Chi era presente all’ESC durante la presentazione di “GoogleTistic e WordPressTistic: le statistiche che nessuno avrebbe mai voluto mostrarvi” sicuramente si ricorderà come le installazioni di WordPress nella blogosfera italiana non siano sicure e ancor meno aggiornate a versioni recenti.
Ovvio che il problema non è solo sulla blogosfera italiana, ma su quella mondiale.

Può capitare, anche se non dovrebbe, che utenti non troppo esperti non aggiornino la propria piattaforma per paura che un plug-in o l’intero blog smetta di funzionare. Nessuna scusante è data però agli addetti ai lavori.
Anche se esiste il detto “Il calzolaio ha le scarpe rotte” chi si occupa di Web a tempo pieno o ancor peggio di sicurezza non si può permettere la compromissione della propria piattaforma.

Vedere blog di sicurezza informatica con versioni di WordPress di un anno fa non è una bella sensazione, figuriamoci a vederli compromessi: la scorsa settimana LightBlueTouchpaper, noto blog del Security Group dell’Università di Cambridge, ha ammesso senza troppi problemi che:

Regular readers may have noticed that Light Blue Touchpaper was down most of today. This was due to the blog being compromised through several WordPress vulnerabilities.

Ieri è successa una cosa simile, annunciata da tempo da LHM (si vedano i commenti nel suo tool per antiblogging): il blog di SecuriTeam è stato compromesso.

Sono stati inseriti link che portano ad un blog (WordPress 2.0.2), ospitato su un sottodominio dell’Università del Michigan, il quale a sua volta è stato compromesso ed usato per ospitare pagine che effettuano redirect verso domini di casinò on-line. Per eludere li spider che passeranno da quelle pagine è stato inserito un testo con alcune keywords e il redirect viene fatto con del codice JS offuscato.

E’ troppo facile gestire un blog pensando solo a scrivere e tralasciando la sua sicurezza in quanto, presunta, roba da ragazzini (in tutti questi casi si tratta di vulnerabilità conosciute e risolte).
Dal punto di vista degli sviluppatori non sarebbe il caso di pensare a rilasci meno frettolosi e a maggiore testing di WordPress visto il bacino di utenza che ha?
Ad ognuno le proprie conclusioni.

Per SEO (Search Engine Optimization) si intendono tutte quelle tecniche (lecite e meno lecite) atte a migliorare il posizionamento, in base a determinate keywords, di un certo dominio sui motori di ricerca.

Già da molto tra esperti in “Web Application Security” e “black hat SEO” si discuteva dell’argomento senza nessuna pubblicazione ufficiale fino a quando XssNews ha reso noto il risultato di un test che ha visto come obiettivo quello di indicizzare un testo generato tramite un XSS (Cross-Site Scripting) sul dominio hackerwatch.org
L’esito dell’esperimento è stato positivo tanto che MSN e Google hanno indicizzato correttamente la stringa.
Google sembra però aver già tolto la pagina di HackerWatch utilizzata per il test, mentre su MSN risulta ancora indicizzata.

L’obiettivo adesso è quello di capire se, oltre al testo, vengono indicizzati pure i link generati tramite XSS. Poter ottenere link in ingresso da domini con alto PageRank grazie alla segnalazione a Google di URL contenenti XSS appositamente costruiti potrebbe far gola a molti, soprattutto ai black hat SEO.

Sono rimasto stupito dal comportamento di MSN e Google; credevo avessero dei filtri per evitare questo tipo di abusi.

Stavo dando un occhiata alla cartella dello spam sul client di posta quando una e-mail attira la mia attenzione:

From: “Glover, Erica” <Spivey6Z@powerplantsystems.com>
To: [random_name]@gmail.com
Date: Sun, 08 Jul 2007 23:39:17 -0500
Subject: Refiance Approval. Sun, 08 Jul 2007 23:39:17 -0500

L’intestazione di per se non ha niente di particolare, è il corpo ad avermi incuriosito:

Please complete your application Sun, 08 Jul 2007 23:39:17 -0500

Tired of paying high interest rates?

Refinaance us lowest rate.

http://www.google.com/search?hl=en&q=easyratemortage+100%+mortgage+refinance&btnI=04Yi9N5jkF

“Absence and death are the same – only that in death there is no suffering.” Theodore Roosevel

La mail non contiene nessuna allegato, la cosa interessante però è il link proposto al destinatario, il quale potrebbe indurre quest’ultimo a fidarsi vedendo il nome di Google.

I furbetti di turno hanno prima fatto indicizzare da Google il sito Web che ospita le pagine di spam, dopodichè hanno individuato quali keywords proponevano, nella lista dei risultati del motore di ricerca, come primo risultato il sito in questione. A questo punto hanno creato una URL che restituisse un codice HTTP (302) di redirect verso il sito di spam servendosi della funzione “Mi sento fortunato” (o nella sua versione inglese “I’m Feeling Lucky”).
Analizzando l’URL si nota il parametro “btnI”, utilizzato da Google proprio per identificare una ricerca di tipo “Mi sento fortunato”. Piccola nota: il parametro può essere valorizza a piacimento.

Confrontando alcune e-mail sono arrivato alla conclusione che in ciascuna viene modificato il soggetto, la parte finale del corpo e il valore del parametro “btnI” dell’URL.

Dopo le precendeti segnalazioni il phishing su Poste Italiane non si è fermato, anzi si è fatto ancora più insistente.

Di recente è cambiata l’impaginazione delle e-mail, alcune con un italiano alquanto ostentato, altre invece sono state confezionate veramente bene.

Ecco alcune esempi:

From: “Poste Italiane” <account@poste.it>
Reply-To: “Poste Italiane” <account@poste.it>
To: xxxxxx@xxxxxx.xxx
Subject: Autenticazione di cliente richiesta

Caro Poste Italiane cliente ,

Eseguiamo attualmente la manutenzione regolare delle nostre misure di sicurezza. Il suo conto è stato scelto a caso per questa manutenzione, e lei sarà adesso portato attraverso una serie di pagine di verifica di identità.
[...]
Se facciamo no riceve la verifica di conto appropriata entro 24 ore, poi presumeremo che questo conto è fraudolento e sarà sospeso. Lo scopo di questa verifica è assicurare che il suo conto non è stato fraudolentamente usato e combattere la frode dalla nostra comunità.

From: “Poste Italiane” <staff@poste.it>
Subject: Aggiorna i tuoi dati
To: undisclosed-recipients:;

Caro cliente Poste.it,

Una nuova gamma completa di servizi online è adesso disponibile !
Per poter usufruire dei nuovi servizi online di Poste.it occorre prima diventare UTENTE VERIFICATO.

Accedi a Poste.it » Accedi ai servizi online di Poste.it e diventa UTENTE VERIFICATO »

L’Assistenza Clienti, dopo aver ricevuto la documentazione e averne verificato la completezza e la veridicità, provvederà immediatamente ad attivare il suo ” Nome Utente Verificato “. Verrai informato telefonicamente di tale attivazione.

To: xxxxxx@xxxx.xxx
Subject: Aggiorna i tuoi dati
From: “Poste Italiane” <staff@poste.it>

Caro cliente Poste.it ,
Il Servizio Tecnico di Poste Italia sta eseguendo un aggiornamento programmato del software al fine di migliorare la qualita’ dei servizi bancari. Le chiediamo di avviare la procedura di conferma dei dati del Cliente. A questo scopo, La preghiamo di cliccare sul link che trover alla fine di questo messaggio

Accedi a Poste.it Acc! edi ai servizi online di Poste.it e verifichi il suo account
Il sistema automaticamente, dopo aver ricevuto la documentazione e averne verificato la completezza e la veridicit provveder immediatamente ad riattivare il suo account.
Grazie della collaborazione Poste.it

Reply-To: <staff@poste.it>
From: “Poste Italiane” <staff@poste.it>
Subject: Il tuo conto di PostePay sara chiuso oggi
To: undisclosed-recipients:;

Il vostro conto sara chiuso perche non lo avete utilizzato nel mese passato.
Se volete annullare la chiusura, dovete verificare le vostre informazioni di utente

Accedi a Poste.it » Accedi ai servizi online di Poste.it e verifica i tuoi dati per continuare usare i nostri servizi!

Dopo che hai verificato i dati riceverai un email di conferma tra 24 ore.

To: xxxxxxxxx@xxxxxxx.xxx
Subject: Communicazione!
From: Poste Italiane <support@poste.it>
Reply-To:

Gentile Cliente,
Abbiamo ricevuto una segnalazione di accredito di Euro 129 ricevuta il giorno 24/4/2007 da UFFICIO POSTALE 13.55 BRANDIZZO. L’accredito è stato temporaneamente bloccato a causa delle fascie orarie, potrà ora essere verificato e successivamente accreditato sul suo conto postale:

Accedi a Poste.it » Acceda al servizio accrediti di Poste.it e verifichi le sue transazioni »

Seguono alcuni URL utilizzati per ospitare le pagine di phishing (httx e l’underscore dopo il dominio o l’ip sono stati aggiunti per sicurezza):

• httx://www.larimer.org_/store/red.html
• httx://71-246.lerstenen.t3.se_/.bancoposta/index.htm
• httx://web2.sbinet.com_/bancopostaonline.poste.it/poste/bpol/bancoposta/formslogin.htm
• httx://216.84.195.93_/www.poste.it/online/bancopostaonline.poste.it/formslogin.htm
• httx://pponline.altervista.org_/priv/bpol/cartepr/index.htm
• http://www.aquitania.co.uk_/gallery/albums/300d1/www.poste.it/formslogin.htm

Analizzando le intestazioni delle e-mail si capisce come esse siano state inviate tramite script ospitati su account, presumibilmente compromessi, e tramite worm che sfruttano il terminale dell’ignara vittima per connettersi a server smtp esteri.

Nelle ultime ore è stata rilevata una nuova variante delle e-mail di spam “Internet Explorer 7.0 Beta”. Tutte quante hanno un link verso un file eseguibile dal nome “update.exe” ospitato su diversi domini.
Per ingannare i filtri anti-spam il testo, inserito nel corpo della mail, è stato racchiuso in tag HTML in modo che ad un loro controllo risultasse una semplice conversazione tra amici e invece all’apertura dell’e-mail con un qualsiasi client di posta venisse visualizzato solamente il link al file eseguibile.

Questi gli header più significativi:

From: <admin@microsoft.com>
To: xxxxx@xxxxxxxxx.xxx
Subject: Internet Explorer 7.0 Beta

Questi i domini, per ora individuati, che ospitano il file eseguibile:

• httx://accentstaffing.com_/images/update.exe
• httx://mikelike.cd_/update.exe
• httx://xoozee.cd_/update.exe
• httx://merzingo.cd_/update.exe
• httx://endfriends.cd_/update.exe
• httx://netdesks.cd_/update.exe
• httx://pleasedostock.hk_/update.exe
• httx://wordcasts.cd_/update.exe
• httx://abyssrecycling.co.uk_/images/update.exe
• httx://bcweblist.com_/images/update.exe
• httx://actorsandactresses.co.uk_/images/update.exe

(httx e l’underscore dopo il TLD sono stati inseriti per sicurezza)

Il primo nella lista, almeno nelle e-mail che ho ricevuto io, è stato quello più utilizzato. Fortunatamente già molti dei domini nella lista sono stati ripuliti e il link al file eseguibile restituisce un errore HTTP 404.

Il consiglio è quello di bloccare i domini sopra riportati tramite il proprio gateway o proxy di rete, oppure in maniera più semplice aggiungere, sul proprio server mail, dei pattern per il riconoscimento delle e-mail provenienti da “admin@microsoft.com” con oggetto “Internet Explorer 7.0 Beta”.
Per eventuali aggiornamenti rifarsi alla segnalazione dell’ISC.