Malware: cosa è la contaminazione Cross Site

Malware: cosa è la contaminazione Cross Site

Traduzione autorizzata da Sucuri che detiene il copyright dell’articolo. Leggi l’articolo originale (in Inglese)

Se sei oggetto di più infezioni e il tuo sito è in un account multiplo, ci sono alte probabilità che stai soffrendo di contaminazione tra siti.

La contaminazione tra siti si verifica quando un sito è influenzato negativamente dai siti vicini all’interno dello stesso server a causa di scarso isolamento sul server o sulla configurazione dell’account. Questo fenomeno è uno dei maggiori contributori al dibattito se gli hosting VPS / Dedicato / Shared  siano più o meno insicuri.

Il più grande contributore alla contaminazione cross-site è quello che si chiama server soup-chicken. Sono quegli ambienti in cui vengono eseguiti ogni tipo di installazione e configurazione. Può includere 10 o 100 di siti o piattaforme diverse (ad esempio, Drupal, Joomla, WordPress, etc.).

Il problema non è la quantità. Possono anche includere siti in diverse fasi della loro vita – sviluppo, stage, produzione.

I più grandi colpevoli di queste configurazioni sono le agenzie, gli sviluppatori freelance e aspiranti hosts.

Contattaci per informazioni

chiama 339 848 3250

Isolamento Funzionale

Il concetto di isolamento funzionale non è nuovo ma può essere difficile da impiegare. È l’idea che un ambiente deve essere utilizzato per un solo scopo. Un esempio classico potrebbe essere quello di utilizzare un server web come server di posta elettronica o viceversa. La regola generale è che l’utilizzo di un ambiente per più di uno scopo è una pratica negativa. L’applicazione teorica e pratica, tuttavia, sono sempre due cose diverse.

La maggior parte delle organizzazioni (individui) non si sogna nemmeno di avere un server per sito, e in molti casi ciò è impraticabile. Quindi la mia raccomandazione è dividerla in tre: tecnologia, funzione e stage.

1- Tecnologia: non mescolare le tecnologie se possibile. Ad esempio, non mischiare siti Drupal con siti WordPress, ecc … Ogni piattaforma è fondamentalmente diversa, ed è più facile mettere in sicurezza un ambiente simile che cercare di ricordare ciò che è presente nell’ambiente.

2- Funzione: non mescolare le funzioni del server. Se si dispone di un server di posta elettronica, non utilizzarlo come server di file o server web, ecc … Utilizzare l’ambiente per quello per cui è destinato.

3- Fase: Non mescolare diverse fasi di vita per ogni sito. Le tappe si riferiscono al fatto se siamo in fase di sviluppo, di collaudo o di produzione. Bisogna avere almeno due ambienti – sviluppo e produzione. Tre sarebbero ideali (inclusi i test) ma per molti non sono pratici (o con costi proibitivi).

La prossima cosa a cui devi pensare – gli account.

Gli host condivisi hanno una cattiva reputazione per la scarsa sicurezza, ma non è del tutto vero. Mentre è vero che ci sono state delle problematiche in passato, stiamo parlando circa 2010/2011, in questi giorni i problemi con gli host condivisi non sono gli stessi host condivisi, ma le multi relazioni tra un account e molti siti da parte dei proprietari di siti web.

Esempio: un account gestisce 100 siti.

In queste configurazioni, gli attacchi che stiamo vedendo non sono quelli che si muovono lateralmente tra gli account dell’host condiviso, ma piuttosto quelli che si muovono lateralmente all’interno dello stesso account.

È importante che quando si configura l’account creare utenti unici per ogni sito e accertarsi che le autorizzazioni siano tali che un utente non possa muoversi tra gli utenti sullo stesso account.

Firewall di siti web e contaminazione tra siti

La cosa più frustrante per un proprietario di un sito web è quando vengono utilizzati tutti i controlli di sicurezza consigliati e i siti continuano ad essere infettati.

Lo viviamo sempre con i clienti che hanno utilizzato i nostri controlli, incluso il nostro firewall e succede una reinfezione.

In 9 su 10 casi, le reinfezioni si verificano a causa di attacchi interni (non esterni).
La sfida nell’affrontare il problema, tuttavia, è che richiede indagine ed istruzione.

– Attacchi interni: attacchi in cui il malintenzionato è in grado di sfruttare le debolezze interne nell’ambiente per eseguire atti nefasti (esempio: contaminazione tra siti) spostandosi lateralmente in tutto l’ambiente.

– Attacchi esterni: attacchi in cui il malintenzionato è in grado di sfruttare in modo remoto le debolezze per accedere e procedere ad eseguire un atto nefasto (esempio: sfruttamento di una vulnerabilità software in remoto – pensare a SQL).

 

L’infezione sul tuo sito non significa necessariamente che sia il sito stesso sfruttato. Se continui a sperimentare più reinfezioni, è bene guardare l’intero ambiente e vedere se una qualsiasi delle condizioni sopra descritte potrebbe contribuire alle problematiche.

I maggiori contributori che troviamo quando eseguono le nostre indagini di reinfezione includono:

  1. Siti web dimenticati sullo stesso account
  2. Siti web configurati male sullo stesso account
  3. Siti web che non sono stati protetti nello stesso account

Se sei un proprietario di sito web chiedi al tuo sviluppatore o al tuo host qual’è il loro approccio per gestire più siti web sullo stesso server e account. Chiedi loro se stanno gestendo altri siti nel tuo account e come possono fornire le assicurazioni che il tuo sito sia correttamente isolato.

 

Prevenire la contaminazione del sito

L’approccio che propongo qui è semplice, conveniente e il primo passo per migliorare la tua posizione globale di sicurezza. Pagherà i dividendi per contribuire a ridurre i rischi connessi con la contaminazione tra siti, aiutando anche a semplificare le attività di manutenzione.

L’isolamento funzionale è un vecchio concetto, ma forse il meno discusso. Vorrei estendere questo per incoraggiarvi a considerare non solo l’isolamento funzionale, ma anche l’isolamento dell’account. Combinati, entrambi questi ridurranno drasticamente la minaccia che è contaminazione tra siti.

Alcuni pensieri a conclusione:

  • Se decidi di usare qualche difesa come il Sucuri Firewall, assicurati di averlo distribuito in tutti i siti dello stesso account e che tu abbia seguito tutti i passaggi per garantire l’accesso diretto al server.
  • Se ti  preoccupi solo di un sito, e non degli altri 99, sposta quel sito nel proprio ambiente.
  • Se hai un server che fa tutte le cose, fermati! Sfrutta i tuoi server e gli account in base alle raccomandazioni fornite sopra.
  • Se sei un proprietario del sito, fai domande, diventa membro coinvolto nel processo.
  • La sicurezza è tua responsabilità tanto quanto i tuoi progettisti o l’host.

Se hai bisogno di aiuto con un sito hackerato o stai lottando con la contaminazione tra siti, Sucuri offre servizi professionali di rimozione di malware di siti web, proteggendo e monitorando il tuo sito web.

Articolo originale di Tony Perez, Tony è Co-Founder & CEO presso Sucuri.

Ti potrebbe interessare anche

Federico Benvenuto
info@fedegrafia.com

Mi chiamo Federico Benvenuto, web designer e grafico freelance a Pordenone.

Mi occupo di creazione siti internet, consulenza web marketing e SEO, di grafica e stampa, corsi su contenuti internet e servizi fotografici.

Ho una specializzazione Tecnico web designer – editing multimediale e in Comunicazione digitale per l’e-government ottenute presso Enaip FVG.

Ho conseguito il diploma di Fotografia Professionale Avanzata presso CSG G. Micesio di Udine.

Sono laureato in Economia e Commercio ed ho una specializzazione di secondo livello in Marketing per le piccole medie imprese.

Lavoro principalmente per pmi, enti pubblici e organizzatori eventi della provincia di Pordenone, Udine e del Veneto orientale (province di Venezia e Treviso).

Nessun Commento

Prima di pubblicare il commento dichiaro di aver letto, compreso ed accettato la privacy policy

Pubblica commento