domenica 30 dicembre 2007

Un Comune poco comune... - seconda parte

Nel precedente post Un Comune poco comune... avevamo visto come l'utilizzo di forum male o assolutamente non gestiti, in particolare, nell'ambito di siti istituzionali (Comuni, Provincie, Regioni o Enti Pubblici ) possa venire sfruttato da malintenzionati per usarli come elenchi online a pagine, per lo piu' con contenuti porno, create apposta per distribuire malware o links a malware.
Nonostante il problema sia conosciuto, sembra che chi gestisce i siti di Enti Pubblici non si interessi minimamente delle pagine relative ai forum con il risultato che attualmente ci sono forum aggiornati quotidianamente con links malware e ne escono continuamente dei nuovi.
Questa volta ne vediamo uno che presenta un campionario di links a siti con malware, che spazia dai falsi codec video fino a pericolosi files camuffati da setup il cui contenuto viene difficilmente riconosciuto dai softwares antivirus in circolazione.

SI tratta del sito del Comune di xyz che da quanto si vede sulla home non sembrerebbe molto aggiornato.
In compenso il forum e' veramente aggiornato come vediamo dalle date degli ultimi post

Questa e' una tipica pagina di indice dei posts (le date sono attuali)

Il forum permette di allegare immagini con link, nel testo del messaggio e di questa possibilita se ne approfitta in quasi tutti i post:

altro esempio:

Si tratta di link che puntano a pagine con falsi codec da scaricare per poter vedere il filmato oppure links a siti come quello che vediamo qui sotto che imita fedelmente il layout di Youtube ma con contenuti porno.


Questo sito e' abbastanza pericoloso in quanto il programma setup.exe che viene fatto scaricare viene riconosciuto come malware da pochi softwares antivirus

File setup.exe received on 12.30.2007 12:55:10 (CET)
AntivirusVersionLast UpdateResult
AhnLab-V32007.12.29.112007.12.29-
AntiVir7.6.0.462007.12.29-
Authentium4.93.82007.12.29-
Avast4.7.1098.02007.12.29Win32:Zlob-AHS
AVG7.5.0.5162007.12.29-
BitDefender7.22007.12.30-
CAT-QuickHeal9.002007.12.29-
ClamAV0.91.22007.12.30Trojan.Dropper-2529
DrWeb4.44.0.091702007.12.30Trojan.Popuper.origin
eSafe7.0.15.02007.12.27-
eTrust-Vet31.3.54122007.12.29-
Ewido4.02007.12.29-
FileAdvisor12007.12.30-
Fortinet3.14.0.02007.12.30-
F-Prot4.4.2.542007.12.29-
F-Secure6.70.13030.02007.12.30-
IkarusT3.1.1.152007.12.30-
Kaspersky7.0.0.1252007.12.30-
McAfee51952007.12.28-
Microsoft1.31092007.12.30TrojDown:Win32/Zlob.gen!AL
NOD32v227552007.12.29-
Norman5.80.022007.12.28-
Panda9.0.0.42007.12.30-
Prevx1V22007.12.30-
Rising20.24.52.002007.12.29-
Sophos4.24.02007.12.30-
Sunbelt2.2.907.02007.12.30-
Symantec102007.12.30-
TheHacker6.2.9.1752007.12.29-
VBA323.12.2.52007.12.29-
VirusBuster4.3.26:92007.12.29-
Webwasher-Gateway6.6.22007.12.29-

Additional information
File size: 80114 bytes
MD5: 4a018ac32aabf15af5c03cc1ab9bceff
SHA1: 6a82c620c39f0f481d5f63fcb59a59aa66bfac8f
PEiD: -

Come si vede la percentuale di positivi e veramente molto bassa.

L'elenco degli utenti al forum e' continuamente aggiornato da nuove iscrizioni generate probabilmente da qualche sistema automatico che consente di scaricare sullo stesso migliaia di links in brevissimo tempo.


Edgar

sabato 29 dicembre 2007

Aggiornamento storm worm e Blogger

Attualmente sono attivi o sono stati utilizzati i seguenti domini contenenti la pagina che distribuisce storm worm


Ricordo che quelli in verde sono i nomi di dominio gia' utilizzati in passato dalla rete storm worm

Il file eseguibile malware sino ad ora ha assunto i seguenti nomi

e questi sono gli oggetti delle mails di spam ricevute che linkavano alla pagina con malware (fonte US-CERT)

che possono essere utilizzati anche come chiave di ricerca su Google per trovare quei blogs Blogger contenenti i links al pericoloso malware.

Fortunatamente pare che Google abbia preso sul serio la minaccia e stia provvedendo a bloccare l'accesso ai blogs che contengono i pericolosi links.


Edgar

venerdì 28 dicembre 2007

Attackers Exploiting News of Benazir Bhutto Assassination - Analisi dello script.

Visto che lo script java presente sulle pagine di News ma anche su siti Blogger in riferimento all'attentato a Benazir Bhutto sembra essere molto diffuso , cerchiamo di vedere che cosa combina...

Intanto il file javascript viene caricato dal sito b15.3322.org che ad un whois risulterebbe hostato in USA.
Questo e' il contenuto dello script:


ad una prima decodifica otteniamo un nuovo codice intermedio che dobbiamo comunque decodificare


e finalmente decodificando questo script otteniamo

Come si vede si viene reindirizzati sulla pagina ie.htm hostata sempre sul medesimo server

A questo punto carichiamo la pagina e ci ritroviamo di nuovo con una serie di javascript offuscati


decodifichiamo ad esempio uno dei codici offuscati ed otteniamo

all'interno del codice possiamo notare nomi di funzioni che si commentano da sole... (exploit)

Senza entrare in ulteriori dettagli possiamo vedere che in questo javascript abbiamo riferimenti ad alcuni file eseguibili che probabilmente sono parte integrante dell'exploit e precisamente

Infatti, dopo aver decodificato il semplice codice contenuto nello script, vediamo che ad esempio viene referenziato il file qq.exe
Il file risulta presente sul sito, possiamo scaricarlo, ed a una analisi con Virus Total appare come:

File qq.exe received on 12.28.2007 12:21:37 (CET)
AntivirusVersionLast UpdateResult
AhnLab-V3---
AntiVir--TR/Crypt.XPACK.Gen
Authentium---
Avast---
AVG---
BitDefender---
CAT-QuickHeal--TrojanDownloader.Agent.c
ClamAV---
DrWeb---
eSafe--Suspicious File
eTrust-Vet---
Ewido---
FileAdvisor---
Fortinet---
F-Prot--W32/Heuristic-162!Eldorado
F-Secure--Trojan-Downloader:W32/Agent.FOQ
Ikarus---
Kaspersky--Trojan-Downloader.Win32.Agent.gwx
McAfee--Generic Downloader.c
Microsoft---
NOD32v2---
Norman---
Panda--Suspicious file
Prevx1---
Rising--Packer.Win32.VmpPacker.a
Sophos--Mal/Basine-C
Sunbelt---
Symantec---
TheHacker---
VBA32---
VirusBuster---
Webwasher-Gateway--Trojan.Crypt.XPACK.Gen

Additional information
MD5: b70c0911f849a139df48ac197af71aba

Nello script sono inoltre presenti altri due riferimenti i files a sofzlcn.exe e cuteqq_CN.exe entrambi file con contenuto malware.

Edgar

Attackers Exploiting News of Benazir Bhutto Assassination - BlogSpot again

In queste ultime ore stiamo assistendo ad una attivita' di diffusione malware in rete veramente sostenuta che colpisce in maniera massiccia anche Blogger.
Prima abbiamo visto i siti Blogger nei quali e' stato aggiunto un link o piu' links a pagina malware storm worm mentre e' di poco fa la notizia che Websense Security Lab ha lanciato una allerta per la presenza in rete, a poche ore dei tragici fatti in Pakistan, di siti con notizie sull'attentato a Benazir Bhutto che conterebbero un javascript malevolo.

Una ricerca con Google conferma l'esistenza di queste pagine pericolose

Ecco il contenuto di una di queste

Tra l'altro vista la rapidita' con la quale sono stati attivati questi script al momento Google non segnala nessun pericolo sulla pagina che si va' ad aprire e che contiene lo script.

Ma non e' finita qui ....

Tra le altre cose, secondo TrendLAbs Malware Blog il codice JavaScript è apparentemente non esclusivo di siti di notizie - sembrerebbe anche presente in altri siti web, di contenuto vario.
Sembra che molti altri siti siano stati compromessi (o che includano comunque il JavaScript maligno), compresi Autoworld, il Vino, Dogpile, MSN, BlogSpot (sì, di nuovo), ecc

Facendo una ricerca per chiave il link del java script maligno, infatti


di nuovo BLOGGER !!!!


Edgar

Ora storm worm attacca Blogger - New Year’s Storm Links now in Blogger

Cambia di nuovo la pagina che invita a scaricare storm worm ma adesso, questa e' la novita' delle ultime ore, link al pericoloso malware storm worm sono comparsi anche su Blogger ed in numero notevole.
Il nuovo layout della pagina storm worm ha aggiunto una piccola immagine al testo



questo e' il source


dove si vede che e' stato codificato il link al file malware( happynewyear2008.exe) in un codice javascript offuscato ma in maniera minima ( nessuna codifica particolare)


La novita' piu' grave e' che stanno comparendo links ad una pagina identica , anche se differente url, sui blogs di Blogger. (newyeracards2008.com)

L'oggetto del post che linka alla pagina storm worm e' vario

ed anche


ed i post sembrano tutti datati a partire dal 27 dicembre


Sembra che in parte si tratti di pagine blog create appositamente mentre altre sono pagine gia' presenti sulle quali in qualche maniera e' stato inserito il falso post

Il link punta ad una pagina con differente url ma stesso layout di quella tradizionale vista prima e che naturalmente e' hostata su botnet fast-flux.
La modalita' con la quale e' stato inserito il falso post che linka malware potrebbe ancora una volta aver sfruttato la particolare possibilita di blogger ( To post to your blog via email, you need to configure your Mail-to-Blogger email address in Settings | Email) che permette l'invio tramite e-mail dei messaggi da postare. (come era gia' successo gia' in precedenza su Blogger)

In ogni caso la pericolosita' di questo nuovo attacco e' ancora piu' elevata se si vede che attualmente solo pochi antivirus (28%) rilevano la minaccia

File happynewyear2008.exe received on 12.28.2007 02:11:15 (CET)
AntivirusVersionLast UpdateResult
AhnLab-V32007.12.28.102007.12.27-
AntiVir7.6.0.462007.12.27TR/Crypt.XDR.Gen
Authentium4.93.82007.12.28-
Avast4.7.1098.02007.12.27Win32:Zhelatin-ASX
AVG7.5.0.5162007.12.27-
BitDefender7.22007.12.28-
CAT-QuickHeal9.002007.12.27-
ClamAV0.91.22007.12.27-
DrWeb4.44.0.091702007.12.27-
eSafe7.0.15.02007.12.27-
eTrust-Vet31.3.54072007.12.27-
Ewido4.02007.12.27-
FileAdvisor12007.12.28-
Fortinet3.14.0.02007.12.27-
F-Prot4.4.2.542007.12.28-
F-Secure6.70.13030.02007.12.27-
IkarusT3.1.1.152007.12.28-
Kaspersky7.0.0.1252007.12.28-
McAfee51942007.12.27W32/Nuwar@MM
Microsoft1.31092007.12.28Backdoor:Win32/Nuwar.gen!A
NOD32v227512007.12.27-
Norman5.80.022007.12.27-
Panda9.0.0.42007.12.27Suspicious file
Prevx1V22007.12.28Stormy:Worm-All Variants
Rising20.24.32.002007.12.27-
Sophos4.24.02007.12.27Mal/Dorf-H
Sunbelt2.2.907.02007.12.27-
Symantec102007.12.28Trojan.Peacomm
TheHacker6.2.9.1722007.12.27-
VBA323.12.2.52007.12.26-
VirusBuster4.3.26:92007.12.27-
Webwasher-Gateway6.6.22007.12.27Trojan.Crypt.XDR.Gen

Additional information
File size: 141313 bytes
MD5: b23eea0280e4de6f371410739b5c9a6d
SHA1: 2eaf60bfd558e1ba849a7a77a0ec10a87219bb64
PEiD: -


Persino Kaspersky che di solito e' uno dei softwares che in passato risultava sempre avvisare del pericolo su questo nuovo eseguibile storm non da nessuna positivita'.

Vedremo nelle prossime ore se ci sara' un ulteriore aumento di questi messaggi pericolosi sui blog di Blogger e comunque al momento una ricerca con Google trova centinaia di pagine compromesse dai pericolosi links.

Per chi usa blogger sara' opportuno verificare di non aver attivato l'opzione di trasferimento post da mail e comunque controllare che non siano stati inseriti falsi post e links sul proprio blog.

Come avevo scritto precedentemente abbiamo la conferma che si cerca, ancora una volta, di sfruttare servizi gratuiti internet che coinvolgono un numero enorme di utenti (vedi i recenti casi Orkut Google e Myspace ) per diffondere malware o impossessarsi di dati personali per fini illeciti.

Edgar

giovedì 27 dicembre 2007

False pagine natalizie su Blogger

Ultimamente anche Blogger e' sempre piu' colpito da diversi tipi di pagine che definisco 'spazzatura'

Si va da quelle che linkano parti del testo di altri blogs (e' gia' capitato 2 volte anche a questo blog), solo per cercare di avere piu' contatti da una ricerca Google, sino a pagine che contengono malware o links a malware.

Facendo un po di ricerche su Blogger si puo trovare un notevole numero di blogs il cui solo scopo e' quello di tentare di far scaricare falsi player o codec video che in realta' sono pericolosi codici malware e visto che siamo in periodo di festivita' natalizie evidentemente viene sfruttato l'interesse di chi naviga in internet per tutto quello che e' collegato al Natale.

Alcuni esempi:
Blog EMAIL SANTA

Dove abbiamo un falso player video, in realta' una semplice immagine JPG con link.

Questa pagina blog contiene a sua volta numerosi links ad altre pagine blogger con simili contenuti

Esaminiamo la modalita' di attacco:

Se si clicca sul falso player ( immagine jpg ) si viene reindirizzati su una pagina contenente un player fasullo che ci propone di scaricare il codec necessario alla visualizzazione del filmato e che comunque attiva, in automatico, il download del file eseguibile VideoAccessCodecInstall.exe contenente il malware.

Questa pagina ad un whois risulta hostata su server locato in Malesia

Esaminato con Virus Total il file VideoAccessCodecInstall.exe abbiamo risultati veramente sconcertanti .... Verrebbe quasi da pensare che si tratti di un file pulito esente da problemi.
Tra l'altro alcuni dei software che riconoscono la presenza del malware lo definiscono solo come file sospetto.
Ecco il report di VT:

File VideoAccessCodecInstall.exe received on 12.27.2007 02:43:24 (CET)
AntivirusVersionLast UpdateResult
AhnLab-V32007.12.27.102007.12.26-
AntiVir7.6.0.462007.12.26-
Authentium4.93.82007.12.26-
Avast4.7.1098.02007.12.26-
AVG7.5.0.5162007.12.26-
BitDefender7.22007.12.27-
CAT-QuickHeal9.002007.12.26(Suspicious) - DNAScan
ClamAV0.91.22007.12.26-
DrWeb4.44.0.091702007.12.26-
eSafe7.0.15.02007.12.26Suspicious File
eTrust-Vet31.3.54052007.12.26-
Ewido4.02007.12.26-
FileAdvisor12007.12.27-
Fortinet3.14.0.02007.12.27-
F-Prot4.4.2.542007.12.26-
F-Secure6.70.13030.02007.12.27-
IkarusT3.1.1.152007.12.27-
Kaspersky7.0.0.1252007.12.27-
McAfee51932007.12.26-
Microsoft1.31092007.12.27TrojanDropper:Win32/Nuwar.gen!lds
NOD32v227482007.12.27-
Norman5.80.022007.12.26-
Panda9.0.0.42007.12.26-
Prevx1V22007.12.27-
Rising20.24.21.002007.12.26-
Sophos4.24.02007.12.26-
Sunbelt2.2.907.02007.12.27-
Symantec102007.12.27-
TheHacker6.2.9.1702007.12.26-
VBA323.12.2.52007.12.26MalwareScope.Worm.Nuwar-Glowa.1
VirusBuster4.3.26:92007.12.26-
Webwasher-Gateway6.6.22007.12.27Worm.Win32.Malware.gen!80 (suspicious)

Additional information
File size: 101392 bytes
MD5: 92a4a13fc99f010753ec10887a41f7df
SHA1: 13361bcb361bd1531d220666e12e4433beed73b1
PEiD: -

Probabilmente si tratta di una nuova variante che al momento risulta sconosciuta alla maggior parte dei motori di ricerca malware, almeno basandosi sulle firme digitali dei virus.

Il file malware viene scaricato da un server locato in Danimarca


Simili contenuti li troviamo su una grande quantita di pagine Blogger come vediamo ad esempio nel blog Myspace Christmas Graphics


I blogs a tema natalizio con incluso links a falso player sono veramente numerosi.




Non si usano comunque solo la festivita' natalizie come oggetto di blogs malware ma anche molti altri argomenti.... Si va dalle ricette di cucina a filmati hard di celebrita' ....


In questo caso i links sono diversi ma il file malware viene sempre scaricato dal server in Danimarca.

Come succede sempre piu' spesso, si cerca quindi di sfruttare spazi resi disponibili liberamente sulla rete per utilizzarli al fine di distribuire malware sotto forma di pagine blog fasulle oppure sfruttando vulnerabilita' presenti nel software di gestione di blogs o social networks (vedi ad esempio i recenti casi di Orkut Google o di Myspace ) e questa tendenza sta aumentando costantemente.

La pericolosita' di questa pratica e' ancor piu' evidente se si pensa che ci troviamo di fronte a pagine costantemente aggiornate sia come argomenti trattati ma ancor di piu' come contenuti malevoli che sembrano sempre di piu non essere rilevati in tempi rapidi dai softwares antivirus in commercio.

Edgar

martedì 25 dicembre 2007

Aggiornamento storm worm.

Sono solo passate poche ore dalla comparsa della pagina di storm worm a tema natalizio che la stessa e' gia sparita sia dal dominio merry christmas dude . com che dai soliti domini di storm worm (ptowl.com ecc...)
Al posto della pagina vista nel precedente post ora abbiamo uno scarno messaggio che invita ad avviare un generico download.


Potrebbe essere che il sito linkato precedentemente abbia problemi e che si sia ricorsi a questa soluzione o forse come gia successo la pagina Mrs.Clause non abbia funzionato come previsto e si sia pensato di sostituirla con un altro tipo di download.
D'altronde se si arriva alla pagina tramite una mail di spam conta relativamente poco che ci sia solo un link oppure una pagina web completa, dato che l'insidia consiste sempre nello scaricare un file pericoloso.
L'unica differenza e' che ora non e' piu presente l'iframe con il codice javascript offusato.

Il file scaricato se si clicca sul link e' ora happy2008.exe


che VT rileva come malware storm ma solo un numero ridotto di softwares av evidenzia la minaccia.

Inoltre sulla pagina merry christmas dude . com come anche sui domini storm tradizionali e' hostato , ma succedeva gia' in passato, il file sony.exe (non esiste un link ma se si prova a scaricarlo il download funziona) e questo file sembra addirittura essere meno riconosciuto dagli av rispetto a happy2008.exe

Il malware sony.exe e' sempre una variante di storm worm.
Se si passano al sito Anubis i due files scaricati vediamo che entrambi installano il file disnisa.exe sul pc colpito e questo conferma sostanzialmente che ci troviamo di fronte ad una variante dello stesso malware contenuto nel precedente stripshow.exe.

Stesso tpo di pagina e' disponibile anche sul dominio uhavepostcard.com.

Aggiornamento 26/12
Il nome del file scaricabile e' passato da happy2008.exe a happy-2008.exe.
Con Virus Total il 40% degli antivirus trova il malware mentre tra i software piu' noti che non danno ancora avviso di contenuto pericoloso abbiamo McAfee, Sophos, FSecure ;
NOD32 invece sembra che ora si accorga del pericolo.

Edgar

New RealPlayer Exploit

Seondo quanto pubblicato da TrendLabs Malware Blog saremmo in presenza di un nuovo exploit che cerca di sfruttare eventuali vulnerabilita' non corrette del noto player.
Il suo principale obiettivo è quello di approfittare di vulnerabilità conosciute delle seguenti versioni di RealPlayer:

6.0.10 *
6.0.11 *
6.0.12 *
6.0.14 *
* 6.0.14.536
* 6.0.14.543
* 6.0.14.544
* 6.0.14.550
* 6.0.14.552

Una volta eseguito, l'exploit provoca uno stack overflow e il download del malware.

Quello che ha di particolare e' che esegue preventivamente un accurato controllo della macchina da attaccare.
Infatti controlla se la macchina è in esecuzione Windows 2000 o XP con Internet Explorer versione 6 o 7 . Inoltre verifica la versione di RealPlayer installato per determinare la modalita' di attacco.
Se l'attacco ha esito positivo si connette a http://xxxxxxxxxxxx .g.biz/1.exe e scarica un file dannoso.
L'exploit viene classificato da TrendMicro come EXPL_REALPLAY.H mentre il malware scaricato dal sito e' PE_MUMAWOW.AO-O salvato come file A.EXE in Windows system folder.

Edgar

Il ritorno natalizio di storm worm.

Anche se un po' in ritardo rispetto alle previsioni, come c'era da aspettarsi insieme al Natale e' arrivata anche la nuova ondata di mails che linkano a siti storm worm e la relativa pagina con contenuti natalizi pericolosi.

La mail riporta come oggetto
Subject: I love this Carol!
Subject: Santa Said, HO HO HO
Subject: Christmas Email

Subject: The Perfect Christmas
Subject: Find Some Christmas Tail

Subject: Time for a little Christmas Cheer

ed anche
“Merry Christmas To All”
“Warm Up this Christmas”

“Mrs. Clause Is Out Tonight!”

“The Twelve Girls Of Christmas”

“Jingle Bells, Jingle Bells”

“Cold Winter Nights”


e presenta nel testo un collegamento al sito merry christmas dude
Questo e' un tipico testo del messaggio:

I know you hate these kind of emails but this one is different. This will be the best 2 min you spend this holiday. hehe http:// merry christmas dude . com/

Aprendo la pagina in questione , come al solito, c'e la proposta al download di un programma stripshow.exe che questa volta ci dovrebbe far vedere l' Holiday Strip Show.

Chiaramente si tratta di un file malware che rendera' il nostro pc uno 'zombie' ai comandi di un computer remoto ed entrera' a far parte della rete botnet di storm worm.
Virus Total riporta infatti il contenuto pericoloso di stripshow.exe che viene visto da molti AV ma al momento ne restano fuori alcuni abbastanza noti tra cui NOD32, Panda, Prevx ...

Anche se in quasi tutti i siti che riportano il nuovo malware non se ne parla , la stessa pagina e' 'disponibile' sui domini per cosi dire tradizionali della rete storm worm, ad esempio su ptowl.com

Sia la pagina su merry christmas dude . com/ che quelle sui tradizionali domini storm presentano ip che cambia con modalita fast-flux come siamo ormai abituati a vedere da tempo su questo genere di rete botnet.
Per curiosita' ecco un nslookup del dominio ptowl dove si nota il TTL (tempo di vita dell'indirizzo IP a 0 secondi)
Una volta attivato il programma malware crea ed esegue sul pc il file eseguibile disnisa .exe che contiene nel suo file cfg l'elenco dei peer a cui collegarsi
Questo e' il report generato dal servizio Anubis dell'Universita' di Vienna che esegue il file in ambiente protetto e mostra i risultati di cio' che avviene in un dettagliato report:

Anche senza scaricare il file si puo' comunque finire vittima del sito storm worm attraverso la presenza sulla pagina merry christmas dude . com di un iframe con codice javascript offuscato (dovrebbe trattarsi del codice del Neosploit attack kit- attacco con exploit multipli ) mentre la tecnica usata per nascondere l'iframe pericoloso e' simile a quella usata nel precedente sito storm di Halloween.

Se ci colleghiamo una seconda volta al sito non verra' piu' riproposto un iframe con script pericoloso ma l'iframe conterra' un link a Google. Questo e' possibile in quanto viene memorizzato l'IP di chi vista le pagine storm worm.

Per chi volesse approfondire nei dettagli come opera il file eseguibile un interesante articolo e' disponibile qui.

Per chi volesse visualizzare i siti storm di cui sopra consiglio, come sempre, di prendere le massime precauzioni onde evitare di attivare sul proprio computer un malware molto pericoloso.
Inoltre, a parte il file eseguibile del download, il codice javascript offuscato presente nell'iframe sembrerebbe utilizzare il Neosploit attack kit che come dicono alcuni commenti su siti in rete " ....... NeoSploit, is a toolkit that launches an arsenal of prepackaged exploits specifically tailored for the user’s browser. ..." quindi pericoloso.

Per quanto si riferisce alla Botnet Storm Worm invece, sembra sempre ben attiva e come si vede gli sforzi per consolidarne la struttura ed espanderla continuano.

Edgar

lunedì 24 dicembre 2007

Buone Feste e Felice 2008

Edgar from Bangkok

Un Comune poco comune...

Ritorno sull'argomento relativo alla gestione di Siti Istituzionali (comuni, province, regioni, enti ...) poiche' mi pare che i problemi relativi a contenuti di forum, guest books ecc..., rispetto ai 4 precedenti post , abbiano fatto un salto di qualita' incorporando nel messaggio del post non solo links ma anche immagini.
Non pubblichero' l'url del sito che chiamero' Comune di xyz visto che siamo a dei livelli di contenuti che fanno concorrenza ai piu' noti siti porno presenti in rete.

Analizziamo in dettaglio questo specifico caso:

Questa e' la home page dei Lavori del Consiglio Comunale del sito del Comune di xyz


Sono disponibili vari link a pagine con documentazione sui lavori del Consiglio Comunale, verbali, delibere ecc... La pagina fa parte del sito del Comune che e' aggiornato e presenta numerosi links a pagine di servizi, notizie , ecc...
Sono persino presenti dei link a blogs, gestiti dai consiglieri comunali .....
Purtroppo pero' il sito comunale comprende anche un forum e qui, come gia visto altre volte, iniziano i problemi per il sito del Comune di xyz.
L'uso di un forum su questa tipologia di pagine web potrebbe, in teoria, essere molto utile per avvicinare i cittadi alle Istituzioni, ma l'uso che se ne fa' e principalmente la cattiva gestione lo rendono uno strumento pericoloso per la credibilita' di tutto il sito.
Questa e' la main page del "Forum dei Progetti" dove possiamo vedere i vari 'argomenti' trattati anche se in realta' il contenuto e' un po diverso da quello che e' annunciato dai titoli...
Come si vede e' presente una nota al riguardo dell' esclusione di responsabilita', e ne hanno ben ragione, in quanto vista la mole di immagini e links potrebbero esserci anche foto o collegamenti su siti al limite della denuncia penale.
Questo mi pare implichi anche alcune riflessioni su quello che potrebbe accadere dal punto di vista legale a chi gestisce un sito e tiene online pagine , che potrebbero, al limite, ospitare, link a pagine web con contenuti perseguibili dalla attuale normativa italiana.

ed ecco una delle molte pagine di indice dei vari post dove possiamo notare che molti dei nuovi messaggi presentano date recenti , segno che il forum e' attivo e frequentato


e adesso vediamo un po di contenuti.... che ha differenza di altri forum simili, includono immagini

Insieme alle immagini abbiamo comunque centinaia di links ad ogni tipo di sito di genere porno

Questo invece e' ad esempio un post del forum La nostra Citta' !

altro post

Se ci fossere dei dubbi ecco le 2 url a confronto quella della home del Consiglio Comunale e quella del forum


La homepage del sito del Comune di XYZ riporta come vedete “manutenzione in corso'
Che stiano cercando di ripulire il forum ??? (ma ci credo pco)


In ogni caso il fatto che si arrivi ad avere centinaia di post con simili contenuti fa pensare, ancora una volta , che chi amministra il sito non sia a conoscenza che sul server del Comune di xyz e' hostato anche un forum e denota, in ogni caso, una 'certa' superficialita' su come viene gestito, come d'altronde succede per moltissimi atri siti dell' Amministrazione Pubblica italiana.

Edgar