Spesso parliamo di minacce contro i nostri computer, come proteggersi ed eventualmente come eliminarle. Di norma ci affidiamo a firewalls ed antivirus ma pochi di noi si rendono effettivamente conto che il primo strumento di protezione contro questo tipo di rischi siamo in realtร noi stessi.
Il fattore umano, su cui si basa la stessa pratica del socialย engineering,ย รจ l’elemento piรน imprevedibile di tutti: la nostra intelligenza ed il nostro poter prestare attenzione o meno ai particolari rendono il nostro stesso computer piรน o meno incline ad essere bersaglio di attacchi informatici. Sia chiaro, nessuno di noi รจ completamente immune: a volte anche chi ha studiato computer scienceย fa dei passi falsi o prende sotto gamba una possibile minaccia in entrata (volendo potrei fare vari esempi di falle nella sicurezza anche legate a compagnie che lavorano proprio sulla stessa). Qui, comunque, proveremo assieme a capire come essere in grado di riconoscere dei siti internet pericolosi ricordandoci che non possiamo essere perfetti e, a volte, magari per distrazione o per stanchezza, senza rendercene conto, andiamo ad infognarci in qualche pasticcio.
Ma, prima di tutto, cosa significa imbattersi in un sito compromesso? Spesso questo tipo di siti ha subito una modifica all’interno dei propri script da parte di qualche malintenzionato ed a volte nemmeno il proprietario della pagina ne รจ al corrente. Questi cambiamenti apportati possono essere di varia natura; per esempio, il sito internet puรฒ ridirigerci verso un’altra pagina che ci invita ad inserire i nostri dati, oppure invitarci a scaricare qualche programma, oppure ancora inizializzareย un drive-by-download ovvero, un download automatico senza motivo.
SINTOMI CHE POTREBBERO DIMOSTRARE CHE IL SITO SIA INFETTO:
- Il nostro browser (che esso sia Chrome, Firefox, Safari, Opera, Explorer, etc.) oppure il nostro antivirus blocca il sito a cui vogliamo accedere avvertendoci della sua inaffidabilitร . Per esempio, l’antivirus 360 Total Security (ma anche altri come Avast o Avira, etc.) ci avverte attraverso un’icona colorata sulla nostra barra delle applicazioni
- Il sito รจ stato inserito nella lista nera di Google o aggiunto in altri archivi simili. Questo significa che quando tenteremo di accedere alla pagina si aprirร una finestra che ci avvertirร di fare attenzione. Qui sotto possiamo vedere due esempi che ci avvisano della pericolositร del sito che abbiamo richiesto di aprire:ย
Google, infatti, monitora costantemente attraverso dei sistemi automatizzati possibili attivitร sospette eventualmente bloccandole come mostrato sopra.ย - Il traffico del sito รจ sensibilmente cambiato oppure la sua posizione su Google, o altri motori di ricerca, รจ scesa.
- Il sito non funziona come si deve; presenta schermate con errori ed avvisi.
- Dopo aver visitato un certo sito il computer stesso inizia a mostrare strani sintomi (cosa che potrebbe presentarsi anche dopo un periodo di tempo abbastanza lungo dipendentemente dal tipo di malware che il pc ha “contratto”).
Come possiamo notare dai punti appena visti l’utente dovrร , quindi, semplicemente fare attenzione, non accedere alle pagine segnalate da Google, non scaricare oppure non aprire allegati che hanno avviato un download non richiesto e, soprattutto, nel dubbio fare una bella scansione del proprio pc con un buon antivirus e, giร che ci siamo, pure con Malwarebytes.
Inoltre, non dimentichiamoci la cosa piรน importante: controlliamo sempre di aver scritto propriamente il sito che vogliamo raggiungere senza errori di battitura perchรฉ, altrimenti, potrebbe aprirsi una copia esatta dello stesso ma creata per “catturare” e collezionare i nostri dati.
Ma, cosa fare invece se il sito che รจ stato bloccato e messo nella lista nera da Google รจ proprio il nostro? Cosa fare se, effettivamente, siamo stati noi a subire sulla nostra pagina un attacco?
COSA FARE SE IL NOSTRO SITO RISULTA INFETTO:
Questa sezione riguarda solamente i detentori di siti web e non gli utenti che lo visitano. La prima cosa da fare se, effettivamente, abbiamo scoperto che il nostro sito personale รจ stato attaccato รจ quello di metterloย offlineย (per farlo, normalmente, basta andare sulla pagina di amministrazione e cercare l’opzione specifica oppure utilizzare una pagina index.html vuota). Questo รจ di vitale importanza nel tentativo di arginare la possibilitร che altri utenti vengano a contatto con il sito compromesso infettando, a loro volta, il proprio pc attraverso la nostra pagina web.
Come seconda cosa andremo a controllare i log del nostro sito per vedere se vi sono state attivitร sospette (/var/log/ รจ la directory su cui cercare). Il log, infatti, registra qualsiasi movimento nella nostra pagina. Per esempio, qualche tempo fa un amico si รจ accorto che il suo sito era stato “visitato” e modificato da qualcuno: controllando il suo log abbiamo scoperto che l’attacco, a quanto pareva, era stato generato da un IP cinese. Inoltre, l’accesso al nostroย log permette anche di risalire al codice modificato e di comprendere il modo in cui il nostro sito รจ stato attaccato.
Come atto di prevenzione, inoltre, รจ sempre importante mantenere uno o piรน backup del nostro server, magari su un hardisk esterno, per poterlo ripristinare al volo e cancellare la parte infetta. Inoltre, se effettivamente abbiamo un backup pronto allora l’ideale sarebbe quello di reinstallare una copia aggiornata del software su cui correva il nostro serverย (CMS/CMF, e-commerce system…).
Se, invece, come spesso accade il backup non ce l’abbiamo, perchรฉ o non ci avevamo proprio pensato oppure siamo degli insostenibili pigroni, allora ci resta solamente la possibilitร di effettuare una scannerizzazione con antivirus (รจ possibile, per esempio, scaricare il contenuto del nostro server sul nostro pc ed utilizzare l’antivirus che abbiamo installato) o siti specifici comeย https://sitecheck.sucuri.net/.
A questo punto potremmo aver finito ma, nel malaugurato caso in cui la scannerizzazione non abbia funzionato e non abbiamo un backup, l’unica cosa che ci resta รจ la rimozione manuale del codice infetto il che significa controllare ogni singolo file alla ricerca del codice infetto e rimuoverlo. Questo risulta essere non solo un processo terribilmente lungo ma anche non semplice da attuare per un principiante (in questo caso qualche base sui linguaggi di programmazione รจ necessaria). Non andrรฒ, in questa sede, ad addentrarmi sulle specifiche mosse da farsiย ricercando le parti di codice infetto nei vari file (HTML, PHP, JS, etc.) ma qualche dritta, in inglese, la possiamo trovare su questo link.
Altra cosa importante sarร quella di sincerarsi di aver ripulito tutti i file sul server e fatto una scannerizzazione completa di tutti i computer che sono stati utilizzati per modificare e caricare i contenuti sul server. Inoltre, non dimentichiamoci di cambiare tutte le nostre credenziali compreso login e password dei nostri server accounts.
FONTI:
https://securelist.com/analysis/publications/36534/this-site-may-harm-your-computer-how-to-recognize-and-defeat-website-infections/
http://krebsonsecurity.com/2011/05/krebss-3-basic-rules-for-online-safety/
https://www.stopbadware.org/
http://www.difesa.it/SMD_/Staff/Reparti/II/CERT/Tips_Tricks/Pagine/Rilevare_attacco_Hacker.aspx
http://www.macrowebmedia.it/weblog/sicurezza-siti-internet-e-blog-consigli-pratici/
http://www.google.it/safetycenter/everyone/start/devices/
https://developers.google.com/webmasters/hacked/
https://www.stopbadware.org/blacklisted-by-google
https://support.google.com/websearch/answer/190597?hl=en
Lascia un commento