L'alterazione del comportamento del sito è già di per sé un atto dannoso, ma l'entità del danno ed i nuovi comportamenti del sito possono essere molto diversi. Si può avere un evidente modifica del comportamento, tale da rendere visibile il cambiamento anche al visitatore occasionale, oppure la modifica può essere più subdola, così da non essere percepibile durante la normale attività.

Cos'è un malware?

Un malware è una piccola parte di codice software, aggiunta sfruttando le vulnerabilità del sito, che modifica il comportamento del sito stesso.

Malware

Tipicamente l'installazione base di un CMS (e.g. Wordpress o Joomla) conta più di 10.000 singoli file ed un malware generalmente è formato 1-2 file di piccole dimensioni caricati in qualche anfratto dell'albero del filesystem, rendendo molto oneroso rintracciare la ragione di un comportamento anomalo ad essi dovuto.

I malware possono eseguire molteplici operazioni tra cui:

  • modificare l'aspetto del sito web
  • registrare il comportamento del visitatore ed i sui dati personali
  • estrarre dal database informazioni sensibili che non dovrebbero essere divulgati, sia riguardanti i visitatori che dell'azienda proprietaria del sito
  • distribuire virus che si installano sui computer del visitatori e da li si propagano ulteriormente
  • utilizzare il sito come punto da cui eseguire attacchi verso obiettivi più interessanti (e.g. botnet)

Come viene infettato un sito web?

Infected Website

I modi con cui un malintenzionato può infettare un sito (ovvero caricare un malware al suo interno) sono estremamente numerose, ma si possono distinguere in tre gruppi principali:

  • accesso tramite lo sfruttamento di un bug nel software del sito
  • accesso tramite un errore di configurazione del sistema
  • accesso tramite credenziali sottratte in altro modo

Nel primo caso il problema è strutturale (e.g. un ladro che per entrare sfonda una serranda difettosa) e l'unico modo per proteggersi è utilizzare nel proprio sito software affidabile (prodotto con rigorosi controlli di qualità) ed aggiornare lo stesso frequentemente (i produttori di software rilasciano frequenti aggiornamenti proprio per eliminare anche quei pochi difetti che superano il controllo di qualità). Non è però mai possibile assicurare al 100% che non vi siano errori di programmazione (anche solo una linea errata tra decine o centinaia di migliaia), quindi mantenere il sistema aggiornato con le ultime patch di sicurezza è sempre la prima linea di difesa.

Nel secondo caso il problema è invece operativo (e.g. un ladro che entra da una finestra lasciata aperta), in questo caso l'importante è affidarsi a professionisti preparati per il setup e la manutenzione del sito. In molti casi dopo aver avviato il sito la manutenzione viene lasciata in secondo piano, o spesso non viene neppure eseguita in attesa di un malfunzionamento che obblighi ad eseguire aggiornamenti per ripristinare la funzionalità persa. Pertanto una manutenzione regolare che oltre a mantenere il software aggiornato, aggiorni la configurazione rispetto alle linee guida di sicurezza più recenti, è necessaria per limitare le probabilità di infezione del sito.

Il terzo caso tratta di accessi indesiderati tramite meccanismi di autenticazione previsti ed di per se, funzionanti in modo tecnicamente sicuro, ma con credenziali sottratte tramite ingegneria sociale o altri raggiri del personale autorizzato. Tipicamente, se le politiche di gestione utenti sono ben progettate, un normale utente non sarà in grado di caricare un malware (ma comunque potrebbe essere in grado di sottrarre dati o impersonare l'utente legittimo ed operare in nome e per conto suo); per fare questo sarà necessario l'accesso di un amministratore di sistema. Questo scenario si può mitigare solo fornendo un'adeguata formazione al personale ed implementando una politica di accesso (e.g. ciascun utente è abilitato a tutto e solo ciò che gli è necessario).

Quali conseguenze può avere un malware?

Come spiegato più sopra (Cos'è un malware?), le operazioni che può compiere un malware sono diverse, con diversi livelli di gravità e possono avere conseguenze dirette o indirette sul funzionamento del sito.

Conseguenze dirette

Tra le potenziali conseguenze dirette si possono menzionare:

Modifica dei contenuti

Il malware modifica in tempo reale i contenuti prodotti dal sito web, ed i visitatori ricevono informazioni diverse da quelle previste

Phishing / furto di dati

Il malware si sostituisce al sito ed invia i dati inseriti dai visitatori a terzi.

Estrazione di dati

I dati residenti del database sono generalmente più protetti (a meno di bug nel software) rispetto a quanto presente nel filesystem. Il caricamento di un malware però può consentire al malware stesso l'accesso al database esattamente come se si trattasse del software di gestione del sito permettendo il prelievo non autorizzato dei dati ivi presenti.

Diffusione di contenuti infetti

In questo caso il malware potrebbe essere presente all'interno di file che risiedono legittimamente sul sito. Ad esempio, il file di un listino prezzi potrebbe essere modificato per includere un ransomware o un trojan e così favorendone la distribuzione in modo anonimo su un target definito (potenziali clienti del sito).

Conseguenze indirette

Le conseguenze indirette non sono visibili direttamente facendo un "giro di controllo" sul sito, poiché in alcuni casi lo scopo non è direttamente legato al danneggiamento del sito, ma al danneggiamento di altre strutture.

Server hijacking

Un malware caricato nel sito web può prendere il controllo del server arrivando a veicolare attacchi verso altre piattaforme oppure per sfruttarne le risorse per altri scopi.

Botnet

Le botnet sono reti di computer o server compromessi che sono utilizzate per condurre attacchi (tipicamente Denial of Service - "DoS", ma non solo) su larga scala verso piattaforme terze, sfruttando le risorse di server già compromessi. Alcuni malware consentono di prendere possesso del server e tramite un'azione coordinata, indirizzare l'utilizzo delle risorse verso altre attività di attacco.

In questi casi, quand'anche non vi fossero danni diretti, il rischio maggiore è di essere coinvolti in azioni legali da parte delle entità sotto attacco per omissione di controllo.

Conclusioni

Una corretta configurazione ed una regolare manutenzione del sito è fondamentale per ottenere un buon grado di sicurezza dei siti web.

In particolare, riguardo ai costi di manutenzione, WebKeeper può essere un valido supporto per l'esecuzione del monitoraggio ed il controllo delle minacce al fine di migliorare la sicurezza ed al tempo stesso contenere i costi di manutenzione.