e smettiamola di scrivere cazzate solo per
    > > attaccare il Bill
    > > nazionale
    >
    > Si, bel discorso, ma... Bill G. non è italiano!!!
    >
    >A bocca aperta
    >
    > Fan Linux

    bah... volevo fare della satira, ma evidentemente non tutti la riescono a capire, ormai sono troppi anni che non se ne fa più da queste parti
    non+autenticato