Lungo da spiegare, occorre fare una piccola cronistoria
il 4 dicembre mi è arrivata per posta la segnalazione di un utente il quale diceva che, quando apriva il sito notav, il suo norton antivirus segnalava il tentativo di scaricare un software. Il mio antivirus (mcafee enterprise + antyspyware) aggiornatissimo non segnalava niente di strano ed allora non ho dato peso alla questione, fino alla seconda segnalazione. Alla terza (il 5) mi sono attivata con chi ospita il sito notav.it sui suoi server. La risposta è stata:
Le confermo che lato server non si riscontrano problemi, ho effettuato accesso al sito e relativa navigazione in modo corretto, non riscontrando richieste di scaricamento dialer o presenza di pop-up.
Tale problematica non è ralativa al server (il quale viene costantemente aggiornato in tal senso), ma è relativa al Pc in locale che ne riscontra il problema.
Siccome sono tignosa, insisto ma la risposta è sempre la stessa.
Alla terza risposta uguale, mi arrendo; la sicurezza è uno dei problemi che porta via più tempo ed io sono cosciente che sul sito non c'è l'ultima versione sicura disponibile, dunque, penso, nonostante gli accorgimenti presi (quelli così attenti che a tanti utenti han causato il fastidioso problema di trovarsi di fronte ad una pagina nera che gli impedisce l'accesso alle pagine e che li costringe a scrivermi per essere "liberati") forse qualche cracker ha trovato un nuovo sistema per "entrare". E di lì è partita la ricerca, ho interpellato quelli che ritengo i massimi esperti (italiani, come lo è phpnuke, e parlare nella propria lingua è un gran vantaggio) del sistema che regge il nostro sito, non han saputo darmi una spiegazione. Inspiegabile era come fosse possibile che pur non essendoci modo di inserire file sul nostro sito (capito ora perchè le foto ed i pdf andavano inviati a me per la pubblicazione? per essere sicuri che nessuno riuscisse, magari proprio caricando un'immagine contenente anche "altro", ad aprirsi una porta di accesso dalla quale entrare per fare danni), alcuni file risultassero modificati ed altri aggiunti.
In più sembrava che questo "virus" avesse "due gambe" e che i suoi attacchi fossero ben mirati: scoprivo e risistemavo una sua variazione? ne inseriva una di un'altro tipo. Mi connettevo per sistemare? Subito dopo tornava a modificare i file.
La spiegazione, dopo giorni di ricerca sembrava essere una sola: entrano direttamente sul server.
Il 13 dicembre mi decido a richiedere i log di accesso al server ed il risultato è stato proprio questo, il 2 gennaio (con il nostro gestore occorre sempre inviare un paio di volte i documenti, la prima volta non li ricevono e sta a te sollecitare...) abbiamo ricevuto i log dai quali risultava che qualcuno bellamente entrava con le password (come le ha avute? non saprei dirlo, forse con un sistema "brute force" che si mette in atto con programmi che tentano tutte le password possibili? oppure ha avuto accesso alle caselle di posta dove le password erano memorizzate? e chi può dirlo...) modificava quel che gli pareva e voilà.
Nell'attesa dei log che non arrivavano (e ancora nel dubbio che ci fosse qualche "buco") ho comunque deciso di cancellare tutto quel che c'era sul server per rimettere ex novo la versione più aggiornata, ritenuta sicura, (ne esistono di successive ma pare che non siano riuscite bene come quella utilizzata ora).
La faccenda non è finita lì, prima di natale (il 21) abbiamo subìto l'ultima modifica di file (fino al 19 succedeva dalle 2 alle 4 volte al giorno) il 22 ho caricato la nuova versione, qualche giorno di sollievo... ma niente, altre modifiche anche se sporadiche (una il 28 dicembre ed una la notte tra l'1 e il 2 gennaio, ed un'altra, mi auguro vivamente L'ULTIMA, stamattina.. Sembra quasi che il nostro virus con le gambe fosse anche lui in vacanza per le festività...).
Ad ogni modo il 2 gennaio abbiamo ricevuto il log (cioè il file dove sono registrati tutti gli accessi) della serata del 13 dicembre dal quale è evidente che altri si sono connessi (addirittura in contemporanea a me) ed abbiamo richiesto il cambio delle password che FINALMENTE sono state cambiate nella tarda mattinata di oggi.
Ora dovremmo aver finito di combattere contro quest'infimo essere che, se va bene, si diverte a distruggere il lavoro altrui, ma che a giudicare dai tempi di intervento e da un piccolo effetto collaterale che poi vi dirò, sembrerebbe avercela proprio con noi, infatti è arrivato giusto in tempo per impedirci di ricordare a tutta Italia come nell'autunno scorso la sua Democrazia e la sua Costituzione siano state calpestate, per tenerci impegnati in altro che non fosse il riportare le porcherie che in questi giorni si stanno perpretando ai danni dei contribuenti italiani.
Dicevo di un piccolo effetto collaterale di queste scorrerie del lamer (e guardate che lamer è proprio l'insulto più insulto che c'è nel campo dell'informatica)... XXXX (ma dai XXXX? quelli che han millemila filmati delle iene sui loro server ma cancellano quelli che riguardano il tav se solo qualcuno si permette di inserire nelle parole chiave notav o n.o.t.a.v.? altra coincidenza eh?) dicevo XXXXX, che da agosto offre un servizio in più e cioè quello di segnalare nei risultati delle ricerche i siti che potrebbero contenere software malizioso, ci annovera tra i siti che contengono malware.
Ed a questo punto mi chiedo se il caro lamer abbia cessato, o comunque diminuito fortemente, i suoi "attacchi" perchè era in vacanza o perchè ha ottenuto lo scopo di farci segnalare da quello che è forse il maggior motore di ricerca come sito che contiene software dannoso... (ditemi che sbaglio e che non ce l'ha con noi, che non è qualcuno pagato per ottenere proprio questo risultato).
Ad ogni modo ho contattato XXXXXX, perchè è davvero triste oltre al danno (piano piano toccherà ricaricare tutte le immagini e i filmati che c'erano sul sito) dover subire anche la beffa! Ma ho ben per tema che a sarà molto molto dura, peggio che parlare con XXXX (dove immagino che si tratti più di "persone" e della loro attitudine alle relazioni che non di azienda, infatti oggi ho trovato una signorina estremamente gentile che mi ha ricontattato per dirmi che il problema dovuto al cambio password (dava un Internal Server Error) era stato risolto).
Ho detto che dovremmo aver finito di combattere, ma non è affatto detto che tutto sia finito e lo spero ma potrebbe, oltre allo "strascico XXXXX", potrebbe esserci ancora qualche colpo di coda, ma, anche in questo caso, la spunteremo noi.
In ogni caso, per maggior sicurezza, a giorni trasferiremo il sito ad un'altro indirizzo:
www.notav.eu
se ritenete sia il caso, segnatevelo.