Tanti, troppi: 500mila siti tutti in una volta, tutti colpiti nel cuore delle loro attività, in quel database SQL che contiene i record degli utenti e non solo. Come si spiega tutta questa bravura dei black-hat? Si spiega solo pensando a Google, si spiega solo pensando alla capacità del motore di ricerca di indicizzare tutto l’indicizzabile : bug compresi. Ne è convinto persino Dancho Danchev , noto esperto di sicurezza, che parla addirittura di “coda lunga” del cracking.
In futuro sarà bene abituarsi a vedere sempre più spesso replicate queste ondate di infezioni generali : “Colpire centinaia di migliaia di siti si traduce in un enorme potenziale in fatto di aggregazione e abuso di traffico in transito, molto più che concentrandosi su un singolo obiettivo anche se di alto profilo” spiega Danchev. Un’epidemia indotta è più remunerativa , più facile da mettere in piedi e più difficile da debellare: una vittoria su tutti i fronti per i malintenzionati, che non devono fare altro che sfruttare il catalogo quasi sconfinato di Google per prepararsi un lauto pasto.
Non si tratta del primo caso in cui le risorse di BigG vengono tirate in ballo per spiegare certi fenomeni. In questo come in altri casi, tuttavia, Google è solo un tramite : il problema non è il motore di ricerca in sé, il problema sono le risorse indicizzate che sono vittima di errori di configurazione o di semplice trascuratezza nel codice. Scarsa cura per i dettagli , niente url sanitization : e così nelle pagine delle ricerche finiscono elencate migliaia di possibili porte di accesso ad altrettanti domini, da sfruttare con comodo e a proprio piacimento.
Come se ciò non bastasse, il trend mostra che la Cina è sempre più leader in quella particolare e poco meritoria classifica su dove si annida “il male della rete”. Anche questa volta erano stati sistemati su server che alloggiano nel paese asiatico i siti zeppi di malware verso cui gli sfortunati navigatori venivano dirottati. Dopo le segnalazioni di rito i webmaster locali hanno provveduto a disattivarli, ma ancora una volta è stata messa in luce la scarsa prevenzione attuata nelle farm mandarine per questo tipo di problematiche.
Questa volta si sarebbe trattato di un’operazione ideata e realizzata tutta in territorio cinese: buona parte del codice, secondo SANS Institute, sarebbe scritto nell’idioma locale, o sarebbe comunque stato realizzato in un ambiente di sviluppo tradotto in cinese. Una volta realizzato lo strumento di attacco, è bastato lanciare una ricerca su Google per scovare migliaia di possibili prede , infettarle e dare inizio alle danze.
Si torna anche a parlare di una spiacevole coincidenza: tutte le macchine infettate montavano Internet Information Services, o la versione del database SQL prodotta da Microsoft. Di coincidenza si tratta , anche se gli attaccanti potrebbero non aver scelto a caso il proprio obiettivo: come spiega l’esperto Jeremiah Grossman, le macchine che montano quel software consentono di iniettare molti comandi con una sola stringa, e dunque risulterebbero più facili da crackare.
Microsoft, da parte sua, tiene a ribadire la sua totale estraneità con quanto accaduto: non di bug, non di falla zero-day si tratta, ma di un semplice caso di trascuratezza del codice . Anche Grossman concorda: “Non si tratta di qualcosa che Microsoft può risolvere con una patch – spiega – Di exploit come questo ne vedremo oggi, domani e anche dopodomani: e da un momento all’altro si potranno trasformare in una nuova ondata”. Il problema è anche più grave di quello che potrebbe sembrare. Certo, per il momento la minaccia è stata sventata: ma i server compromessi restano vulnerabili , e se qualcuno decidesse di rilanciare il giochino ci metterebbe poco a riprendere da dove chi l’aveva preceduto aveva lasciato.
Luca Annunziata