Si chiama “Safe Browsing” il servizio impiegato da Chrome così come da Firefox e Safari per allertare gli utenti circa la potenziale pericolosità di un sito web. Google ha appena festeggiato i primi cinque anni dalla nascita di questo strumento, utile per evitare che gli utenti possano imbattersi in siti web malevoli. Niels Provos, uno dei responsabili del team di Google che si occupa di sicurezza, spiega che “Safe Browsing” ha subìto, nel corso degli anni, numerosi aggiornamenti con l’obiettivo di adattare il servizio alle sempre più evolute tattiche adottate da chi sviluppa malware. “Abbiamo costruito un’infrastruttura capace di rilevare automaticamente i contenuti pericolosi distribuiti dai quattro angoli del pianeta“, ha affermato Provos.
Grazie alla tecnologia “Safe Browsing“, Google scoprirebbe, a cadenza giornaliera ben 9.500 nuovi siti web dannosi: il dato comprende sia quelle pagine che sono create, da parte di malintenzionati, con lo scopo di tentare l’infezione dei sistemi client connessi, sia i siti che sono invece oggetto di un qualche tipo d’attacco. È risaputo, infatti, che chi scrive malware spesso cerca di bersagliare siti web piuttosto famosi con lo scopo di provocare (ad esempio mediante attacchi del tipo SQL injection) il caricamento di codice dannoso insieme con quello – assolutamente legittimo – che caratterizza il sito aggredito.
Gli algoritmi utilizzati da “Safe Browsing“, aggiunge ancora Provos, consentono di ridurre al minimo i cosiddetti falsi positivi: se, tentando di visitare una pagina web, appare il messaggio d’allerta di Google che segnala la presenza di materiale dannoso sulla pagina di destinazione, è quindi altamente probabile che le cose stiano proprio così.
Sono poi tantissimi gli utenti che, quotidianamente, vedono apparire la schermata di avviso malware di Google: Provos rivela che il messaggio d’allerta viene esposto, ogni giorno, a qualcosa come 12-14 milioni di utenti che effettuano delle ricerche con il motore di Mountain View. Una cifra immensa.
Il responsabile di Google aggiunge che l’azienda si è poi da tempo fatta parte attiva nella lotta contro il malware: la società, infatti, non soltanto cerca di proteggere tempestivamente gli utenti ma informa gli amministratori dei siti web infetti affinché possano prendere i dovuti provvedimenti e risolvere l’infezione (vedere, ad esempio, l’articolo “Google avvisa i proprietari di 20.000 siti web infetti“). Allo stesso tempo, Google avvisa anche i provider Internet e le autorità nazionali che forniscono risposta alle emergenze informatiche in modo da tenere le reti il più possibile “pulite”.
Per quanto riguarda il numero di siti infetti da malware, stando alle statistiche rese note da Google, il loro numero assoluto è pressoché stazionario sebbene sia fortunatamente in diminuzione rispetto, ad esempio, al 2009 quando si registrò un picco mai raggiunto prima. Il fenomeno del phishing è poi attualissimo e, proprio in questo primo semestre del 2012, ha raggiunto l’apice da quando il colosso fondato da Larry Page e Sergey Brin ha dato vita al servizio “Safe Browsing“.
Le vulnerabilità di tipo “SQL injection” sono ad esempio la “bestia nera” per chi gestisce siti web ad elevato traffico. Si chiama “SQL injection” una particolare pratica di attacco che mira a colpire applicazioni web che si appoggiano a DBMS (ad esempio, Access, SQL Server, MySQL, Oracle e così via) per la memorizzazione e la gestione di dati. L’attacco si concretizza quando l’aggressore riesce ad inviare alla web application, semplicemente usando il browser, una query SQL arbitraria. Quando i dati ricevuti in ingresso dalla pagina web dinamica non vengono opportunamente filtrati, l’interrogazione SQL posta in input dall’aggressore – direttamente nell’URL richiamato da client -, potrebbe essere “agganciata” alla query legittima effettuata a livello server dall’applicazione web. I risultati possono essere drammatici: l’aggressore, nel caso in cui l’attacco dovesse andare a buon fine, può essere in grado di alterare i dati memorizzati nel database ed aggiungere informazioni maligne nelle pagine web dinamiche generate a partire dal contenuto della base dati. Il criminale informatico, quindi, potrebbe riuscire ad aggiungere una tag HTML che invochi, a sua volta, uno script maligno dalle varie pagine web che compongono il sito legittimo, noto agli utenti. Tale script, che generalmente fa uso di codice JavaScript offuscato, solitamente cerca di provocare il download di malware, spesso di “rogue software” ospitati su server remoti, sfruttando vulnerabilità note del browser o dei plug-in installati. Ecco perché è importantissimo mantenere sempre costantemente aggiornati i software che si utilizzano, soprattutto tutti quelli che s’impiegano per “comunicare” in Rete.