Chill-Out
30-04-2008, 17:24
Mercoledì 30 Aprile 2008
Roma - Tanti, troppi: 500mila siti tutti in una volta, tutti colpiti (http://punto-informatico.it/p.aspx?i=2268192) nel cuore delle loro attività, in quel database SQL che contiene i record degli utenti e non solo. Come si spiega tutta questa bravura dei black-hat? Si spiega solo pensando a Google, si spiega solo pensando alla capacità del motore di ricerca di indicizzare tutto l'indicizzabile: bug compresi. Ne è convinto persino Dancho Danchev, noto esperto di sicurezza, che parla addirittura di "coda lunga" del cracking.
In futuro sarà bene abituarsi a vedere sempre più spesso replicate queste ondate di infezioni generali (http://punto-informatico.it/p.aspx?i=2031878): "Colpire centinaia di migliaia di siti si traduce in un enorme potenziale in fatto di aggregazione e abuso di traffico in transito, molto più che concentrandosi su un singolo obiettivo anche se di alto profilo" spiega (http://www.forbes.com/technology/2008/04/28/hackers-google-china-tech-security-cx_ag_0428hack.html?feed=rss_technology) Danchev. Un'epidemia indotta è più remunerativa, più facile da mettere in piedi e più difficile da debellare: una vittoria su tutti i fronti per i malintenzionati, che non devono fare altro che sfruttare il catalogo quasi sconfinato di Google per prepararsi un lauto pasto.
Non si tratta del primo caso (http://punto-informatico.it/p.aspx?i=2221933) in cui le risorse di BigG vengono tirate (http://punto-informatico.it/p.aspx?i=2174535) in ballo per spiegare certi fenomeni. In questo come in altri casi, tuttavia, Google è solo un tramite: il problema non è il motore di ricerca in sé, il problema sono le risorse indicizzate che sono vittima di errori di configurazione o di semplice trascuratezza nel codice. Scarsa cura per i dettagli (http://blog.wired.com/monkeybites/2008/04/microsoft-datab.html), niente url sanitization: e così nelle pagine delle ricerche finiscono elencate migliaia di possibili porte di accesso ad altrettanti domini, da sfruttare con comodo e a proprio piacimento.
Come se ciò non bastasse, il trend mostra che la Cina è sempre più leader in quella particolare e poco meritoria classifica su dove si annida (http://punto-informatico.it/p.aspx?i=2192724) "il male della rete". Anche questa volta erano stati sistemati su server che alloggiano nel paese asiatico i siti zeppi di malware verso cui gli sfortunati navigatori venivano dirottati. Dopo le segnalazioni di rito i webmaster locali hanno provveduto a disattivarli, ma ancora una volta è stata messa in luce la scarsa prevenzione attuata nelle farm mandarine per questo tipo di problematiche.
Questa volta si sarebbe trattato di un'operazione ideata e realizzata tutta in territorio cinese: buona parte del codice, secondo SANS Institute, sarebbe scritto nell'idioma locale, o sarebbe comunque stato realizzato in un ambiente di sviluppo tradotto in cinese. Una volta realizzato lo strumento di attacco, è bastato lanciare una ricerca su Google per scovare migliaia di possibili prede, infettarle e dare inizio alle danze.
Si torna anche a parlare di una spiacevole coincidenza: tutte le macchine infettate montavano Internet Information Services, o la versione del database SQL prodotta da Microsoft. Di coincidenza si tratta, anche se gli attaccanti potrebbero non aver scelto a caso il proprio obiettivo: come spiega l'esperto Jeremiah Grossman, le macchine che montano quel software consentono di iniettare molti comandi con una sola stringa, e dunque risulterebbero più facili da crackare.
Microsoft, da parte sua, tiene a ribadire (http://news.yahoo.com/s/cmp/20080429/tc_cmp/207402562) la sua totale estraneità con quanto accaduto: non di bug, non di falla zero-day si tratta, ma di un semplice caso di trascuratezza del codice. Anche Grossman concorda: "Non si tratta di qualcosa che Microsoft può risolvere con una patch - spiega - Di exploit come questo ne vedremo oggi, domani e anche dopodomani: e da un momento all'altro si potranno trasformare in una nuova ondata". Il problema è anche più grave di quello che potrebbe sembrare. Certo, per il momento la minaccia è stata sventata: ma i server compromessi restano vulnerabili, e se qualcuno decidesse di rilanciare il giochino ci metterebbe poco a riprendere da dove chi l'aveva preceduto aveva lasciato.
Autore: Luca Annunziata
Fonte: Punto Informatico (http://punto-informatico.it/p.aspx?i=2270850)
Roma - Tanti, troppi: 500mila siti tutti in una volta, tutti colpiti (http://punto-informatico.it/p.aspx?i=2268192) nel cuore delle loro attività, in quel database SQL che contiene i record degli utenti e non solo. Come si spiega tutta questa bravura dei black-hat? Si spiega solo pensando a Google, si spiega solo pensando alla capacità del motore di ricerca di indicizzare tutto l'indicizzabile: bug compresi. Ne è convinto persino Dancho Danchev, noto esperto di sicurezza, che parla addirittura di "coda lunga" del cracking.
In futuro sarà bene abituarsi a vedere sempre più spesso replicate queste ondate di infezioni generali (http://punto-informatico.it/p.aspx?i=2031878): "Colpire centinaia di migliaia di siti si traduce in un enorme potenziale in fatto di aggregazione e abuso di traffico in transito, molto più che concentrandosi su un singolo obiettivo anche se di alto profilo" spiega (http://www.forbes.com/technology/2008/04/28/hackers-google-china-tech-security-cx_ag_0428hack.html?feed=rss_technology) Danchev. Un'epidemia indotta è più remunerativa, più facile da mettere in piedi e più difficile da debellare: una vittoria su tutti i fronti per i malintenzionati, che non devono fare altro che sfruttare il catalogo quasi sconfinato di Google per prepararsi un lauto pasto.
Non si tratta del primo caso (http://punto-informatico.it/p.aspx?i=2221933) in cui le risorse di BigG vengono tirate (http://punto-informatico.it/p.aspx?i=2174535) in ballo per spiegare certi fenomeni. In questo come in altri casi, tuttavia, Google è solo un tramite: il problema non è il motore di ricerca in sé, il problema sono le risorse indicizzate che sono vittima di errori di configurazione o di semplice trascuratezza nel codice. Scarsa cura per i dettagli (http://blog.wired.com/monkeybites/2008/04/microsoft-datab.html), niente url sanitization: e così nelle pagine delle ricerche finiscono elencate migliaia di possibili porte di accesso ad altrettanti domini, da sfruttare con comodo e a proprio piacimento.
Come se ciò non bastasse, il trend mostra che la Cina è sempre più leader in quella particolare e poco meritoria classifica su dove si annida (http://punto-informatico.it/p.aspx?i=2192724) "il male della rete". Anche questa volta erano stati sistemati su server che alloggiano nel paese asiatico i siti zeppi di malware verso cui gli sfortunati navigatori venivano dirottati. Dopo le segnalazioni di rito i webmaster locali hanno provveduto a disattivarli, ma ancora una volta è stata messa in luce la scarsa prevenzione attuata nelle farm mandarine per questo tipo di problematiche.
Questa volta si sarebbe trattato di un'operazione ideata e realizzata tutta in territorio cinese: buona parte del codice, secondo SANS Institute, sarebbe scritto nell'idioma locale, o sarebbe comunque stato realizzato in un ambiente di sviluppo tradotto in cinese. Una volta realizzato lo strumento di attacco, è bastato lanciare una ricerca su Google per scovare migliaia di possibili prede, infettarle e dare inizio alle danze.
Si torna anche a parlare di una spiacevole coincidenza: tutte le macchine infettate montavano Internet Information Services, o la versione del database SQL prodotta da Microsoft. Di coincidenza si tratta, anche se gli attaccanti potrebbero non aver scelto a caso il proprio obiettivo: come spiega l'esperto Jeremiah Grossman, le macchine che montano quel software consentono di iniettare molti comandi con una sola stringa, e dunque risulterebbero più facili da crackare.
Microsoft, da parte sua, tiene a ribadire (http://news.yahoo.com/s/cmp/20080429/tc_cmp/207402562) la sua totale estraneità con quanto accaduto: non di bug, non di falla zero-day si tratta, ma di un semplice caso di trascuratezza del codice. Anche Grossman concorda: "Non si tratta di qualcosa che Microsoft può risolvere con una patch - spiega - Di exploit come questo ne vedremo oggi, domani e anche dopodomani: e da un momento all'altro si potranno trasformare in una nuova ondata". Il problema è anche più grave di quello che potrebbe sembrare. Certo, per il momento la minaccia è stata sventata: ma i server compromessi restano vulnerabili, e se qualcuno decidesse di rilanciare il giochino ci metterebbe poco a riprendere da dove chi l'aveva preceduto aveva lasciato.
Autore: Luca Annunziata
Fonte: Punto Informatico (http://punto-informatico.it/p.aspx?i=2270850)