Tip:
Highlight text to annotate it
X
[MUSICA DI SOTTOFONDO]
MAILE OHYE: Salve, sono Maile Ohye.
Proseguendo con la nostra serie di video sul ripristino di un sito compromesso
ora sei pronto per la valutazione del danno.
Questo video è fatto su misura per coloro
che sono stati informati che il proprio sito è stato infettato da malware
e che hanno basi abbastanza tecniche per la visualizzazione di codice
sorgente e l'esecuzione di comandi nel terminale.
Per aiutarci e per condividere la sua esperienza nella lotta contro il malware,
si è unito a noi un ingegnere del team di Navigazione sicura
di Google, Lucas Ballard.
LUCAS BALLARD: Ciao, Maile.
MAILE OHYE: Grazie per averci offerto il tuo aiuto.
Finora, abbiamo avuto una panoramica delle compromissioni
e abbiamo confermato che il nostro sito è stato compromesso per pubblicare malware.
Ora siamo pronti per la valutazione del danno.
Ma prima di andare avanti, puoi
spiegare che cosa è esattamente il malware?
LUCAS BALLARD: Certo.
Malware è un termine generale per indicare i software dannosi
che hanno lo scopo di danneggiare un computer o una rete.
I malware includono cose come virus, worm, spyware, keylogger
e trojan horse.
Per proteggere tutti sul Web dai software dannosi,
il team di Navigazione sicura di Google esegue scansioni in Internet
per trovare le pagine dannose.
Le nostre scansioni automatiche determinano se le pagine
sono infettate, rilevando contenuti dannosi.
La reputazione del webmaster non è un fattore nel processo.
Se il tuo sito è stato infettato da malware, non sei solo.
Ogni giorno troviamo circa 10.000 nuovi siti web infettati.
MAILE OHYE: Buono a sapersi.
Puoi farci un esempio concreto
di ciò che significa per un sito essere infettato da malware?
LUCAS BALLARD: Certo.
Ogni volta che i siti legittimi sono etichettati come "infettato
da malware", è perché Google
ha stabilito che quando un utente visita questi siti,
il suo browser visiterà automaticamente un altro sito che
attaccherà il browser.
Di solito, il browser visita il sito pericoloso
perché il sito legittimo, o una delle risorse
incluse nel sito legittimo, è
stata modificata per includere contenuti del sito pericoloso.
Noi segnaliamo agli utenti le pagine malware perché quando un utente visita
la pagina infetta, il contenuto di un sito pericoloso
sfrutta una vulnerabilità nel browser dell'utente.
Se riesce a sfruttarla, il software dannoso
viene caricato automaticamente sul computer dell'utente
a sua insaputa.
Il software dannoso potrebbe essere spyware per raccogliere
le credenziali bancarie dell'utente o malware
che utilizza il computer infettato per inviare spam.
Compromettendo il computer dell'utente,
l'hacker ha aggiunto un altro nodo
nella propria rete di malware, che può
essere utilizzato per attaccare altri computer o siti web.
MAILE OHYE: Il tuo esempio mostra proprio
il modo in cui il malware si diffonde come una malattia infettiva.
Per favore, spiegaci in che modo i proprietari di siti possono
scoprire se il proprio sito è stato infettato da malware
o se il loro sito è stato coinvolto nell'infezione degli altri.
LUCAS BALLARD: Ok.
Navigazione sicura di Google mostra pubblicamente queste informazioni
a tutti gli utenti, anche se non sei
il proprietario verificato del sito.
Con il nostro portatile andiamo alla pagina di diagnostica
Navigazione sicura di Google.
È all'indirizzo www.google.com/safebrowsing/diagnostic?site=
e poi scrivi il tuo sito.
Ad esempio potrei aggiungere googleonlinesecurity.blogspot.com.
Qui puoi vedere lo stato attuale del tuo sito in relazione
alla sicurezza di navigazione nelle tue pagine per gli utenti.
Il mio team gestisce le scansioni che generano
questi dati.
Per fortuna, il nostro blog Online Security è sicuro.
Diamo un'occhiata a un sito infettato da malware
per visualizzare ulteriori informazioni su ciò che ognuno di voi potrebbe vedere.
Il tipo di informazioni che vedi sulla pagina di diagnostica Navigazione
sicura di Google è lo stato attuale del sito, ovvero,
è probabile che il sito sia sicuro?
O è sospetto e pericoloso per gli utenti?
I siti infettati con malware sono ovviamente indicati come sospetti.
Sotto, in Che cosa è successo quando Google ha visitato il sito?,
sono indicate informazioni più dettagliate.
Ad esempio, puoi vedere quali siti pericolosi
sarebbero inclusi dal tuo sito.
Puoi anche visualizzare informazioni relative allo stesso sito pericoloso.
Ancora una volta il sito pericoloso viene utilizzato per ospitare il malware
per infettare gli utenti e verificare se il tuo sito era incluso
in una rete malware più grande.
Facendo clic sul sito pericoloso o sulla rete
vengono visualizzate più informazioni in Navigazione sicura.
Le ultime informazioni in questa pagina
indicano se il tuo sito è stato utilizzato come intermediario
per infettare altri siti o per ospitare malware.
MAILE OHYE: Grazie, Lucas.
Proseguendo, ora che conosciamo i malware,
puoi spiegare in che modo esaminare in sicurezza
il danno sul nostro sito?
LUCAS BALLARD: Ottima domanda.
Sono contento che tu l'abbia fatta.
Prima di visualizzare pagine, eliminare file o modificare il sito,
cominciamo con diversi suggerimenti per esaminare i malware.
Innanzitutto, non utilizzare il tuo browser
per aprire una pagina web infetta.
Come detto prima, spesso il malware
si diffonde sfruttando le vulnerabilità del browser.
L'apertura di una pagina web infetta nel tuo browser
può causare solo guai.
Poi, per esaminare il codice dannoso è molto utile
avere accesso al server.
Poiché qualche malware è configurato in modo che venga
visualizzato solo in base a user-agent, cookie, referrer,
ora del giorno, sistema operativo o versione del browser,
è utile vedere il vero codice sorgente
della pagina per comprenderne meglio il contenuto
e il comportamento.
Infine, ci sono un paio di strumenti utili
per condurre richieste HTTP di diagnostica o i recuperi della pagina
e per valutare il danno al tuo sito.
Poiché spesso gli hacker configurano reindirizzamenti dai siti legittimi per
attaccare i siti, potrebbe non essere sufficiente guardare semplicemente il
codice sorgente di una pagina per rilevare i reindirizzamenti.
Dovrai recuperare la pagina.
Due strumenti utili, spesso disponibili gratuitamente,
sono Wget e cURL.
Wget e cURL creano richieste HTTP
e possono essere configurati per includere riferimenti,
user-agent o informazioni sul browser.
Queste funzionalità sono utili per rilevare
alcune delle sofisticate tecniche che gli hacker utilizzano
per evitare il rilevamento.
Ad esempio, l'hacker potrebbe configurare il sito
per reindirizzare solo a contenuti dannosi
quando l'URL viene richiesto da una pagina dei risultati di ricerca,
il che significa che se l'utente ha fatto una ricerca su google.com,
la sua richiesta di una pagina includerà un referrer Google.
Offrendo solo contenuti dannosi
agli utenti con un referrer di Google, l'hacker
ha preso di mira più persone reali e può ostacolare meglio
il rilevamento attraverso scansioni webmaster e
malware.
La ricerca di Wget e cURL dovrebbe
restituire risorse che ne spiegano l'utilizzo.
MAILE OHYE: Per ricapitolare quello che hai spiegato,
mentre esamini malware sul nostro sito, uno,
non aprire la pagina in un browser.
Due, visualizza il codice sorgente della pagina in un file system.
Tre, cerca reindirizzamenti e controlla il codice sorgente
attraverso Wget o cURL.
LUCAS BALLARD: Abbiamo già visitato la pagina di diagnostica di
Navigazione sicura per osservare
dettagliatamente come è stato colpito il nostro sito.
Ora concentriamoci sulla sezione Malware
di Strumenti per i Webmaster.
MAILE OHYE: In quanto proprietario verificato del mio sito,
accedo a Strumenti per i Webmaster, seleziono il mio sito,
Diagnostica e poi Malware.
Lucas, puoi dirci qualcosa di più sulle informazioni
che il tuo team mostra in questa pagina?
LUCAS BALLARD: Certo.
Nella pagina Malware, in alto sono presenti
due pulsanti: Scarica questa tabella e Richiedi un controllo.
Puoi utilizzare il pulsante Richiedi un controllo
una volta che il tuo sito è senza malware.
Prima di arrivarci, però,
dobbiamo valutare il danno.
La tabella in questa pagina mostra un esempio
degli URL infettati del tuo sito,
il tipo di infezione riconosciuto dalle nostre scansioni
e la data più recente in cui è stato rilevato.
Facendo clic sull'URL, arrivi alla pagina Dettagli malware
con elementi di azione specifici.
Alcuni esempi di URL non presentano il tipo di infezione.
Benché le nostre scansioni hanno riconosciuto l'URL come dannoso,
non siamo stati in grado di identificare il comportamento specifico.
Per gli altri, ti darò una spiegazione approfondita
per ciascun tipo di infezione in un video a parte.
Dopo aver esaminato ogni URL di esempio in Strumenti per
i Webmaster, l'ultima azione prevista in questo passaggio
consiste nel valutare più in generale i danni al tuo sito.
MAILE OHYE: Sì.
Valutazione del danno al filesystem è l'ultimo video
da guardare in questo passaggio.
Valutazione del danno al filesystem è utile per
compilare un elenco dei file modificati o aggiunti
dal criminale informatico per agevolare la pulizia nei passaggi successivi.
Grazie Lucas.
Per ogni tipo di malware sul tuo sito,
guarda i relativi video di Lucas su argomenti
come configurazione del server, iniezione SQL e modello di errore.
Dopo aver esaminato il danno per tutti i tipi di malware
sul tuo sito, esegui una valutazione generale del
file system.
Dopo aver completato queste azioni,
vai al passaggio successivo: Identifica la vulnerabilità.
Siamo sempre più vicini al ripristino.
Resisti.