Add-on piratato di WordPress trasforma siti in dispenser di malware


Gli analisti G DATA analizzano una backdoor che viene diffusa con moderne tecniche SEO.

Bochum (Germania) – Tra gli strumenti utilizzati nella creazione di siti web, WordPress è sicuramente uno dei CMS (content management system) più noti e impiegati. Le numerose estensioni disponibili permettono di creare pagine web facilmente pur non disponendo di buone capacità di programmazione. È comunque importante prestare attenzione nello scegliere i plugin.

L’idea di creare il proprio sito internet è associata ad un’ingente quantità di lavoro manuale. La strumentazione moderna lo rende invece un gioco da ragazzi –innumerevoli i layout già “pronti all’uso” nei quali bisogna solo aggiungere testo e immagini. Molte estensioni per WordPress sono gratuite, mentre altre sono a pagamento. Un webmaster attento ai costi cerca di evitare al massimo questo genere di spese. Nel caso evidenziato in questo report, i criminali mirano a colpire i numerosi utenti WordPress che desiderano avvalersi di template gratuiti, ecco come.

Trappola gratuita?

Alcune tipologie di temi a pagamento sono molto più utilizzate di altre e non stupisce che sul web se ne possano trovare anche di piratate. Parte di queste copie contraffatte vengono fornite con “add-on” nascosti che possono creare non pochi problemi al webmaster poiché in grado di trasformare le pagine web in distributori di malware, ovviamente del tutto all’oscuro dell’amministratore del sito.

Ottimizzazione dei motori di ricerca aka SEO

Chiunque sia in possesso di un sito web desidera essere il primo sui motori di ricerca. I risultati presentati su Google si basano su diversi criteri, uno dei quali, oltre all’impiego delle giuste keyword, è la frequenza con cui la pagina valutata viene menzionata da altre pagine. Alcune società assumono uno o più dipendenti con il compito di applicare la miglior strategia per far apparire il sito il più in alto possibile nei risultati delle ricerche. Questa attività è chiamata ottimizzazione dei motori di ricerca (Search Engine Optimization – SEO). Strategie adottate anche dai cybercriminali, esistono infatti alcuni template WordPress contraffatti che integrano tecniche SEO per incrementare la distribuzione di codice malevolo, come l’ultima evoluzione della backdoor Wp-Vcd, che una volta installata su WordPress crea automaticamente un account amministratore nascosto che consente all’hacker di accedere alla piattaforma quando più gli aggrada e, per esempio, postare malware sul sito compromesso a propria discrezione.

In primo acchito la backdoor è stata riscontrata scaricando il tema ExProduct v1.0.7 dal sito “hxxp://downloadfreethemes.download” che ospita numerosissimi template WordPress (al momento dell’analisi 32.200) piratati. Ulteriori analisi hanno rivelato quanto l’autore fosse proattivo nel posizionare al meglio il template sui motori di ricerca e quanto l’algoritmo di Google sia passibile di raggiro.

Ulteriori informazioni sull’analisi

Ulteriori informazioni e dettagli tecnici su diffusione e funzionamento della backdoor sono contenute nel whitepaper reperibile in lingua inglese al link https://file.gdatasoftware.com/web/en/documents/whitepaper/G_Data_Whitepaper_Analysis_Wp_vcd.pdf

Uomo avvisato mezzo salvato

Fino a quando le persone riporranno cieca fiducia in qualunque sito web venga loro proposto, saranno potenziali vittime e ciò non cambierà in tempi brevi. Agli occhi di moltissime persone i servizi di ricerca e di posta elettronica che Google eroga da anni sono estremamente affidabili. I criminali lo sanno bene e sfruttano la situazione, riuscendo a posizionare ottimamente persino applicazioni quali “paypal generator v1.0” o “Facebook hacker v2.3 updated” nei risultati dei motori di ricerca. Il team GDATA raccomanda di prestare attenzione ai contenuti per evitare di cadere nel mirino dei criminali online.

Continua a leggere

 Sicuro è sicuro


Ovvero: come la Germania sta mettendo a rischio la propria reputazione di Paese con le più severe leggi sulla tutela della privacy. 

Bochum – Nelle scorse settimane si sono susseguite discussioni su sorveglianza, trojan di Stato e backdoor obbligatorie. Alcune iniziative spalleggiate da membri del Governo tedesco sono state fortemente criticate. Queste discussioni mettono a rischio il ruolo della Germania come suolo fertile per lo sviluppo di soluzioni di sicurezza, quando invece la Germania dovrebbe fare il possibile per rimanere la nazione con il più alto standard di tutela della privacy e di protezione dei dati al mondo.

Poco prima di una conferenza tra i Ministri dell’Interno dei singoli Land tedeschi tenutasi a Lipsia, il network RND (articolo in tedesco) ha riferito che il ministro Thomas de Maizière intendeva fare pressione affinchè lo “spionaggio di Stato su veicoli privati, computer e TV intelligenti” fosse concesso, con riferimento ad un’iniziativa del Dipartimento di Giustizia con cui è stato ampliato lo spettro delle misure di sorveglianza a disposizione delle forze dell’ordine come stabilito il 22 giugno scorso. Tra le misure figura anche la sorveglianza dei “sistemi IT” di chi è sospettato di crimini conclamati. Quest’appendice, nota con il nome di “sorveglianza delle telecomunicazioni alla fonte”, è stata al centro di accese discussioni in Germania. Il modo in cui le disposizioni sono state convertite in legge dal Parlamento tedesco ha suscitato forti critiche da parte di alcuni funzionari federali tra cui l’ex commissario federale per la protezione dei dati (cfr. il nostro Garante) Peter Schaar. Oltre alle rimostranze su misure potenzialmente dimensionate per una sorveglianza di massa è emerso anche il dubbio in merito alla costituzionalità del provvedimento.

Tornando al reportage su RND, l’unica interpretazione possibile del testo lascia pensare che tali misure obblighino i produttori ad implementare delle backdoor nei propri prodotti per consentire alle forze dell’ordine di accedere a certe informazioni. In realtà, durante la conferenza si è discusso solo di come assicurare alle forze dell’ordine i mezzi tecnici per eseguire un mandato una volta emesso dal giudice, poiché spesso i mandati non possono essere attuati a causa dei sistemi di sicurezza, presenti sia nei veicoli sia negli edifici residenziali.

Da tutto ciò traspare tuttavia l’enorme conflitto tra il desiderio di garantire alle autorità efficacia e capacità di agire e la questione sulle circostanze in cui tali misure sconfinano in una invasione della privacy.

Un conflitto con conseguenze

Di fronte agli effetti di una discussione sulla sorveglianza e sui “trojan di Stato” la posizione del singolo perde di rilevanza. La preoccupazione principale è che vengano implementate leggi che indeboliscano eventuali misure di sicurezza efficaci, un dubbio sollevato dal reportage di RND in Germania come all’estero. I dibattiti riguardanti l’accesso a dati criptati, l’estensione dell’uso di tecnologie per la videosorveglianza e per il riconoscimento facciale sono infatti attentamente seguiti anche negli altri Paesi. Ne è un esempio Edward Snowden che ha affermato che stiamo affrontando “un’ondata di pensiero illiberale” se anche nazioni come la Germania vogliono imporre backdoor per abilitare una sorveglianza occulta. Anche Norbert Pohlmann dell’associazione tedesca dell’industria Internet “eco” conferma che anche solo la mera discussione di nuove misure di sorveglianza indebolisce la fiducia degli utenti nelle tecnologie che fanno uso di Internet e danneggia gravemente gli e-tailer.

Clienti preoccupati e media internazionali ci hanno chiesto di commentare l’argomento. Sembra che l’immagine di una Germania quale Paese con le più rigide leggi e i più severi standard sulla protezione dei dati e della privacy inizi a vacillare, con conseguenze non solo per il mondo della sicurezza IT ma anche per l’intera industria tecnologica e il suo indotto: chi desidera acquistare una nuova smart TV, temendo che si possa trasformare in un teleschermo orwelliano, o viaggiare in un’automobile “connessa” temendo che i propri dati vengano trasmessi a terzi?

Dalle rivelazioni di Snowden ai documenti Vault7, è ormai evidente fino a che punto in alcuni Paesi le autorità sono autorizzate a spiare e ad intercettare le conversazioni di qualsivoglia individuo, senza alcun serio controllo esterno. Da Vault7 peraltro è scaturito l’exploit Eternalblue, reso noto e subito adattato dai cybercriminali che l’hanno implementato nel ransomware Wannacry, un esempio che sottolinea la pericolosità dei malware di Stato: è difficile tenere segreti strumenti di questo tipo indefinitamente. Se poi cadono nelle mani sbagliate, offrono ai cybercriminali i nostri dati più riservati e sensibili su un piatto d’argento. Ecco perché da sempre G DATA si impegna nella sua “no backdoor policy”, non abbiamo nessuna intenzione di cambiare posizione al riguardo e di dibattiti sull’utilizzo di backdoor da parte dello Stato ne abbiamo visti tanti.

Ad oggi le iniziative del Dipartimento di Giustizia tedesco così come lo stesso Ministero dell’Interno non hanno ancora fornito argomentazioni conclusive sulle modalità di applicazione di ipotetiche misure senza che queste compromettano l’intero ecosistema della sicurezza IT e la privacy: troppo sproporzionati a nostro avviso gli effetti collaterali negativi rispetto ai potenziali benefici (anche di misure utili).

G DATA confida e si augura che il nuovo governo si impegnerà a chiarire qualsiasi malinteso e a sostenere la reputazione della Germania quale Paese con la legislazione più rigida a livello mondiale in termini di privacy e protezione dei dati, oltre che a respingere ogni tentativo di indebolimento degli attuali standard di sicurezza.

Continua a leggere

Fiducia nella sicurezza – una delle preoccupazioni più pressanti dell’universo Internet


Come possiamo generare fiducia nelle tecnologie che offriamo in qualità di produttore? Questa domanda è indubbiamente una delle preoccupazioni chiave che meritano attenzione e tuttavia se ne discute ben poco tra le aziende che sviluppano e producono soluzioni per la cybersecurity. E’ necesario analizzare in dettaglio l’argomento per comprenderne le sue implicazioni strategiche.

Comprendere il contesto generale

Gli eventi recenti hanno mostrato che non appena sorge il minimo dubbio sull’efficacia e l’affidabilità delle soluzioni di sicurezza queste vengono messe immediatamente in discussione. Ad esempio, il caso Snowden ha rivelato al mondo l’esistenza del catalogo ANT della NSA e quindi l’utilizzo di backdoor o altri strumenti inseriti nelle soluzioni per la sicurezza perimetrale al fine di proteggere e tutelare gli interessi degli Stati Uniti. Pur non sorprendendo nessuno, questa informazione è stata resa di pubblico dominio.

Matthieu Bonenfant, Chief Marketing Officer – ‎Stormshield

Ovviamente queste backdoor potrebbero essere state implementate goffamente per ragioni tecniche o in relazione a vulnerabilità 0-day. Molti dei produttori coinvolti hanno più volte ribadito che non hanno indebolito le proprie soluzioni deliberatamente. “Non mi permetto di giudicare questa affermazione, non è il mio lavoro”, commenta Matthieu BONENFANT, Chief Marketing Officer di Stormshield, “tuttavia, al di là del potenziale impatto sulla sovranità dei Paesi terzi che adottano queste soluzioni, le backdoor possono avere altre conseguenze drammatiche”. Basti pensare agli effetti disastrosi del leak svelato da Shadow Brokers, che segnalava numerose vulnerabilità di MS Windows utilizzate dalla NSA come backdoor. Wannacry, NotPetya, e – più recentemente – il ransomware Bad Rabbit si sono diffusi con estrema rapidità proprio grazie a questo tipo di falle.

“A mio avviso questa situazione mette in luce una delle maggiori sfide con cui i vendor di sicurezza devono confrontarsi”, chiosa Bonenfant. “Le nostre tecnologie manipolano e ispezionano file riservati, processano e archiviano dati personali, cifrano informazioni sensibili, accedono a risorse il cui uso è regolato, gestiscono identità digitali, analizzano il traffico ed il suo comportamento e molto altro”. Come garantire quindi ai clienti e all’ecosistema che queste attività sono affidabili? Come rispettare la sovranità sul dato alla luce di tutte le tensioni geopolitiche? Il fatto che la digital economy fiorisca esclusivamente in un clima di fiducia è risaputo, ma molte di queste domande ad oggi non trovano risposta.

Per i produttori di soluzioni per la sicurezza perimetrale, questa domanda è vitale considerando che la cifratura del traffico è una delle colonne portanti di un account digitale affidabile. Secondo Gartner, entro il 2019 l’80% del traffico generato dalle aziende sul web sarà cifrato, una buona notizia. Questo significa però che un numero crescente di attacchi e applicazioni malevole (ransomware incluso) si celeranno dietro al traffico HTTPS per nascondere l’infezione iniziale e prendere il controllo delle comunicazioni. Alla luce di ciò, Gartner raccomanda che le aziende e le organizzazioni formalizzino un piano pluriennale per l’implementazione di soluzioni e programmi per la decodifica e l’ispezione del flusso di dati HTTPS. La tecnica di ispezione di SSL si basa per lo più sul metodo “man-in-the-middle”, che inevitabilmente crea una falla nello scambio di comunicazioni cifrate. Una debolezza nel prodotto che conduce la decodifica e l’ispezione del traffico SSL può quindi far collassare l’intera catena di fiducia.

Potenziali soluzioni

Prima di tutto, possiamo fare affidamento sui test condotti da aziende esterne specializzate nella valutazione delle tecnologie di sicurezza, decisamente in grado di giudicare l’efficacia dei meccanismi di protezione. Tuttavia questi test, che tra l’altro non sono particolarmente a buon mercato, non si focalizzano in realtà sul design della soluzione di sicurezza in sè.

E’ altrettanto possibile fare affidamento sulle linee guida dettate dai Common Criteria, adottate da 26 Paesi. In questo caso però il produttore di soluzioni di sicurezza è colui che definisce lo spettro di valutazione, chiamato “obiettivo di sicurezza”, che può quindi essere limitato ad una piccola parte del software analizzato. Sfortunatamente solo in alcuni Paesi si misura l’importanza e si valuta la rilevanza dell’obiettivo prefissato. Per farla breve, i clienti fanno fatica a seguire il numero crescente di livelli certificazione (EAL) di Common Criteria.

Ci sono anche numerosi programmi che incentivano la ricerca di “bug”, software di analisi del codice statico o audit indipendenti volti a rilevare e correggere eventuali vulnerabilità. Queste iniziative migliorano effettivamente la sicurezza della tecnologia, a volte anche già in fase di design, tuttavia è difficile presentarle agli utenti come garanzia di affidabilità.

Infine, le certificazioni ufficiali svolgono un ruolo importante. Ad esempio in Francia, la ANSSI (l’agenzia nazionale per la sicurezza informatica) valuta il livello di affidabilità dei prodotti di sicurezza utilizzando un framework di qualificazione specifico, che è un’estensione dei principi Common Criteria. Questo framework definisce tre livelli di qualificazione basati su obiettivi di sicurezza predefiniti. Di conseguenza sono più facili da comprendere. A seconda del livello di qualificazione, si conduce una revisione indipendente del codice sulle componenti ritenute essenziali per la sicurezza, come la cifratura. Vengono analizzate anche le potenziali vulnerabilità, insieme all’ambiente fisico di sviluppo. Questo metodo fornisce la prova che i prodotti siano robusti e che non vi siano vulnerabilità sfruttabili come backdoor.

E’ necessario un framework ominivalente

Il fatto che questo framework di qualificazione sia riconosciuto esclusivamente in Francia rappresenta un problema. Ad esempio Germania e Regno Unito dispongono di un proprio framework, creato rispettivamente dal BSI (ufficio federale per la sicurezza informatica) e dal NCSC (centro nazionale per la cybersicurezza). La situazione attuale, sic stantibus, non è nè scalabile né economicamente accettabile per la maggior parte dei produttori, dato che dovrebbero far certificare i prodotti in ogni Paese. Per poter dar vita ad un unico mercato digitale in Europa, che alimenti la fiducia e assicuri la sovranità dei Paesi europei, è necessario implementare certificazioni riconosciute in tutti gli Stati membri. La commissione europea sembra aver compreso il messaggio, ha difatti lanciato di recente un’iniziativa atta a creare un framework europeo di certificazione. Questa misura costituirà un enorme passo avanti, sempre che il nuovo framework si basi sull’esperienza e sui criteri di valutazione dei Paesi che già sanno esattamente cosa fare e non indebolisca i criteri di qualificazione per far posto a chi è rimasto indietro.

La luce alla fine del tunnel

Alla fine un framework che instilli fiducia nelle tecnologie di sicurezza si svilupperà inevitabilmente attraverso una miglior collaborazione e cooperazione di tutti gli interessati nell’ecosistema cyber. Uno scambio costante tra il settore pubblico e privato, la costituzione di alleanze tra i produttori di soluzioni di cybersecurity, il coinvolgimento dei clienti nel processo di sviluppo (p.es. design collaborativo) aumenteranno senza dubbio l’affidabilità e l’efficacia dei dispositivi di sicurezza.

Continua a leggere