Navigando con le versioni più recenti dei principali browser, di certo non ci scandalizziamo quando ci vengono presentate le allarmanti schermate che identificano il sito come "nocivo". Ma come reagiremmo se il sito, segnalato come nocivo, fosse quello che abbiamo appena realizzato per un cliente, quello della nostra società o del nostro negozio on-line? Certamente non sarà stata nostra intenzione inserire nel codice del nostro sito qualche contenuto che possa arrecare danni al visitatore, ma perché è stato classificato come tale?
In questo articolo cercheremo di comprendere come ciò può accadere, come evitare che accada e come porre rimedio a questo evento.
Come evitare le blacklist
Quando richiediamo un sito, il nostro browser effettua una verifica dell'indirizzo digitato su una blacklist di siti nocivi; se il sito vi è presente viene visualizzata la nota pagina di avvertimento. La più grande blacklist esistente, come è facile pensare, è quella di Google e viene utilizzata anche da Firefox. Per comprendere la gravità del problema basti immaginare che un sito, presente in questa lista, non sarà accessibile dalla maggior parte degli utenti di Internet. Molto probabilmente sarà bloccato anche da altri browser, come Internet Explorer (che utilizza sistemi di catalogazione simili) e quindi totalmente irraggiungibile.
Prendendo come riferimento il sistema utilizzato da Google (e Firefox), le blacklist fanno parte del sistema SafeBrowsing e vengono popolate da appositi sistemi automatizzati, simili agli spider che popolano i database del motori di ricerca, che scansionano il codice sorgente del sito. Tale codice viene confrontato con i codici dannosi conosciuti, come i Trojan Downloader e così via. Se anche uno solo di questi codici viene individuato, il sito verrà inserito nella blacklist e apparirà come dannoso sia sulla pagina di avvertimento del browser (figura 1) sia sui risultati del motore di ricerca (figura 2).
Escludendo l'eventualità in cui il codice dannoso sia stato inserito volontariamente, come è possibile che il nostro sito venga catalogato come tale?
Le cause dell'inserimento nella blacklist
La prima ipotesi da considerare è l'azione di qualche terza persona. I siti da noi pubblicati risiedono su un server web, ossia una macchina in cui sono in esecuzione dei programmi che erogano tutti quei servizi richiesti dalla navigazione: http, https, database e così via. Come è noto ogni programma ha delle vulnerabilità che possono essere sfruttate da malintenzionati per accedere al codice del nostro sito e magari modificarlo. La maggior parte delle volte vengono inseriti codici che, sfruttando vulnerabilità del sistema operativo e dei programmi del visitatore, scaricano e installano trojan finalizzati al furto di informazioni o virus che più semplicemente compromettono il sistema che li ospita. Il tutto avviene senza che l'aspetto grafico del sito venga modificato, quindi sia il webmaster che l'utente finale sono del tutto ignari della presenza di questa minaccia.
Per contrastare questa minaccia, quindi, dobbiamo metterci al sicuro da tutti le possibili vulnerabilità del server che ospita il sito:
- Installando le patch e i bug fix più aggiornati sia per il sistema operativo che per i servizi risiedenti sul server.
- Configurando in modo opportuno i vari servizi, in particolare il web server, seguendo le linee guida elaborate dai produttori. Citando i due più noti web server, ci sono le linee guida per Apache e per Microsoft IIS
- Controllare regolarmente i file di log per identificare ogni attività sospetta.
Nella maggior parte dei casi, però, il sito viene ospitato su server di terze parti. Non sarà quindi possibile applicare le norme di sicurezza appena elencate. Sperando quindi nella professionalità del servizio di hosting che abbiamo scelto, dal punto di vista del webmaster è bene tenere d'occhio tutte le possibili minacce per il nostro sito.
Sempre più raramente, infatti, le pagine web sono realizzate ex-novo, ma nella maggior parte dei casi vengono utilizzate piattaforme personalizzabili pronte all'uso (come i noti CMS). Come ogni altro prodotto software anche questi sono soggetti a vulnerabilità, sarà nostro compito quindi assicurarci di aggiornare i componenti del nostro sito alle versioni più recenti ed restare informati su i possibili attacchi (come XSS, SQL Injection ecc…) che possono essere sfruttati per penetrare le difese del nostro sito.
Applicando tutte le procedure di sicurezza e assicurandoci che nessuno ha manomesso o riuscirà a manomettere il codice delle nostre pagine, dobbiamo comunque preoccuparci di eventuali componenti di terze parti. Contatori di accesso, widget, player multimediali e ogni altro elemento che inseriamo sul nostro sito, è comunque una porzione di codice che aggiungiamo alla nostra pagina. Di conseguenza dobbiamo essere sicuri della provenienza e della compatibilità con i sistemi di SafeBrowsing di Google. Altrimenti, infatti, ci ritroveremo tra i siti dannosi senza averne direttamente colpa!
Rimediare ai danni
Dimenticanze, vulnerabilità sconosciute, ZeroDay attack ecc… possono permettere comunque a un malintenzionato di penetrare nel nostro sistema e modificare a proprio piacimento le pagine. Risultato: il nostro sito viene etichettato come dannoso. Fortunatamente Google va incontro ai webmaster con il proprio servizio gratuito Google Webmaster Tool (vedi anche il video di presentazione su ICTv). Una volta registrati al servizio ed aver aggiunto i propri siti da monitorare, il sistema si accerta della legittimità della richiesta chiedendo di aggiungere una determinata porzione di codice alle pagine del proprio sito o, in alternativa, caricando nella directory del sito una pagina *.html fornita da Google. In questo modo saremo identificati come effettivi proprietari del sito e potremmo monitorarne diversi aspetti. Tra i più interessanti c'è la possibilità di verificare l'indicizzazione che gli spider di Google hanno eseguita sul nostro sito, permettendoci di analizzare ed eventualmente migliorare il posizionamento nei motori di ricerca.
Tra le analisi che vengono eseguite sul sito, c'è anche quella relativa al codice sospetto accennata nel paragrafo precedente. Se il nostro sito quindi verrà identificato come tale, il webmaster sarà informato con una email inviata da Google e nel pannello dei Webmaster Tool verranno segnalate le pagine e la porzione del codice identificato come malevolo.
Cosa fare a questo punto? La prima cosa che dovrà essere, fatta nel modo più tempestivo possibile, sarà mettere offline il sito. In questo modo la minaccia potrà colpire meno visitatori possibili (e quindi meno proteste possibili!). Fatto ciò si potrà procedere a identificare la causa del danno. In primo luogo ci verranno in aiuto i preziosissimi file di log del sistema. In questa fase è bene analizzare anche i log di servizi non danneggiati dall'attacco, perché questi potrebbero aver veicolato l'accesso del malintenzionato. Spesso in questa fase viene eseguito anche un dump dello stato del sistema, in modo da poterlo utilizzare per eventuali analisi.
Identificato il problema, dovremo preoccuparci di porre rimedio alla falla utilizzata, applicando le patch adeguate. Solo a questo punto il sito potrà essere ripristinato allo stato precedente all'attacco (chiaramente sono necessari anche efficienti sistemi di backup dei dati). La situazione è differente se il nostro sito fosse ospitato da un server di terze persone. In questo caso non sarà possibile accedere direttamente ai file di log del sistema, ma dovrà essere contattato direttamente il fornitore del servizio per informarlo dell'exploit e sollecitarlo a porre rimedio.
Rimane ora un solo problema: il sito è stato contrassegnato come "non sicuro" da Google e ci rimarrà fino ad un nostro intervento. Fortunatamente Google, con i suoi Webmaster Tools, ci viene in contro dandoci la possibilità di richiedere una revisione del giudizio (review). Questa operazione segnala alla grande G che il vostro sito necessita di una nuova scansione da parte dei sistemi citati all'inizio dell'articolo. Ciò può essere fatto dalla sezione Overview raggiungibile all'interno della piattaforma.
Ora tutto ciò che possiamo fare è attendere la rewiew da parte dei sistemi di scansione, che può accadere da qualche ora a qualche giorno dopo la richiesta. Qualche ora di attività può essere indifferente per un sito, ma ci sono realtà in cui ogni istante di inattività può significare la perdita di denaro (vedi per esempio siti di e-commerce), ed essere segnalati come "nocivi" da Google equivale a dire che nessun visitatore tenterà in ogni modo di accedere. Quindi, come in ogni altro caso, è meglio prevenire che curare!
