Ai miei tempi si dormiva con la porta aperta: parte 2

porta

Questa è la seconda parte dell'articolo ai miei tempi si dormiva con la porta aperta.

Nella prima parte è stato preparato un computer con Windows XP basato su una configurazione di default, ovvero quella utilizzata dalla maggior parte degli utenti, e lo si era collegato ad internet per studiare la frequenza con cui questo computer veniva sottoposto a tentativi d’attacco da parte di programmi maliziosi.

In questa seconda parte della nostra investigazione, utilizzando sempre lo stesso honeypot preparato dalla BBC, vi sarà raccontato cosa è accaduto quando, invece di loggare semplicemente i tentativi d'attacco, abbiamo lasciato che la macchina fosse infettata dall'attaccante.

Raramente qualcuno lascierà che scassinatori e vandali entrino nella propria casa, ma in un ambiente controllato quale è un honeypot, li si può lasciar fare con relativa tranquillità.

L'idea di lasciare che il PC fosse infettato è nata per vedere esattamente quali odiosi programmi colpissero la nostra macchina e quanta fatica ci volesse in seguito per ripulire il sistema infettato.

Prima di tutto, abbiamo visitato alcuni dei siti web menzionati nelle finestre di pop-up che, sfruttando i bachi di Windows Messenger, apparivano sul desktop mascherate da avvisi di sicurezza

La maggior parte del software disponibile attraverso questi falsi avvisi si è dimostrato essere roba fastidiosa più che software veramente maligno.

Questi programmi offrivano una scansione gratuita dell'honeypot alla ricerca di spyware e adware. Ognuno di questi programmi, ogni volta che veniva installato trovava una grossa quantità di spyware nascosto dentro il nostro computer.

Questo ci ha sorpreso: L'honeypot era stato utilizzato solamente per visitare i siti web da cui il finto software era stato scaricato.
(ndr. Praticamente questi programmi ti consigliano di installare un software anti-spyware per eliminare dello spyware che loro stessi hanno installato).

Controllando i risultati con una vera utility anti-spyware ci siamo accorti che buona parte del presunto spyware identificato dal falso software era benigno.

Se questo non fosse già male di per se, tutti questi falsi programmi di sicurezza chiedevano soldi prima di elencare il risultato completo del loro scanning o prima di cercare di rimuovere i "falsi problemi" che avevano rilevato.

Tempesta spyware

Uno dei siti web che inviava falsi avvisi di sicurezza ci è apparso particolarmente interessante in quanto era elencato in molte "liste nere", utilizzate dalle aziende che offrono servizi di rete al fine di bloccare le email spazzatura.

Una visita a questo sito web ci ha immediatamente redirezionato su un'altro sito sul quale si è aperta immediatamente una finestra di pop-up con la quale si chiedeva se intendevamo scaricare il falso software antispyware.

Viscidamente questa finestra di pop-up in realtà non era una vera finestra di dialogo di Windows, bensì un'immagine; Per cui qualunque bottone fosse stato cliccato, il download sarebbe comunque iniziato.

Il download si è installato automaticamente ed ha avviato uno tsunami di ulteriori download in background. Il software forense installato sull'honeypot ha visto connessioni a tre o quattro altri siti dai quali sono iniziati ulteriori download - uno di questi download è partito dal computer di un'ospedale Thailandese, il quale stava senza dubbio fungendo da ignaro host.

Il software è stato così strisciante da cercare di nascondere la visualizzazione del traffico generato inserendosi nei processi che vengono generalmente avviati da Internet Explorer. Ci siamo accorti di questo trucco perché l'homepage di IE era stata settata per essere vuota - quindi anche se avviata non avremmo dovuto rilevare alcun traffico di rete.

Il risultato di tutte queste istallazioni sono state una serie di nuove toolbar sul browser Internet Explorer, una intera lista di siti favoriti mai richiesti, mentre tutte le ricerche erano state corrotte e quindi reindirizzate ad altri siti ed in più il desktop era invaso da una serie di finestre di pop-up.

Il computer così ridotto stava diventando inutilizzabile, le sue risorse erano ormai interamente occupate, quindi siamo stati costretti ad interrompere la connessione.

I download maligni a quel punto sono andati in overdrive nel tentativo di ritornare on line. L'uso del processore è schizzato al 100% perché i software maligni disperatamente cercavano di scaricare altre schifezze da inserire dentro il PC.

Spegnere il computer è stato davvero difficile, ci siamo riusciti soltanto forzando lo spegnimento.

Il risultato finale di un singolo download è stato quindi un PC totalmente inutilizzabile, intasato com'era da adware e spyware. Un veloce scan della macchina ha rilevato che durante quell'orgia di download erano stati installati sette virus e svariati trojans

Siamo quindi ritornati alla configurazione originale dell'honeypot per venire a capo del problema, ma questo particolare tipo di spyware non si è cancellato.

Sull'honeypot avevamo utilizzato una penna USB per conservare i backup dei log degli attacchi. La penna era inserita nel computer quando il falso programma di sicurezza si è autoinstallato.

La penna USB aveva guadagnato un nuovo passeggero - il nucleo del falso programma antispyware. Se avessimo inserito quella chiavetta su un altro PC, senza dubbio il falso programma antispyware avrebbe immediatamente infettato la nuova macchina.

La pulizia del PC si è rivelata impossibile. Per fortuna noi (grazie a VMWare) abbiamo potuto ripristinare una precedente configurazione. Se l'honeypot fosse stato un qualsiasi PC domestico, qualsiasi cosa memorizzata al suo interno, immagini, e-mail, sarebbe andato perso per sempre.

Fonte (inglese): BBC News

Ti è piaciuto questo pezzo? Condividilo!

  • Facebook
  • Twitter
  • Delicious
  • LinkedIn
  • StumbleUpon
  • Add to favorites
  • Email
  • RSS
  • FriendFeed
  • Google
  • Google Reader

Leggi anche:

  1. Ai miei tempi si dormiva con la porta aperta
  2. Uno spyware si nasconde tra i banner pubblicitari di Microsoft Messenger
  3. I miei primi sei mesi in compagnia di un pinguino (Kubuntu)
  4. Red Hat sbatte la porta in faccia a Microsoft
  5. Motorola produce cellulari con sistema operativo Linux, non compatibili con Linux!
Posted on 11 ottobre 2006 by . This entry was posted in Informatica, Privacy e diritti, Sicurezza. Bookmark the permalink.