Su questo blog in numerosi post, e' stato illustrato, l'uso di decine di siti legittimi per reindirizzare a pagine che propongono la vendita online di medicinali (viagra e derivati ma anche altri generi di farmaci).
Come scritto in questo post del 2011, la distribuzione di medicinali di dubbia affidabilita' attraverso siti appositamente creati, era e rimane ancora una delle maggiori attivita' illegali in Internet ed anche questa breve analisi odierna, conferma che poco e' cambiato.
Per analizzare come si sviluppa la distribuzione attuale useremo una semplice ricerca in rete eseguita attraverso uno script Autoit che in maniera molto semplice, permette di rappresentare i risultati di ricerca,in una tabella html ed in modo semi-grafico che mostra la struttura dei siti coinvolti.
La ricerca verra' limitata a partire dal mese di dicembre 2012 sino alla data odierna per ridurre i risultati proposti, anche perche' ad esempio Google, mantiene links a molte pagine che, se il tempo trascorso dalla loro indicizzazione e' di qualche mese, saranno probabilmente bonificate dai contenuti di redirect e quindi non piu' interessanti ai fini dell'analisi.
Ecco come si presentano i risultati visualizzati nella modalita' semigrafica dove notiamo il buon numero di siti indicizzato e relative sottopagine.
La tabella html generata dallo script ci mostra invece il dettaglio della ricerca ed in particolare:
1) alcuni risultati (evidenziati in rosso), che apparentemente non hanno riferimenti diretti a Pharmacy (termini come viagra, cialis ecc....non sono presenti)
2) una buona parte di risultati con i tipici termini relativi a siti di Pharmacy (evidenziati in giallo)
3) la terza colonna a destra con i termini trovati dal motore di ricerca durante l'indicizzazione delle pagine e dove risultano anche alcune pagine prive di qualsiasi riferimento a Pharmacy.
Poiche' lo script pone nella colonna centrale il riferimento cliccabile con link alla pagina trovata, possiamo vedere cosa succede caricando nel browser i contenuti trovati.
Cliccando ad esempio sul link relativo a portale turistico di Firenze abbiamo nel browser
oppure scegliendo un link relativo a Comune .IT abbiamo
Questo succede su quasi tutti i link presenti e farebbe erroneamente pensare che il motore di ricerca abbia trovato pagine in realta' su siti senza problemi o comunque bonificate dai contenuti di redirect..
Conoscendo pero' come vengono gestite queste 'distribuzioni' di links attraverso azioni di compromissione di siti, proviamo, prima di continuare l'analisi dei links, ad impostare l'invio da parte del browser di un 'referer' costituito da questa semplice stringa 'Google viagra'
Il referer (o HTTP referer) e' semplicemente l'URL di un elemento che conduce all'elemento corrente: ad esempio, il referer di una pagina HTML pu? essere un'altra pagina HTML. In sostanza, esso rappresenta la fonte dalla quale un utente e' venuto a conoscenza di una pagina. Il referer e' parte integrante di una request HTTP inviata dal browser al webserver.(fonte Wikipedia)
Esistono allo scopo diversi addons Firefox tra cui 'HeaderControlRevived' che presenta il grosso vantaggio rispetto ad altri addons simili, di settare il referer di default per tutti i siti che andremo ad aprire senza dover indicare nel dettaglio la singola url su cui applicare il nuovo referer
Fatto questo, torniamo a cliccare sui links e come c'era da aspettarsi la quasi totalita' apre direttamente un sito di Pharmacy.
Es. nel caso del portale turistico avremo
invece che
Questa pagina invece
al posto del legittimo sito comunale
ed ancora
al posto di
oppure al posto del sito personale di un famoso scrittore italiano questa pagina
Interessante anche notare come ci sia una probabile origine comune a un certo numero di azioni di compromissione in quanto in molti casi non si viene linkati direttamente al sito di Pharmacy ma si passa attraverso sito di redirect.
Ecco a confronto la connessione al sito comunale
e quella del sito personale dello scrittore
In entrambi i casi si passa ai contenuti di Pharmacy attraverso sito intermedio che gestisce tra l'altro un redirect random a differenti contenuti ma sempre di cataloghi di vendita online di medicinali.
L'uso di un referer, cioe' semplicemente della possibilita' di 'informare' il sito linkato della nostra provenienza, es. da una ricerca Google attraverso parole chiave come viagra ecc... , e' quindi la chiave di questo genere di distribuzione di links a Pharmacy.
Chi vuole infatti 'pubblicizzare' i siti di vendita medicinali provvedera' ad includere in siti legittimi i codici di redirect che in primo luogo analizzano da dove proviene il visitatore.
Se lo stesso appare giungere sul sito da una ricerca es. Google con parola chiave 'viagra' verra' cosi' automaticamente portato su sito di vendita di viagra e derivati.
Quando invece verra' effettuata una ricerca del sito, senza riferimenti es. al termine viagra l'utente sara' linkato al sito legittimo senza che poi intervenga il re-indirizzamento alla farmacia online.
Una terza possibilita' e poi quella che si voglia comunque segnalare a Google, o meglio al suo motore di ricerca, da parte di chi crea e gestisce il sito di Pharmacy, la presenza delle pagine compromesse collegandole a nomi come 'viagra, cialis, ecc........)
Chi include i codici di redirect a Pharmacy ha infatti interesse che cercando in Google con i termini visti sopra, appaia tra i primi risultati proprio il link al sito compromesso e quindi ai relativi codici di redirect.
Per fare questo esiste la possibilita' di utilizzare il riferimento generato dall'user agent.
(Il termine 'User Agent' e' utilizzato soprattutto in riferimento ai client che accedono al World Wide Web. Oltre ai browser, gli user agent del web possono essere i crawler dei motori di ricerca, i telefoni cellulari, ecc....)
Quando gli utenti di Internet visitano un sito web, una stringa di testo e' solitamente inviata (dal browser) per fare identificare al server lo user agent. Questo fa parte della richiesta HTTP, con prefisso "User-agent:" o "User-Agent:" e tipicamente include informazioni come il nome dell'applicazione client, la versione, il sistema operativo e la lingua.)(fonte Wikipedia)
Si tratta cioe' di fare in modo che quando Google visita il sito compromesso, trovi centinaia se non migliaia di termini relativi a Pharmacy e li usi per creare il maggior numero di risultati di ricerca.
Sempre partendo dai link visualizzati nella tabella odierna, generata dallo script Autoit, abbiamo un bell'esempio di come si procede in questi casi.
Ecco il sito proposto cliccando in tabella su link ad albergo IT
Se, come gia' visto, seguiamo il link impostando pero' un referer come “Google viagra' avremo
cioe' il redirect alle pagine di Pharmacy.(notate come questa volta i contenuti di Pharmacy linkati parrebbero essere gia' presenti all'interno del sito e no su altro linkato (vedi url))
Se invece attiviamo un 'user agent' come Google Bot ossia simuliamo la visita del sito da parte del motore di ricerca di Google otterremo
dove si nota come Google, visitando la stessa pagina, veda una grande quantita' di termini utili a creare parecchi risultati di ricerca che puntano al sito con inclusi i redirects.
Di solito poi, chi vuole distribuire links, in questo caso a contenuti di Pharmacy, ma a cosa vale anche per altri generi come links a siti di vendita online di merce spesso contraffatta, links a siti porno (vedi questo recente post) ecc...., non si limitera' ad includere codici di redirect su una sola pagina ma su tutte o quasi le pagine che compongono il sito compromesso.
Ad es. ecco un ricerca a links di Pharmacy utilizzando una singola l'url vista prima relativa al sito di turismo
o questo risultato, nel caso del sito comunale
dove appare evidente il grande numero di pagine del medesimo sito coinvolte nel proporre links a Pharmacy.
Come si nota da questa breve analisi l'uso di 'referer' ed 'User Agent' contribuisce sia a rendere automatico il riconoscimento delle ricerche effettuate e quindi il re-indirizzamento ai siti di Pharmacy ma permette anche, cosa molto importante per chi vuole distribuire i links, un occultamento degli stessi codici all'interno dei siti compromessi.
Per chi visita il sito da una normale ricerca (senza termini quali ...viagra..ciallis ecc... o direttamente dalla url digitata nel browser, la presenza dei links o dei termini atti a favorire le ricerche online di medicinali sara' del tutto ininfluente.
I links presenti verranno cosi' nascosti sia ai visitatori ma anche, in molti casi, a chi amministra il sito rendendo non semplice la loro individuazione come dimostrano le decine di pagine e siti compromessi IT presenti attualmente in rete.
Edgar
Nessun commento:
Posta un commento