Blog

Usa Google per scoprire se ti hanno hackerato il sito


Se si usano cms open source e non si è attenti agli aggiornamenti e alla sicurezza, si può essere bucati. Spesso in maniera invisibile. Google ci può aiutare a rilevarlo.
Questo post non era previsto. Ma come ogni tanto mi capita, sono incappato in qualcosa di interessante, mentre facevo altro ed ho deciso di raccontarlo.

Sto scrivendo i risultati di una ricerca per la quale ho scaricato ed analizzato decine di migliaia di siti italiani. Studiando i loro HTML ho notato che non pochi sono stati presi di mira dagli hacker.

Edit: in questo post parlo di hacker, e hackeraggio anche se non è la dicitura corretta, perché sono i termini di più facile comprensione per tutti. Però il termine più corretto sarebbe cracker, che è colui che penetra nei sistemi informatici per causare danni. Vi rimando a queste due definizioni di hacker e cracker. Ringrazio +Giorgio Taverniti per avermi suggerito di fare questa precisazione e di aver citato questo articolo nella sua rassegna settimanale Fast Forward su Youtube.

Non intendo fare qui un trattato sulla sicurezza, ma piuttosto far nascere la consapevolezza del problema. La questione riguarda spesso i sistemisti, ma c'è un aspetto che che interessa anche gli sviluppatori e i web designers. Generalmente quando viene bucato un sito spesso avviene sfruttando falle nei cms open source. Esistono migliaia di modi per penetrare in un server, ma generalmente chi butta giù un sito usa quelle falle così comuni che sono l'equivalente di lasciare le chiavi attaccate alla porta di casa. Penetrare un server, se ben protetto, può essere un lavoro lungo, e necessita un sacco di know-how. E c'è l'interesse di farlo con uno scopo ben preciso, come lo spionaggio industriale o le operazioni di intelligence.

Ma chi buca un sito, generalmente quando lo fa, non ha un grande interesse su chi è la vittima malcapitata. Se sto cercando di rubare un progetto alla Microprogram SPA, cerco per forza di entrare nei suoi server. Ma se sto cercando di far vedere ad un amico quando sono bravo a bucare i siti, un sito vale l'altro. Sicuramente non è una cosa ridicola come mostrata nei film di Hollywood, dove il programmatore o l'hacker battono sulla tastiera a velocità assurda. Sicuramente non qualcosa tipo questa:


Codice Swordfish

Se devi penetrare nei server del dipartimento di difesa di certo non ci vogliono due minuti. Ci vuole tempo, ragionamento, impegno e non è detto che ci si riesca. Cosa che non avviene quando qualcuno cerca di bucare il sito della pizzeria Pizza e Fichi. Quello che avviene è che vengono cercati, con dei programmi, o anche con Google, siti che abbiano commesso grandi ingenuità. L'equivalente di lasciare le chiavi attaccate alla toppa della porta. Cose del tipo, lasciare nei commenti in html le password di accesso al database, oppure usare come password 00000000 o admin, oppure usare plugin per il cms che abbiano falle conosciute.

Ho notato nei siti bucati che ho trovato, che ci sono due tipologie di scopi per questo genere di attività:
  • il defacing, ovvero levare il sito esistente e sostituirlo con un altro
  • oppure iniettare dell'html invisibile per l'utente, ma visibile per i motori di ricerca, per cercare di avere vantaggi a livello SEO

Defacing

Il defacing è una operazione abbastanza drastica, la vittima si vedrà sostituito tutto il sito con uno nuovo. Scoprirlo è facilissimo, accedendo al proprio sito si ottiene qualcosa del genere:

Albergo stipino hackerato
Homepage ad oggi di http://www.albergostipino.it/

Quella che vedete è l'homepage di http://www.albergostipino.it/ nel momento in cui scrivo. Ben diversa da quello che ci aspetteremmo per un albergo. Ed invece troviamo il frutto del lavoro di dei rivoluzionari da salotto, che defacciano i siti per propaganda politica. Nella maggior parte dei casi è questo il motivo, o propaganda, oppure una semplice dimostrazione, per mostrare ai propri amici quanto si è bravi. Per molti stati del mondo, Italia compresa, questa operazione è un reato, anzi più di uno a dire la verità nel nostro paese (Violazione informatica, Danneggiamento, Diffamazione).
Ovviamente rilevare una intrusione del genere è abbastanza facile. Si entra sul sito e si vede. In alcuni casi invece la modifica non avviene su tutto il sito, ma solo su qualche pagina, oppure viene solo introdotta qualche pagina nuova. Ed in questo caso è più difficile accorgersene. Però se ne può accorgere Google. E si può sfruttare il fatto che chi fa questo tipo di hacking, è come un graffitaro. Vuole farsi vedere. Ne parleremo fra un poco.

Iniezione di HTML

Questo è il caso più frequente che ho rilevato durante le mie analisi, ed è anche il più pericoloso. Perché viene iniettato l'HTML nei siti?

Il motivo è molto semplice. Per inserire dei link.

I link sono un aspetto ancora fondamentale nel ranking dei siti sui motori di ricerca. Per dirla in poche parole, un sito verrà considerato importante se ottiene dei link da altri siti, ancora meglio se sono siti a tema. È un principio simile a quello che viene applicate alle ricerche scientifiche. Una ricerca scientifica risulta tanto più importante, quanto è citata da altre ricerche. Per chi volesse approfondire l'argomento può leggere questo articolo sul PageRank. Per questo motivo, alcuni siti cercano di acquisire link in maniera artificiale, anche superando il limite della legalità, per raggiungere una maggiore visibilità sui motori di ricerca. E quindi bucano altri siti per inserire dei link.

Però è una pratica rischiosa, perché la creazione di tanti link artificiali è una pratica combattuta dai motori di ricerca ed identificata come spam. Potrebbe quindi potrebbe portare ad una penalizzazione o peggio ancora ad una esclusione (ban) del sito che si sta cercando di spingere.

E quindi ho notato l'uso molto frequente uno schema a due livelli, che vi spiego, mostrandovi effettivamente un caso reale.

Il sito cultura.it è stato bucato e lo è tutt'ora nel momento in cui scrivo. È un sito realizzato con Wordpress. In esso sono state create una serie di pagine non collegate all'albero di navigazione del sito e quindi difficilmente rilevabili dagli amministratori.

Una delle nuove pagine è a questo indirizzo http://cultura.it/?q=viagra_azione (volutamente non inserisco il link, non vorrei che Google pensi che questo sito sia stato bucato), che si presenta come una pagina di testo sul cialis che potete vedere in questa cattura:

cultura.it pagina viagra

Appena finito il caricamento della pagina, tramite javascript, viene inserito in sovraimpressione un nuovo layout costituito da immagini che mostra un e-commerce di prodotti farmaceutici.

cultura.it pagina dummy viagra

Cliccando da qualunque parte si viene ridirezionati al vero sito che vende questi prodotti. Questo è il primo livello.

Il secondo livello, è costituito da centinaia di siti che sono stati bucati per portare link alla pagina http://cultura.it/?q=viagra_azione (ed altre come questa, posizionate su parole chiave diverse) allo scopo aumentarne il PageRank. Inizialmente queste pagine acquistano rilevanza sul motore di ricerca portando traffico che poi viene mandato, tramite il click sul layout dell'immagine qui sopra al vero e-commerce che vende questi prodotti (anche in questo caso illegalmente, visto che i farmaci devono essere acquistati in farmacia con prescrizione medica).

Secondo lo strumento di rilevamento di backlink Majestic Seo, il numero di backlink ricevuti da cultura.it è esploso nelle ultime tre settimane. Nel momento in cui scrivo ci sono oltre 4 milioni di link da oltre 1.100 domini diversi. Questo è l'andamento dei back link ricevuti:

backlink di cultura.it

Risulta evidente dal grafico, che qualcosa di anomalo è successo. Dal 10 aprile, sono rilevati da un minimo di 200 mila, ad un massimo di 400 mila nuovi backlink al giorno. Che vengono tutti da siti che sono stati bucati a loro volta. Link che vengono sia da siti italiani che da siti stranieri.

Un esempio lo possiamo vedere sul sito dell'Hotel Lagorai. Se cliccate sul link, non trovate nulla di strano. Un homepage come tante altre. Se guardate l'html, c'è qualcosa di ben diverso:

Hotel Lagorai bucato

Questo sito è stato realizzato usando Joomla. Ed è stato bucato anch'esso. Nell'html troviamo decine di link verso cultura.it ed anche verso altri siti che hanno ricevuto lo stesso trattamento di cultura.it. Tutti invisibili per l'utente sulla pagina.

Un'altro esempio di sito che manda link a cultura.it è un sito straniero, realizzato con Wordpress, Social Drive. Questo è un sito di esperti nel campo del social media, quindi stiamo parlando di qualcuno che lavora nella rete. Ma sono stati bucati anche loro, come vedete dal loro HTML:

Social drive hacked

Anche qui possiamo vedere centinaia di link verso siti bucati.

Nella maggior parte dei casi che sto analizzando i siti bucati utilizzano cms open source come Joomla o Wordpress. Il motivo è evidente. Sono diffusissimi, ci sono decine di milioni di siti che utilizzano questi sistemi. Le falle possono essere presenti sia nel cms, sia nei temi, sia nei plugin, sia nella password ridicole scelte dagli amministratori. Ovviamente basta trovare una piccola falla, e vista la diffusione, ecco pronti migliaia di siti pronti per essere bucati. Questo non significa che un cms closed source o custom (come quello di questo sito) sia più sicuro. Ma è evidente che chi cerca falle, lo fa dove ci sono più pesci da pescare, poi il fatto che il codice si open rende più facile le cose.

I problemi dei siti bucati

Essere stati bucati provoca dei problemi abbastanza gravi, che necessitano l'intervento di più figure professionali. E quindi aver trascurato prima la sicurezza per questione di costi prima, può portare a spendere più soldi per riparare i danni dopo.

Nel caso del defacciamento il problema principale è di immagine, ed di disservizio per i propri utenti. Nel caso dell'esempio citato sopra di http://www.albergostipino.it, defacciato da almeno due settimane, nel momento in cui scrivo, e che qualunque possibile cliente non può avere alcuna informazione sull'albergo e quindi chiunque fosse arrivato sul sito per vedere la location e fare una prenotazione sicuramente si sposterebbe su altre strutture ricettive.

In questo caso non basta solo ripristinare un backup del sito (lo state facendo, vero???), ma trovare la falla che ha permesso l'intrusione per non ritrovarsi il sito bucato di nuovo nel prossimo futuro. Per capirlo ovviamente serve un esperto, perché la causa potrebbe essere nascosta in tanti punti. Probabilmente sono necessarie due figure professionali diverse. Un sistemista che verifichi falle a livello del server, ed un programmatore che sia esperto nel cms usato che potrebbe essere anche lui la causa dell'hacking.

Nel caso dell'iniezione dell'HTML, il problema è decisamente più grave. Perché può ritrovarsi compromessa la visibilità sui motori di ricerca per molto molto tempo. Facciamo il caso di cultura.it.

Qui ci sono due problemi che arriveranno prossimamente. L'hacking ed i backlink artificiali. Nel momento in cui Google rileva l'hacking, avverte gli utenti nei risultati di ricerca che quel sito è stato bucato e che potrebbe dare problemi di sicurezza ai visitatori. È un avviso molto forte, molti utenti sicuramente rinunceranno a cliccare su quel risultato. Inoltre alcuni browser potrebbero bloccare la navigazione, visualizzando qualcosa di simile

Chrome malware warning

Ovviamente se il browser impedisce all'utente di visitare il sito, anche in questo caso si perderanno molti visitatori.

Un altro problema viene dai back link. cultura.it si trova adesso milioni di backlink artificiali. Probabilmente a breve subirà una penalizzazione da parte di Google per web spam. Il che vuol dire che il sito sarà molto più difficile di prima da trovare sul motore di ricerca. Come è noto curare una penalizzazione è una operazione lunga, è che necessità di parecchio tempo. Con gli esiti tutt'altro che certi.

Per risolvere questi problemi occorre un'altra figura professionale, un SEO esperto in penalizzazioni. In che vuol dire ulteriori costi.

Prevenire è meglio che curare

Risulta evidente che la prevenzione è la migliore azione da mettere in campo. Visto che la cura può essere lunga e dolorosa. 

Come si può prevenire? La strada migliore è di evitare di andare sul risparmio assoluto. Sia per quanto riguarda l'hosting sia per quanto riguarda il sito vero e proprio. Molti siti si trovano su un hosting condiviso. È come se si fosse in un condominio. Se qualcuno entra in una delle case del condominio ha meno difficoltà a penetrare nelle altre. Questo vuol dire che avere una macchina propria (virtuale o fisica) permette di avere il pieno controllo. Ovviamente il controllo è nullo, se non si sa cosa si fa. Occorre affidarsi prima di tutto a provider che abbiano hardware per la protezione delle proprie reti interne adeguate, ed occorre avere un sistemista che sappia configurare server e firewall nel modo più opportuno.

Dopodiché occorre andare sul livello software. Non affidarsi a freelance o agenzie improvvisate, prima di tutto. Se vengono usati dei cms open source, è bene usare sempre l'ultima versione, installare solo temi e plugin noti per la loro affidabilità dal punto della sicurezza e soprattutto rendersi conto che se ci si affida a sistemi di così ampia diffusione occorre eseguire una manutenzione periodica, per installare gli aggiornamenti rilasciati che correggono le falle rilevate dagli sviluppatori. E questo vale sia per il lato sistemistico che per il lato software.

Per quanto riguarda Wordpress, posso consigliare l'ascolto di un hangout prodotto dagli amici di WpItalyPlus, con protagonisti +Massimo della RovereAndrea Barghigiani, Enea Overclokk e Eugenio Petullà, dove affrontano i principali punti per curare la sicurezza del cms più diffuso del mondo.



Usare Google per rilevare l'hacking di un sito

Una tecnica, più facile da usare, e più può avere una maggiore diffusione. Questa è facilissima, e basta usare Google. La prevenzione è importante come abbiamo detto. Ma non ci dà la certezza di non ritrovarsi con il sito bucato. L'unico computer sicuro è un computer scollegato dalla rete e spento. Per questo è bene fare una ronda periodica del proprio sito. Ovviamente controllare il server, il database ed il codice può essere una operazione lunga. Tempo = denaro e quindi è facile che venga trascurata. Per questo possiamo sfruttare il più grande guardone del mondo, Google. Ogni santo giorno, si esplora il nostro sito. I due tipi di buchi più frequenti di cui abbiamo parlato sono fatti allo scopo di farsi notare da chi ama guardare. E quindi Google è perfetto per questo.

NOTA BENE. Che sia chiaro. Quello che sto per suggerire, non vi da la certezza di rilevare un buco, ma solo di rilevare quelli più frequenti che ho trovato su decine di siti.

EDIT: tutte le prossime query suggerite eseguitele su Google disattivando il SafeSearch, altrimenti si potrebbero avere risultati falsati. Ringrazio per il suggerimento +Andrea Leardini.

Se il vostro sito è www.dominio.it e volete rilevare un defacciamento, allora molto semplicemente cercate su Google
hacked site:dominio.it
Come ho detto agli hacker piace vantarsi e firmare come graffitari le loro opere con un bel hacked by.

Nel caso invece vogliate cercare una iniezione di HTML allora potete provare le seguenti ricerche, cercando le parole più frequenti in questo tipo di pratiche

viagra site:dominio.it
cialis site:dominio.it
rolex site:dominio.it
vuitton site:dominio.it
replica site:dominio.it
porn site:dominio.it
sex site:dominio.it

Nel caso non abbiate voglia di verificare periodicamente queste query, potete impostare un Alert su Google per ciascuna di queste interrogazioni. In questo modo, Google vi avvertirà via mail, quando uno di questi avvisi rileverà dei risultati.

Nel caso siate scettici, posso darsi una prova live. Nel momento in cui scrivo, eseguendo
intitle:"HACKED BY" inurl:comune

trovo parecchi risultati e molti di questi sono pagine di siti di comuni italiani che sono stati hackerate.
Mentre se cerco

"viagra" inurl:comune

anche in questo caso abbiamo tantissimi risultati dove nell'url è presente la parola comune e nel testo la parola viagra. Diversi di questi sono effettivamente siti di comuni italiani. Fate attenzione, in diversi casi, potreste entrare nel sito e non trovare nulla nell'HTML. Questo è normale. Gli amministratori potrebbero aver rilevato il problema ed averlo risolto. Prima che Google abbia aggiornato il suo indice. Oppure in alcuni casi si tratta di semplice comment spam.

A questo suggerimento potete anche aggiungere gli accorgimenti suggeriti da +Enrico Altavilla in questo post



Se volete poi potete sbizzarrirvi andando a visitare il Google Hacking Database. Qui potete trovare centinaia di interrogazioni con cui potete evidenziare vulnerabilità di un sito. Sono tante vero? Penso che occorra fare un pensierino prima di decidere di trascurare la sicurezza.

Ho parlato di questo ed altri argomenti assieme a +Enrico Altavilla e a +Martino Mosna in un hangout disponibile su YouTube.




Post correlati:

Copyrights © 2011-2019 Tutti i diritti riservati - by Ideativi Srl