Il mio sito e' sotto attacco

Negli ultimi anni i problemi di sicurezza dei vari web server, in aggiunta ad una errata programmazione dei siti web ospitati è stato un terreno fertile per hacker e cracker che si sono intrufolati nei sistemi per lasciare il loro zampino creando scompiglio per la rete e per l’incauto visitatore (magari sprovvisto di antivirus) che certo delle sue superbe qualità di esperto utente di computer scarica e salva tutto quello che gli viene proposto senza domandarsi alcunchè.

In tutto questo frangente, i motori di ricerca, sempre più accorti all’esperienza di navigazione, hanno iniziato già tempo a porre un freno, integrando avanzate tecnlogie di scansione e algoritmi vari per avvertire il navigatore del possibile rischio.

Il primo motore a fare questa cosa è stato, manco a dirlo, Google, già dal lontano 2006: hanno seguito Scandoo, e Yahoo!. Molto probabilmente poi, anche gli altri motori (Altavista, Live, ecc) avranno preso le loro precauzioni, ma non voglio metterci la mano sul fuoco, perchè comunque come utente di internet (non come professionista) anche le mie ricerche si limitano all’uso di Google e solo saltuariamente a Yahoo!.

C’è da dire che il team AntiMalware non ha mai smesso di lavorare sulla tecnologia, che all’inizio sapeva un pò di gruviera, tanto è che a Maggio 2008, sul blog ufficiale di Google appare la notizia del riscatto.

Indipendentemente da tutto, non ho mai avuto modo di trovare nei risultati proposti dal Big Motore segni rilevante di icone o altro che indicassero la possibilità di rischio come invece avveniva (e avviene) per Scandoo e Yahoo!. Molto probabilmente fino ad oggi hanno agito con condizioni di preclusione nell’inserimento del sito contentente i problemi. Onestamente non lo sò.

Al di là di questo, pochi giorni or sono, alla Google hanno ulteriormente migliorato il famoso Webmaster Tool. Ora per ognuno dei siti registrati all’interno del Tool, in presenza di problemi di malware/spyware rilevati dal motore (il cui avviso dovrebbe comparire nella sezione diagnostica) è possibile chiedere la revisione e reinclusione.

Non sono tutte stelle quelle che luccicano.

Non sono stelle tutte quelle che luccicano. Sul medesimo post dove Google diffonde la notizia, leggo di parecchi problemi legati ad una fantomatica scritta che comparirebbe accanto al risultato nella SERP per avvertire il navigatore del potenziale problema.Segnale di avvertimento che dovrebbe, a detta del team, scomparire in un lasso di tempo ragionevole - 24 ore - dalla richiesta di verifica, ma che in alcuni casi ho letto protrarsi fino a tre settimane.

Fintanto che l’allarme è giustificato, per carità, son ben contento che il motore mi aiuti! Ma siamo sicuri di tutto quello che ci dice? E se si presentano poi dei falsi positivi come in questi casi denunciati dagli autori dei vari commenti?

Non vi è stato modo di verificare quanto detto, ma immaginatevi di andare in giro con un cartello sulle spalle con su scritto “asino2, per poi scoprire che l’asino era il vostro compagno di banco che v’ha passato la risposta sbagliata.

Calate questa cosa nell’esempio tipico del sito web che fa uso di javascript di terze parti … e il gioco è fatto.

Come fare per prevenire questi attacchi di badware / malware.

Se dovessi rispondere in maniera tecnica ed esaustiva ad un quesito del genere, dovrei scrivere un altro post al riguardo, e non è detto che non lo faccia prima o poi.

Vi dispenso, invece, alcuni consigli per evitare questo genere di situazione:

  1. Evitate di andare in [hosting][103] da provider decisamente poco affidabili, il cui impegno sul fronte della sicurezza è prossimo allo zero. Come fare per riconoscerli? Così a naso mi viene da dire, se vi fanno pagare per avere un servizio antivirus, speculandoci su, già questo è cattivo segno.
  2. Evitate di usare il primo script javascript che vi passa sotto mano. Di librerie per fare questo o quella cosa ne esistono di tutti i tipi, ma non di rado si scopre che quella gratuita poi, tra le n righe di codice, lascia qualche cookie dannoso.A tal proposito quindi, evitate di usare - se potete - javascript per contantori visite, statistiche free o altro.
  3. Periodicamente controllate i log del vostro sito. Tanto che siate in hosting, quindi in questo caso controllate le statistiche, che siate in housing, quindi controllate i log, grazie a delle verifiche saltuarie potete vedere chi accede, cosa richiede ecc. ecc. Generalmente gli script malevoli attivano un processo di scambio dati in/out che si può scoprire con un’attenta analisi. Prendere provvedimenti sulla o sulle pagine / file incriminati.
  4. Evitate di linkare risorse esterne, facendole puntare direttamente alla risorsa da downlodare. Piuttosto puntate il link verso una pagina che spiega cosa state per scaricare.
  5. Controllate i commenti, se si tratta di un blog, di un forum o di un sito con il guestbook (esistono ancora??) nella quale si può lasciare il proprio feedback che potrebbe essere utilizzato da terzi per creare link a risorse non autorevoli come per il punto quattro.

Infine, se non siete sicuri di come siete stati bollati da Google, collegandovi all’indirizzo http://www.google.com/safebrowsing/diagnostic?site=, potrete verificare lo stato di salute del sito in tempo reale mettendo dopo il segno di uguale la URL del sito che volete controllare, comprensiva di protocollo (http:// o https://).

Se avete commenti o ritenete la lista sopra incompleta, aggiungete una vostra nota.