lunedì 16 marzo 2009

Regione 'Externalink'

Ritorno sull'argomento in quanto dopo alcuni mesi dal precedente post ed anche avendo 'tentato' di segnalare il problema a chi gestisce il sito, nulla e' cambiato.

Il phishing e' sempre di moda e qualcuno potrebbe anche approfittare di questa strana implementazione della gestione dei links a pagine o siti esterni che viene attuata su questo sito di importante regione italiana.

Si tratta della gestione di links ottenuta aggiungendo l'indirizzo web del sito o pagina esterna da visitare, ad una particolare url (/externalink/ ) del sito regionale e che consente al browser di visualizzare un frame con il contenuto del link in questione.

Un risultato molto simile alla pratica di frame injection gia' utilizzata in passato anche su link proposti da mails d phishing ma questa volta del tutto voluta da chi ha creato il sito.

Questi alcuni esempi di pagine tuttora online o documenti scaricabili dalla rete

ed anche notiamo la presenza dell'indirizzo /extenalink/ su questo documento scaricabile dalla rete

(notare l'url esterna specificata di seguito all'indirizzo del sito della regione) che dimostra come questa particolare possibilita' sia stata sfruttata in passato per scopi pienamente legittimi.

Purtroppo, c'e' chi ne ha approfittato per un uso totalmente diverso da quello previsto dai creatori del sito

Se infatti andiamo ad eseguire una ricerca, ad es. su Google abbiamo

In pratica centinaia se non migliaia di links a siti di dubbia affidabilita' che propongono i links il cui indirizzo ha nella parte iniziale l'url relativa al sito regionale.

Ed ecco il risultato

dove vediamo, ad esempio, un falso scanner Av (attivo e perfettamente funzionante) visualizzato nel frame aggiunto al sito della regione.

La cosa interessante e' che, comunque, questa volta, non si tratta di una possibilita' offerta dal sito in maniera nascosta ma invece di una funzionalita' implementata ed utilizzata volutamente che viene o forse veniva appunto vista come un veloce sistema per linkare siti o pagine esterne al sito regionale, mantenendo il top della pagina web con il link al sito ufficiale della regione.
Il rischio maggiore e' che, trattandosi di sito di Amministrazione Pubblica, noto e ufficiale, si potrebbe sfruttare questo stratagemma per eventuali azioni di phishing che potrebbero portare alla creazione es. di mails, con links a pagine malware , files pericolosi, ecc... o, forse ancora peggio, false pagine di login per sottrarre dati sensibili, facendo credere al visitatore di trovarsi su sito affidabile e noto.

A conferma di questo, possiamo notare che utilizzano un addon Firefox che mostra l'indirizzo IP attuale

, ci verra' indicato, in maniera ingannevole, l'IP del sito Regionale e non quello del falso Sito Av.

Edgar

Nessun commento: