Tecniche di attacco di “ Defacement”
Defacement: letteralmente significa “defacciare” ovvero penetrare abusivamente all’interno di un sito, o ad una sua sezione, al fine di modificarne l’aspetto ed il contenuto.
Le motivazioni che stanno dietro a questo atto sono molteplici ma da qualche tempo si è passati a defacciare per “affermare il possesso” sul sito della vittima come atto pubblicitario per effettuare il cyber-racket.
La tecnica utilizzata è quella di defacciare il sito di una società medio grande ( vedi il caso Poste Italiane s.p.a.) e successivamente effettuare dei ricatti a webmaster di PMI
Secondo una ricerca effettuata tra il 2005 ed il 2007, sono stati rilevati ben 1.7 milioni di siti Web sottoposti a defacement. Questo singolo dato dimostra l’enorme rilevanza pratica ed estensione del problema, Zone-H, un sito pubblico dedicato alla raccolta dei defacement [http://www.zone-h.org], ha reso disponibili i seguenti dati.
E’ da giorni che il web, e le mailing list sulla sicurezza, sono piene di pareri e richieste sul tema del defacement soprattutto a seguito di quanto si è sentito per il sito di Poste Italiane.
Questo fenomeno sta avendo un trend assolutamente in ascesa per una serie di fattori, primo fra tutti il modo con cui si esegue un attacco di questo genere. Infatti per modificare le pagine di un portale è necessario essere in possesso delle credenziali di accesso al sito, ed a tal proposito si mettono in essere delle tecniche che sfruttando dei bug del php, di sql o anche dell’acrobat, permettono di ottenere le credenziali di accesso.
Scagliare un attacco di questo genere è relativamente alla portata di tutti anche perchè la rete è piena di infinte guide e tutorial anche video che ne illustrano come fare, ovvio che l’attacco a siti di enti importanti è alquanto più difficile da realizzare.
Altro elemento che ha permesso il dilagare del fenomeno è che circa il 10% dei siti web sono generati tramite cms, spesso da persone poco “professionali” e non sempre aggiornati. In linea di massima un attacco si configura nel seguente modo:
1. Si imposta almeno un proxy per la navigazione anonima;
2. Si analizza il sito della vittima al fine di trovare il bug tramite il quale ottenere hash delle credenziali di accesso, optando per attacchi che riguardano le vulnerabilità del php o impiegare sqlinection,
3. Effettuare il reverse engineering dell’hash
4. Effettuare l’accesso cancellando i log relativi dell’attacco;
Il risultato è che nel 2008 si è avuto una notevole crescita, come dimostrato anche dallo studio di MyCERT di gennaio 2009:
Abbiamo detto che il defacement è diventato un mezzo per chiedere “il pizzo” on line, e questa affermazione è suffragata ancora di più dalle stime che the 2005 CSI/FBI Annual Computer Crime and Security Survey ha pubblicato, ed ancora di più se si sommano le stime relative al defacement con quelle del accesso ai sistemi e del sabotaggio. Ma ancor più interessante è il fatto che molto spesso chi commette defacement non sempre lo fa in modo plateale, infatti l’ultima tendenza degli hacker è quella di lavorare seguendo la regola low&law ovvero lentamente e mantenendo basso il profilo.
La logica è semplice: si entra, ci si accerta di poterlo fare quando piu si aggrada e successivamente si attende. Si aspetta infatti che vengano trascorsi quei mesi che servono affinchè i log dei server vengano sovrascritti e che quindi, quando si riaccede al sistema, precedentemente bucato, l’ammisistratore non può che assistere ad un accesso perfetto senza traccia.
Pertanto chi defaccia si trova, ad esempio ad aver accesso ad database del sito dentro il quale si muove a suo piacimento, prendendo nota di tutte le credenziali di accesso che userà a sua discrezione all’occorrenza anche rivendendoli ad una azienda concorrente.
Quanto detto non vuol creare allarmismi, soprattutto per quanto concerne all’episodio Poste Italiane, ma almeno cercare di portare all’attenzione un fenomeno diffusissimo e spesso sottovalutato. Alla luce di quanto detto è sempre una buona norme modificare molto frequentemente le proprie credenziali di accesso (username e password) soprattutto se si è avuto notizia che il proprio sito è stato oggetto di questo particolare attacco.
