Kaspersky Lab annuncia la pubblicazione di un articolo intitolato ‘Mass Defacements: The Tools and Tricks ’ di David Jacoby, Senior Security Researcher del team Global Research & Analysis.
Jacoby, durante la sua ricerca, ha identificato oltre un centinaio di server web che sono stati infettati da ‘defacers’, compresi quelli appartenenti ad alcune importanti società. Queste infezioni hanno portato alla vendita sul mercato nero di dati confidenziali sui siti nonché informazioni sulle modalità per infettarli.I cybercriminali sono stati in grado di utilizzare i server web per lanciare attacchi DDoS e inviare mail di spam.
Tutti sanno che in Internet hacker e criminali tentano ogni giorno di entrare nei siti web, trasformando i computer in nodi di botnet, vendendo apertamente spyware e password rubate ad utenti del mercato nero.
Un tipo specifico di crimine informatico rimane comunque avvolto dal mistero; gli attacchi di defacement modificano il contenuto o l’aspetto visivo dei siti web, in questo caso i criminali non mirano ad ottenere un profitto diretto da questi attacchi ma possono danneggiare la reputazione di determinate organizzazioni o società, causando anche notevoli perdite finanziarie.
Esiste una comunità di defacer i cui gruppi e membri sono in concorrenza tra loro per stabilire chi può craccare e danneggiare il maggior numero di siti. Ci sono una serie di archivi on-line dove i defacer possono vedere quante volte e chi ha modificato un determinato sito. Questi archivi comprendono anche i nomi di siti di alcune importanti società.
Una backdoor PHP, sviluppato per craccare un sito dal suo interno, è alla base di qualsiasi attacco di defacement. Le backdoor hanno una vasta gamma di funzionalità, ma la maggior parte di queste hanno dei metodi per bypassare le funzioni di sicurezza PHP, rubare informazioni, leggere e modificare i file, accedere a database SQL , craccare password, eseguire comandi arbitrari e modificare i privilegi.
Inoltre, il server su cui è ospitato il sito può essere usato per inviare spam o per effettuare attacchi DDoS. I defacer generalmente usano degli scanner per individuare i server vulnerabili e cercando, tra le altre cose, le vulnerabilità per file remoti e locali e iniezioni SQL.
Uno dei problemi più grandi nel combattere i defacement è che i defacer non sfruttano solamente vulnerabilità tecniche ma anche l’ignoranza. Molte persone che lavorano sui siti web non comprendono l’importanza di avere un sistema che è aggiornato e che ha tutte le ultime patch disponibili”, sostiene David Jacoby.
“Le società e le organizzazioni spesso spendono molto tempo e energie per spiegare al loro personale IT come le ignezioni SQL ed i buffer overflow funzionano, e come possono essere sfruttate per un attacco, quando invece sarebbe molto più utile concentrarsi nel garantire che i sistemi siano completamente aggiornati e configurati in maniera appropriata.
La versione integrale dell’articolo è disponibile al seguente link: www.securelist.com.
