Sicurezza/ Il vero rischio? Noi stessi, inconsapevoli

Marco Valerio Principato
Di
Pubblicato il: 22/07/2011
Commenti Commenta | Permalink

Un caso di (quasi) perfetto social engineering usato per distribuire spoftware, ossia quella carriolata di software inutile, spione e dannoso che infesta il computer. A propria insaputa

Roma – Molto più spesso di quanto si possa immaginare, il vero rischio di imbattersi in software di pochi scrupoli quando si naviga siamo noi stessi. A volte ci si trova davanti a lampanti casi di perfetta ingegneria sociale, che fa credere tutto stia andando per il meglio quando così non è affatto. Ed Bott, noto “winaro” di ZDNet, ha esaminato uno di questi casi e vale la pena di ripercorrerlo insieme perché rispecchia una realtà – ahinoi – frequentissima.

Una delle maggiori leggende metropolitane del 2011 sul tema della sicurezza – racconta Ed Bott – è quella di far pensare che si viene infettati da malware per diretta colpa propria. Non si dovrebbero fare quelle ricerchine porno, scaricare quel software pirata, quei DVD sgraffignati e non originali da BitTorrent, questa la “musica”.

Il banner incriminato da cui è partita l'analisi (click per ingrandire)

Il banner incriminato da cui è partita l'analisi (click per ingrandire)

Tuttavia – prosegue Bott – anche un perfetto innocente può trovarsi di fronte a software malevolo in maniera imprevedibile. Nel caso in esame, esso si è presentato ricorrendo al banner qui riprodotto (destra), reperito nel visitare un blog abbastanza trafficato ma perfettamente legittimo. Ed Bott non fa nomi: si tratta di una “vittima innocente”.

Il banner è comparso in fondo a un post, con tanto di grafica animata e una barra gialla del tutto simile a quella legittima dei browser, relativa a un “plugin mancante”. Il banner risultava “servito” da un noto circuito pubblicitario di terza parte, AdBrite.

L'apparente mancanza di plugin (click per ingrandire)

L'apparente mancanza di plugin (click per ingrandire)

Basta già il semplice e innocente click con l’intenzione di installare il millantato codec mancante per avviare un ben costruito schema di ingegneria sociale: la “rotellina” che gira accanto alla parola “buffering” indica – normalmente – che la pagina sta tentando di scaricare un video ma per qualche ragione il procedimento si arresta (fig. a destra). Le riprese di Ed Bott sono state effettuate su Chrome di Google ma – assicura – su tutti i browser risultano identiche.

Il “livello di ingegneria sociale” – incalza Bott – è senz’altro “credibile”: Xvid è un codec esistente e legittimo e il logo esibito è lo stesso di quello originale (vedi sito autentico). Ovunque si clicchi, l’unica cosa che si riesce a fare è a scaricare un file eseguibile chiamato XvidSetup.exe.

Una volta che lo si lancia, viene attuata ulteriore ingegneria sociale, spiega Bott. Precisamente:

  • Il programma di installazione sembra autentico, offre persino la possibilità di scelta tra installazione veloce e personalizzata
  • Il file eseguibile non è dotato di firma digitale
  • Sembra effettivamente installare una versione del codec Xvid, ma l’installer omette di presentare la licenza GNU, prevista dal team che ha creato quel codec

Bisogna inoltre notare che a prescindere da quale opzione si sia scelta (rapida o personalizzata), ci si ritrova proprio malgrado a installare anche:

  • Real Player, utilizzando un codice di affiliazione che senza alcun dubbio porta in cassa agli estensori di questo trucchetto qualche soldo per aver “convinto” un utente a installarlo. In alcune prove fatte da Bott, anche cliccando su “Annulla”, il software ha proceduto a reinstallarsi
  • Ulteriore software che silenziosamente installa degli add-on per tutti i browser che individua sul proprio computer, compresi Internet Explorer, Firefox e Chrome

La barra di avanzamento dell’installazione cresce molto velocemente, tuttavia è possibile leggere cosa viene installato:

I numerosi moduli installati dal Setup (click per ingrandire)

I numerosi moduli installati dal Setup

Sbirciando, poi, all’interno di Firefox (ma anche Chrome, Safari o Internet Explorer) si scoprirà che sono stati aggiunti diversi moduli:

Ecco quanto Ed Bott ha trovato installato in Firefox

Ecco quanto Ed Bott ha trovato installato in Firefox

Da notare – sottolinea Ed Bott – che in nessun punto dell’installazione alcuno si è degnato di visualizzare un qualsiasi accordo di licenza od offrire alcuna opzione per decidere o meno di installare questi “extra”. Neppure i link forniti all’inizio dell’installazione hanno fornito alcuna informazione su cosa avrebbero “offerto” questi programmi, da chi sono stati prodotti o cosa fanno.

Non ci sono, dopo l’installazione, altre stranezze, salvo il fatto che tutto quanto è stato installato si ritrova elencato nel pannello di controllo ma, per ogni modulo, non c’è alcun nome dell’editore, del produttore né vi sono link per eventuale aiuto o supporto.

Sia chiaro – puntualizza Bott – che se vi occorre davvero il codec Xvid, è bene ve lo andiate a scaricare dal sito originale. L’installazione per Windows contiene l’ultima versione, è firmata digitalmente, visualizza la prevista licenza GPL durante l’esecuzione e si identifica correttamente nel pannello di controllo.

Bene, a questo punto, al di là del software addizionale (e non richiesto), cosa accade di male? Cosa fanno questi misteriosi programmi? Rubano informazioni? Sono malevoli? Fanno visualizzare dei pop-up? Un paio di mesi fa – racconta Bott – Jerome Segura di Pareto Logic aveva individuato uno scam pressoché identico: stessa grafica, nome a dominio simile e ha rilevato che c’era ben di che sospettare.

Ma nel caso di Bott, almeno all’inizio, nulla di strano accade. Il sospetto è che possano essere software malevoli che scatteranno “a tempo”, sfoderando all’improvviso il loro “carico” poco chiaro negli scopi.

Bott, però, non s’è dato per vinto e ha tentato di ricavare qualche informazione dai link di installazione e disinstallazione, cliccando sui quali veniva visualizzata una pagina in formato testo, nella quale compariva il nome di “ClickPotato”. Ciò ha insospettito Bott, che si è ricordato di un suo post di inizio luglio, in cui si spiegava come fa il malware ad arrivare sui PC e sui Mac. Ricordava bene: ClickPotato era stato individuato da Microsoft nel 2010 come una “relativamente nuova famiglia di adware multi-componente che visualizza dei pop-up con pubblicità, spesso accompagnato alla Hotbar”, una toolbar aggiuntiva per browser di cui c’è ben poco da fidarsi.

Un campanello d’allarme, dunque, che ha invitato Ed Bott ad approfondire ancora, analizzando a fondo il sito e rilevando che esso conteneva dei link a myroitracking.com, che secondo il Google Safe Browsing Service è un ben conosciuto mezzo di diffusione di malware, che negli ultimi tre mesi risulta aver infettato 106 siti.

Ed Bott ha segnalato l’intera vicenda ad AdBrite, allegando tutte le sue scansioni e i controlli effettuati con Virus Total, Norton Internet Security e Microsoft Smartscreen. Dopo alcuni iniziali dinieghi, l’azienda ha indagato.

Entro mezz’ora – conclude Ed Bott – tale codice è stato letteralmente abraso dalla pagina del sito, nessun “missing plugin” risultava più presentarsi, nessun link a ClickPotato era più reperibile e il link di scaricamento puntava a un sito diverso con una versione ricompilata dell’installatore. Nel frattempo, l’azienda deve essersi resa conto che la segnalazione non veniva da un illustre sconosciuto.

Ora – chiude Ed Bott – la squadraccia che ha operato dietro questa bravata ha provato a nascondere le sue tracce (e gli è andata male, ndB) ma si può star certi che non la smetterà. Tutta questa storia infatti Bott l’ha voluta raccontare e dettagliare, allegando anche una galleria completa di immagini, sperando che se qualcuno dei lettori vi si dovesse imbattere abbia gli strumenti per riconoscerla e, naturalmente, evitarla.

In definitiva, dunque, perché il vero rischio siamo noi stessi, inconsapevoli? Perché, se ci si riflette, tutto è partito da un maledetto click scattato con superficialità, a cui ha fatto seguito una sceneggiata ben preparata, in grado di ingannare chiunque non abbia avuto, sul punto, quel giusto grado di diffidenza che, invece, deve sempre esserci.

Nel caso specifico, l’utente dovrebbe ragionare così: “tu mi stai chiedendo di installare il codec video Xvid? Benissimo: aspetta qui, che me lo vado a prendere io dal sito originale, per quale ragione dovrei prenderlo da te che non mi offri un link sicuro, visibile e al sito originale? Poi (forse) tornerò e se me lo chiederai ancora vuol dire che sei in malafede”.

Chiara la faccenda? Come sempre: fidarsi è bene, non fidarsi è meglio. Specie quando lo spensierato clima delle vacanze fa distogliere un po’ troppo l’attenzione da quel che si sta facendo.

Marco Valerio Principato


  • Condividi su Facebook
  • Condividi su Twitter
  • Condividi su LinkedIn
  • Condividi su FriendFeed
  • Condividi su Pinterest
  • Pubblica su MySpace
  • Invia su Segnalo
  • Invia a Diggita
  • Segnalibro su Google
  • Pubblica su Blogger
  • Condividi su Google Reader
  • Condividi su Google+

Argomenti trattati:
, ,

Sezione in lettura: Sicurezza

« »

Commenti (Facebook)
Commenti (locali)




Nota: La moderazione in uso potrebbe ritardare la pubblicazione del commento. Non è necessario reinviarlo.