Luca Annunziata

Danchev: preparatevi all'hacking globale

C'Ŕ il motore di ricerca pi¨ famoso del mondo dietro l'ondata di attacchi SQL delle scorse settimane. O meglio, c'Ŕ la capacitÓ di Google di scovare certe vulnerabilitÓ

Roma - Tanti, troppi: 500mila siti tutti in una volta, tutti colpiti nel cuore delle loro attività, in quel database SQL che contiene i record degli utenti e non solo. Come si spiega tutta questa bravura dei black-hat? Si spiega solo pensando a Google, si spiega solo pensando alla capacità del motore di ricerca di indicizzare tutto l'indicizzabile: bug compresi. Ne è convinto persino Dancho Danchev, noto esperto di sicurezza, che parla addirittura di "coda lunga" del cracking.

In futuro sarà bene abituarsi a vedere sempre più spesso replicate queste ondate di infezioni generali: "Colpire centinaia di migliaia di siti si traduce in un enorme potenziale in fatto di aggregazione e abuso di traffico in transito, molto più che concentrandosi su un singolo obiettivo anche se di alto profilo" spiega Danchev. Un'epidemia indotta è più remunerativa, più facile da mettere in piedi e più difficile da debellare: una vittoria su tutti i fronti per i malintenzionati, che non devono fare altro che sfruttare il catalogo quasi sconfinato di Google per prepararsi un lauto pasto.

Non si tratta del primo caso in cui le risorse di BigG vengono tirate in ballo per spiegare certi fenomeni. In questo come in altri casi, tuttavia, Google è solo un tramite: il problema non è il motore di ricerca in sé, il problema sono le risorse indicizzate che sono vittima di errori di configurazione o di semplice trascuratezza nel codice. Scarsa cura per i dettagli, niente url sanitization: e così nelle pagine delle ricerche finiscono elencate migliaia di possibili porte di accesso ad altrettanti domini, da sfruttare con comodo e a proprio piacimento.
Come se ciò non bastasse, il trend mostra che la Cina è sempre più leader in quella particolare e poco meritoria classifica su dove si annida "il male della rete". Anche questa volta erano stati sistemati su server che alloggiano nel paese asiatico i siti zeppi di malware verso cui gli sfortunati navigatori venivano dirottati. Dopo le segnalazioni di rito i webmaster locali hanno provveduto a disattivarli, ma ancora una volta è stata messa in luce la scarsa prevenzione attuata nelle farm mandarine per questo tipo di problematiche.

Questa volta si sarebbe trattato di un'operazione ideata e realizzata tutta in territorio cinese: buona parte del codice, secondo SANS Institute, sarebbe scritto nell'idioma locale, o sarebbe comunque stato realizzato in un ambiente di sviluppo tradotto in cinese. Una volta realizzato lo strumento di attacco, è bastato lanciare una ricerca su Google per scovare migliaia di possibili prede, infettarle e dare inizio alle danze.

Si torna anche a parlare di una spiacevole coincidenza: tutte le macchine infettate montavano Internet Information Services, o la versione del database SQL prodotta da Microsoft. Di coincidenza si tratta, anche se gli attaccanti potrebbero non aver scelto a caso il proprio obiettivo: come spiega l'esperto Jeremiah Grossman, le macchine che montano quel software consentono di iniettare molti comandi con una sola stringa, e dunque risulterebbero più facili da crackare.

Microsoft, da parte sua, tiene a ribadire la sua totale estraneità con quanto accaduto: non di bug, non di falla zero-day si tratta, ma di un semplice caso di trascuratezza del codice. Anche Grossman concorda: "Non si tratta di qualcosa che Microsoft può risolvere con una patch - spiega - Di exploit come questo ne vedremo oggi, domani e anche dopodomani: e da un momento all'altro si potranno trasformare in una nuova ondata". Il problema è anche più grave di quello che potrebbe sembrare. Certo, per il momento la minaccia è stata sventata: ma i server compromessi restano vulnerabili, e se qualcuno decidesse di rilanciare il giochino ci metterebbe poco a riprendere da dove chi l'aveva preceduto aveva lasciato.

Luca Annunziata
24 Commenti alla Notizia Danchev: preparatevi all'hacking globale
Ordina
  • Non siamo piu' negli anni ottanta, nei quali avere il sistema piu' popolare significava essere nel giro dei warez o in generale avere un giro di programmi, mentre il secondo o il terzo incomodo faceva una fatica boia.

    Con internet basta una comunità attiva, anche se distribuita in tutto il mondo, e il software continua ad essere sviluppato e mantenuto per anni.

    Avere una miriade di sistemi diversi rende la vita un bel po' piu' difficile per i crackers. Un exploit deve essere riscritto per ogni famiglia di processori, deve fare i conti con la configurazione della macchina, deve sapere dove sono i files che vuole andare a modificare.

    Avere una miriade di sistemi diversi rende la vita difficile anche all'utente, ma solo se non si seguono gli standard di formato dati e quelli di usabilità di interfaccia utente. Obiettivi questi non impossibili da raggiungere e già raggiunti da linux, dai bsd e, quando apple non fa troppo la rompiballe, da OSX.

    Quindi, la prossima volta che il trollino di turno si lamenta che linux ha troppe distribuzioni, spernacchiatelo. Grazie.
    non+autenticato
  • - Scritto da: Autovacuum
    > Non siamo piu' negli anni ottanta, nei quali
    > avere il sistema piu' popolare significava essere
    > nel giro dei warez o in generale avere un giro di
    > programmi, mentre il secondo o il terzo incomodo
    > faceva una fatica
    > boia.
    >
    > Con internet basta una comunità attiva, anche se
    > distribuita in tutto il mondo, e il software
    > continua ad essere sviluppato e mantenuto per
    > anni.
    >
    > Avere una miriade di sistemi diversi rende la
    > vita un bel po' piu' difficile per i crackers. Un
    > exploit deve essere riscritto per ogni famiglia
    > di processori, deve fare i conti con la
    > configurazione della macchina, deve sapere dove
    > sono i files che vuole andare a
    > modificare.
    >
    > Avere una miriade di sistemi diversi rende la
    > vita difficile anche all'utente, ma solo se non
    > si seguono gli standard di formato dati e quelli
    > di usabilità di interfaccia utente. Obiettivi
    > questi non impossibili da raggiungere e già
    > raggiunti da linux, dai bsd e, quando apple non
    > fa troppo la rompiballe, da
    > OSX.
    >
    > Quindi, la prossima volta che il trollino di
    > turno si lamenta che linux ha troppe
    > distribuzioni, spernacchiatelo.
    > Grazie.
    quoto 100%
    non+autenticato
  • Approvo pure io... non di solo windows si vive
    non+autenticato
  • La colpa è di chi non nasconde certe informazioni a Google, non di Google.
    Google mette a disposizione gli strumenti informativi per sapere come non indicizzare alcune pagine o file online.
    Continuate a pagare uno per fare il lavoro di dieci.

    Chi semina Vento raccoglie Tempesta.
    H5N1
    1641
  • Hai ragione.
    Gente che pubblica le query SQL o che non fa l'escape dei parametri dovrebbe essere arrestata A bocca aperta
    non+autenticato
  • - Scritto da: antonio
    > Hai ragione.
    > Gente che pubblica le query SQL o che non fa
    > l'escape dei parametri dovrebbe essere arrestata
    > A bocca aperta
    http://www.comune.livorno.it/toponomastica/Strada_...


    ecco il 1o
    non+autenticato
  • sagerato...
    non+autenticato
  • Esagerato io?
    In che mondo vivi?
    Sistemisti che si improvvisano sviluppatori (o sono costretti a farlo), sviluppatori che si improvvisano tecnici hardware e periti elettronici che fanno i sistemisti. In Italia come all'estero.

    Per la cronaca: mi includo nella lista, ma ho bisogno di lavorare (purtroppo non posso sposare la figlia di Berlusconi)
    H5N1
    1641
  • - Scritto da: H5N1
    > Sistemisti che si improvvisano sviluppatori (o
    > sono costretti a farlo)

    Oddio, e' vero anche il contrario! Occhiolino
  • Peccato che la tempesta la raccolgano i malcapitati utenti del sito e non i titolari o gli amministratori dello stesso.
    Secondo me fra qualche anno (o decennio) verrà istituita una sanzione economica per i siti che in qualche modo infettano i visitatori, anche se i gestori non c'entrano niente, cioè sono stati hackati o "iniettati". Solo allora diverrà conveniente fare i siti per bene e investire qualche soldo nella qualità del codice.
    Personalmente penso sia utile anche il blocco delle attività internet dei PC zombie. Chi è stato infettato e fa parte di una bot-net DEVE essere messo in quarantena (limitazione della banda, del traffico email ...) per il bene della rete.
    non+autenticato
  • magari evitare che questi computer vengano infettati non sarebbe meglio?
    tu ragioni come hitler, cosa vuoi creare una razza ariana di pc e siti web?
    non+autenticato
  • - Scritto da: systemax
    > magari evitare che questi computer vengano
    > infettati non sarebbe
    > meglio?

    Sarebbe meglio, ma mi sembra molto più difficile e dispendioso. (a meno di non costringere tutta l'utenza a passare a Linux o Mac)

    > tu ragioni come hitler, cosa vuoi creare una
    > razza ariana di pc e siti
    > web?

    Quando non si hanno argomenti, si dà del nazista all'interlocutore.
    Io invece non ci vedo nulla di male a impedire ai bot di nuocere.
    I padroni dei bot si troverebbero un PC temporaneamente limitato, ma basterebbe ripulirlo per tornare operativi. Cosa che, senza essere costretti, non avrebbero mai fatto.
    Funz
    13032
  • Ma quale razza ariana di PC.
    Pensa al traffico cittadino; se chiunque potesse circolare con qualsiasi scardozzo di veicolo che imbratta le strade di olio e l'aria di fumi tossici, o con freni artigianali o senza fari e via dicendo, sarebbe un delirio, giusto ?
    E infatti esistono regole che impediscono la circolazione ai veicoli non omologati, non collaudati, che intralciano o che creano pericolo alla circolazione.
    Il legislatore era evidentemente un nazista che ha voluto creare "una razza ariana" di vetture. Addirittura ha voluto creare una razza ariana di automobilisti impedendo a chi non ha la patente di guidare veicoli a motore.

    Io non arriverei a imporre l'obbligo di patente per circolare in internet, ma se il tuo computer fa danni agli altri LO DEVI RIPARARE. Ci vai dal meccanico a collaudare la macchina ogni 2 anni? Bene. Andrai anche dal ComputerShop a farti riparare il PC se è infetto.
    Cosa c'è di male?
    non+autenticato
  • - Scritto da: Toshiro Mifune
    > Ma quale razza ariana di PC.
    > Pensa al traffico cittadino; se chiunque potesse
    > circolare con qualsiasi scardozzo di veicolo che
    > imbratta le strade di olio e l'aria di fumi
    > tossici, o con freni artigianali o senza fari e
    > via dicendo, sarebbe un delirio, giusto
    > ?
    > E infatti esistono regole che impediscono la
    > circolazione ai veicoli non omologati, non
    > collaudati, che intralciano o che creano pericolo
    > alla
    > circolazione.
    > Il legislatore era evidentemente un nazista che
    > ha voluto creare "una razza ariana" di vetture.
    > Addirittura ha voluto creare una razza ariana di
    > automobilisti impedendo a chi non ha la patente
    > di guidare veicoli a
    > motore.
    >
    > Io non arriverei a imporre l'obbligo di patente
    > per circolare in internet, ma se il tuo computer
    > fa danni agli altri LO DEVI RIPARARE. Ci vai dal
    > meccanico a collaudare la macchina ogni 2 anni?
    > Bene. Andrai anche dal ComputerShop a farti
    > riparare il PC se è
    > infetto.
    > Cosa c'è di male?

    Quoto tutto.
    non+autenticato
  • Avete scoperto l'acqua calda !!!

    E' dal 2000 che si sa almeno, il google Hacking è da un pezzo che esiste, esattamente come l'SQL Injection che su applicazioni ASP regna proprio sovrano, visto che perlomeno PHP se settato nel php.ini fa l'addslashes in automaatico sui parametri passati !!!!
    non+autenticato
  • Tu si che la sai lunga
    non+autenticato