La presente non è certo una novità per chiunque gestisca servizi pubblici in maniera sufficientemente “numerosa”, o per chi si occupi di botnet o altro.
Quindi, questo post è destinato ad un pubblico più o meno “ignaro”. La ragione è che stamattina, sul posto di lavoro, ho ricevuto in gestione i ticket di un paio di clienti, che si sono ritrovati il loro sito (completamente statico) defacciato.
In questo caso, il defacement è ottenuto nella forma di obfuscated javascript “appiccicato” in coda alla pagina originale, che causa la visualizzazione di link a siti di contenuto pornografico.
Un tempo, casi del genere avrebbero significato nel 99.99% dei casi una compromissione dell’intero webserver. Ora, invece, nel 99.99% dei casi sono il risultato di una compromissione dei client.
Questi defacement, infatti, avvengono come conseguenza del fatto che il PC utilizzato per l’accesso FTP allo spazio web è stato trojanizzato.
Diligentemente, il trojan provvede a reperire le credenziali utilizzate (tramite sniffing o tramite keylogging) e a spedirle a chi controlla la botnet di cui fa parte, per utilizzo successivo.
Tale utilizzo successivo consiste nell’instaurare una connessione FTP con tali credenziali (a partire, ovviamente, da un altro BOT e non certo dall’IP del botmaster) ed utilizzarla per uploadare contenuti malevoli di vario genere: target di spam, phishing, malware. Spesso lo stesso trojan utilizzato per appropriarsi delle credenziali è stato prelevato dal client per questa stessa via (un sito web bucato) e il cerchio si chiude.
Qualche tempo fa, Spamhaus ha pubblicato un articolo riguardo a questo meccanismo, che invito a leggere.
Con un unico appunto: da quell’articolo parrebbe di evincere che la soluzione al problema sia l’utilizzo di SFTP o di altri protocolli che consentano l’encryption delle credenziali di autenticazione.
La mia tesi è che anche quell’approccio, benchè certamente utile, sia lungi dall’essere una soluzione: la crittografia della comunicazione è pensata per garantire la confidenzialità delle informazioni scambiate tra due entità, ma non è in grado in alcun modo di garantirla qualora la compromissione riguardi una delle due entità che stanno scambiando traffico.
In altre parole, l’approccio crittografico può evitare che le password vengano sniffate, ma non può in alcun modo opporsi al fatto che esse vengano prelevate tramite keylogging.
La soluzione, quindi? Solo una, IMHO: tenete sicuro il vostro client e se usate un client Win32, accertatevi di usare un account con privilegi di amministratore il meno possibile.
Skull's blog 