giovedì 31 marzo 2011

Lizamoon: un attacco di massa

Ieri, Websense ha pubblicato la notizia di un nuovo attacco di tipo SQL Injection di massa. Nella sostanza quello che sta succedendo è che un gran numero di sito vulnerabili in tutto il mondo vengono attaccati e viene inserito uno script che punta al dominio lizamoon.com (da qui il nome che è stato dato a questa campagna). 

Questa campagna appare una tra le più virulente di sempre. 

Ieri i siti colpiti (e indicizzati da Google) erano "solo" 28000, ora, nel momento in cui sto scrivendo, sono oltre 253000. Un gran bel salto visto che sono passate solo 24 ore.

Chiaramente mi sono incuriosito e ho voluto controllare quali siti italiani sono stati attaccati... ho avuto un'amara sorpresa...

Come potete vedere dalle immagini, nel momento in cui scrivo, ci sono oltre 12000 siti attaccati e  indicizzati. Tra questi ci sono anche siti istituzionali.

Giustizia.piemonte.it, procura.siracusa.it, giustizia.abruzzo.it, provincialavoro.roma.it. Oltre a questi anche il sito della fieg che è il sito della federazione della stampa. Solo rimanendo nelle prime due pagine dei risultati di Google.

Un vero problema...

Come al solito farò le mie solite telefonatine...

Per completezza di informazione bisogna dire che ci sono molte "vittime eccellenti" in questa campagna di attacchi. Anche il sito di iTunes è stato attaccato e compromesso; e Google riporta che oltre 2100 domini .gov in tutto il mondo sono stati compromessi.

Insomma un vero problema generalizzato. Ma quali sono i motivi di questo attacco di massa?

Stamattina, secondo ItWire dietro a tutto questo ci sarebbe il tentativo di spingere un falso antivirus (che però sarebbe già stato messo off-line).

Resta il fatto che questo attacco mostra che la sicurezza dei siti Web è veramente sottovalutata in tutto il mondo (che ne dici @wisewisec il tuo DOMintruder aiuterà un po' a far capire quanto tutto questo sia importante?)

6 commenti:

Domenico ha detto...

Ciao Matteo,
complimenti per il blog.Ho scoperto da poco questo tuo spazio.
Secondo il tuo parere è possibile che i recenti accadimenti,compreso questo che riporti siano parte di una strategia globale di attacco?Salutoni.

Gian ha detto...

Piccola riflessione: a conti fatti forse una campagna cosi' efficace e', per chi l'ha organizzata, controproducente. Lo scopo che si voleva raggiungere e' stato (forse) smorzato (in una forma di retroazione involontaria) della sua elevata virulenza.

Stefano ha detto...

Ciao Matteo,

Questi tipi di incidenti sicuramente alzano il livello di consapevolezza sulle problematiche web, come al solito tutto l'aspetto economico e' il motivo trainante.
Come spesso accade finche' non si e' oggetto di attacco si comprendono male i rischi che si corrono soprattutto (ma questo non sembra il caso) quando i siti sono istituzionali e permettono attacchi mirati ai dati.

Spero che il DOMintruder (tool prossimo al rilascio) dara' una spinta in piu' per le tematiche di sicurezza JavaScript e privacy lato browser spesso altrettanto sottovalutata.

..e grazie per la citazione! :)
Stefano - @wisecwisec

Matteo Cavallini ha detto...

Ciao e grazie a tutti per essere stati qui e aver voluto lasciare un vostro commento. Sono sempre molto felice quando succede. Non a caso questo blog si chiama "Conversazioni sulla sicurezza informatica".

Veniamo alle risposte...

@Domenico
Grazie per gli apprezzamenti e per aver lasciato un tuo commento. Non penso che ci sia una vera e propria strategia coordinata dietro a tutti questi attacchi, credo, piuttosto, che stiamo entrando in una fase di forte instabilità dovuta in parte alla semplicità con cui si possono portare a termine attacchi anche molto efficaci (l'asimmetria regna sovrana!) ed in parte alla forza delle motivazioni (economiche e non solo) che ci sono dietro.

@Gian
Ciao Gian e grazie per essere stato su Punto 1, spero di risentirti anche in futuro! Effettivamente la scelta di rimanere "sotto l'orizzonte dei radar" è una tecnica che paga sempre. Chissa, forse non sappiamo ancora tutto di questo attacco...

@Stefano
Ciao Stefano è sempre un piacere risentirti!! Come ci siamo detti tante volte, la sensibilità generale verso la sicurezza delle applicazioni Web dovrebbe cambiare radicalmente! Spero che il tuo DOMintruder (ora correggo anche il post!) possa effettivamente contribuire a mettere in evidenza alcune delle carenze che caratterizzano l'uso di queste tecnologie.

Un caro saluto a tutti,
Matteo

Rome Sweet Home ha detto...

Ciao io l'ho preso sul mio sito www.relaisromesweethome.it , non so come eliminarlo , mi potete aiutare ?

Matteo Cavallini ha detto...

Ciao Rome Sweet Home, ho provato a fare una ricerca su google ma la tua pagina non è stata ancora indicizzata e quindi non riesco a capire bene cosa consigliarti. In linea generale, se sei stato effettivamente colpito vuol dire che il tuo sito presenta delle vulnerabilità di tipo SQL Injection, cioè consente l'inserimento di codice.

La bonifica quindi deve consistere in due distinte operazioni.

Uno La rimozione delle informazioni aggiunte.
Puoi effettuare un ripristino da un backup precedente e verificato. Per quanto riguarda l'eventuale inserimento di malware non dovrebbe essere successo ma fare un controllo non guasta.

Due Bonifica delle vulnerabilità
Affinché non succeda nuovamente devi assolutamente far verificare e bonificare le pagine del tuo sito per quanto riguarda le vulnerabilità applicative

Spero di essere stato utile... almeno un po'.

Saluti e in bocca al lupo,
Matteo

Posta un commento

http://www.wikio.it