A Ovest Di Paperino

Welcome to the dark side.

Siete sicuri di avere il controllo del vostro PC?

Devil La domanda è banale, ma la risposta non lo è. Analisi di un exploit (baco nella JVM di Sun).

Quando navigo di solito tendo ad evitare accuratamente quei siti che richiedono la JVM. Ormai si puo' fare quasi tutto con Flash, AJAX, ASP, .Net, ActiveX (molto meno pericolosi dopo l'uscita del Service Pack 2 grazie alla barra di IE) e davvero non vedo il motivo di scaricare applet vari. Ma il sito delle poste americano, che permette di stampare etichette e francobolli elettronici, richiedeva appunto all'utente di scaricare una applet per stampare.

Premessa:
E cos su quasi tutti i miei PC ho installato la JVM. Il problema purtroppo per questo SW di sistema di Sun è che ha gli aggiornamenti automatici che non sono semplici da configurare. In poco tempo la JVM sui miei PC è diventata obsoleta.
Fase 1:
Navigavo su repubblica.it e mi sono accorto che da qualche giorno, alla sx della foto principale c'era uno strano quadratino 3x3 pixel grigio. Ho pensato subito a qualche baco nei loro template, visto che il quadratino non è che apparisse ad ogni pagina.
Fase 2:
Un collega mi dice che il suo Internet Explorer ha smesso di funzionare. I popup fanno andare la CPU al 100% a tal punto che è costretto ad ammazzare IE ogni volta che clicca su un link malefico. Mi connetto in assistenza remota e scopro la presenza di Trojan e spyware vari.
Decido di investigare e dopo aver pulito il suo PC mi accorgo che il trojan è capace di reinstallarsi semplicemente visitando repubblica. Apro il sorgente della pagina e scopro un applet malizioso che sfruttando un buco della JVM riesce a scrivere un eseguibile in C:\ e a lanciarlo (in barba all'antivirus non ancora aggiornato). L'eseguibile ha ovviamene il controllo completo del PC e comincia a installare un sacco di immondizia.
Fase 3:
Decido di lanciare IE loggandomi come amministratore sul mio PC. Facendo refresh sulla pagina di repubblica filemon mi dice che la stessa cosa sta succedendo sul mio PC.
Fase 4:
Comincio ad indagare la URL da cui l'applet tira gi il necessario e scopro che si tratta di un server Apache misconfigurato. L'olandese (presumo che lo fosse dai commenti nel Java script) aveva trovato un buon host con impostazioni di sicurezza di default e a insaputa dell'owner ci aveva installato l'applet micidiale e i suoi file.
Fase 5:
Evidentemente l'olandese tanto stupido non è. Dopo qualche ora - magari aveva installato un daemon per loggare l'attivit sul server - tira via tutto ed io rimango con un palmo di naso (nel frattempo qualcun altro aveva avuto la stessa mia idea e l'olandese verr arrestato in pochi giorni)
L'amaro in bocca è stato il non poter capire come lo script fosse finito sulle pagine di repubblica. Mi son fatto una mia idea (forse era riuscito a farne l'upload su qualche server akamai) ma il dubbio rimarr per sempre.

Domanda: siete ancora sicuri di avere il controllo del vostro PC?