Agosto, tempo di pensieri poco impegnativi e riposo da tutto.
Niente riposo invece per il nostro amico mentecatto. Anzi, si vedono le prime avvisaglie di una modifica allo schema di spamming, probabilmente per contrastare alcune misure prese dai maggiori motori di ricerca (grazie alle quali il rank di questo sito è collassato da 5 a 3, ma ormai ho smesso di farmi domande). Naturalmente, il numero di blog italiani compromessi continua a crescere, più velocemente di quanti ne vengano ripuliti, a cui vanno aggiunti quelli infetti da mesi e quelli ripuliti male, naturalmente di nuovo violati. La considerazione che ne emerge è che il mentecatto, informaticamente parlando, si dimostra più competente della media dei webmaster. Dovrebbe essere ormai evidente, fin qui, ma puntualizzare non guasta.
Alcuni dei test stanno perdendo di efficacia. Il numero di link emessi dal codice malevolo alla visita di uno spider è passato da 100 a meno di una quarantina, le parole utilizzate cambiano in continuazione, citando medicinali sempre nuovi. In effetti sto imparando nomi di prodotti farmaceutici mai sentiti prima. Stilarne l’elenco è sempre più difficile, data l’estensione del mercato. In questo modo due degli indicatori nel test, quelli con le parole proibite, spesso segnano giallo o addirittura verde. Le parole rilevate sono troppo poche.
Non basta: diventa più difficile trovare i blog compromessi tramite i motori di ricerca, non so che parole cercare. Sarà sempre più difficile scovarne, di blog, e di conseguenza sempre più difficile avvertire le vittime.
Di contro, il mentecatto è tutt’altro che in ferie. Nelle due ultime settimane ho trovato almeno quindici blog italiani che prima non erano presenti fra quelli compromessi, e che ora mostrano i segni della nuova strategia (pochi link e poche parole chiave), quindi a tutti gli effetti sono “freschi di violazione”. Sui blog compromessi da tempo, ed i cui proprietari sono stati avvertiti, anche da mesi, in media ogni pochi giorni cambiano i link e le parole chiave, altro segno che il mentecatto è ancora nella stanza dei bottoni.
Sul fronte temi infetti, oramai sono definitivamente convinto che il danno cerebrale sia irreversibile: proprio qualche giorno addietro ho notato nei log prodotti dal test uno dei test richiesti al controllo. Il link era alla demo di un tema WordPress, offerto da uno dei siti noti per offrire temi troianizzati. Ovviamente il test era negativo NON ESSENDO UN TEST PER TEMI DI WORDPRESS, ma il tema provato era naturalmente farcito con il solito codice PHP per inserire link pubblicitari, nascosto ed offuscato. Mi arrendo. Potrei mettere una domanda obbligatoria nel test, tipo “Hai capito che questo non è un test per temi infetti?”, ma scommetto che non servirebbe. Magari in una prossima versione del test la metto, giusto per farmi due risate.
Ah, a proposito: c’è un blog infetto da mesi nei primi cento di una nota classifica di blog italiani, da me avvertito alla fine di maggio.
Il test è al solito posto. Fatelo, e raccomandatelo ai vostri amici.
Trust no one
#1 da Tambu il 12 August 2008 - 11:11
il mercato dei medicinali è enorme, ma quello dei medicinali con un ritorno economico sufficiente da generare lo spam lo è? voglio dire: spammano anche il collirio giallo che usa solo mia nonna?
#2 da Mario Pascucci il 12 August 2008 - 11:26
Non ho dati certi, ma basta guardare nelle nostre caselle di posta elettronica per avere una conferma che un mercato c’è. E se sono vere le statistiche per cui il 70% (ad essere prudenti) delle email che circolano sono spam, direi che è una conferma forte.
Se poi andiamo a vedere la specifica questione WordPress, le cose sono forse un po’ più complesse. In un recente convegno di Computer Forensics ho mostrato come un blog compromesso da uno spammer può essere sfruttato per ben altre operazioni poco etiche. Questo modello di intrusione praticamente mette il blog in mano ad altri senza che il legittimo proprietario sospetti nulla. Prova lo è il fatto che molti di quelli che ho contattato fanno anche il controllo, ma poi continuano come se nulla fosse.
E questo, dal mio punto di vista, è infinitamente più pericoloso.
#3 da Tambu il 12 August 2008 - 11:43
d’accordissimo, io mi limitavo alla questione dei nomi di farmaci che cambiano. Non apro lo spam, quindi non saprei dire, ma a naso ho sempre sospettato che i farmaci fossero sempre gli stessi. Se mi dici che non è così ci credo, però che possano essere addirittura così tanti da rendere inefficace una blacklist mi angoscia un po’
#4 da Mario Pascucci il 12 August 2008 - 12:53
Beh, ho cominciato a capire che era una impresa vana quando la lista dei soli nomi del medicinali ha superato i 150 elementi, e che vi erano siti chiaramente compromessi in cui nessuno di essi compariva nei link di spam.
)
Al solito gli spammer si sono adattati: se Google “ammazza” i siti con troppi link consecutivi dello stesso tipo, loro spalmano pochi link su molti siti diversi con parole chiave omogenee. Gli ultimi dodici siti visitati oggi avevano ognuno 32 link, tutti con nomi di medicinali non compresi nella blacklist. Ti faccio qualche esempio: Renalka, Levothroid, Lioresal, Lisinopril, Lopressor, Methocarbam, Anabol-AMP, Emsam, Exelon, Tricor, Noroxin, ecc.ecc.
(e con questo mi sono definitivamente affossato il pagerank
#5 da wolly il 12 August 2008 - 17:04
Mario ormai credo il mentecatto non sia più solo chi ha messo in giro questo “giochino”.
Sul forum di wordpress-it continuo a dire di upgradare e se non mi mandano a c@g@re poco ci manca. altri postano problemi con temi infetti gli dici di buttare via tutto ti rispondono che a loro il tema piace.
Mi viene voglia di lasciarli al loro destino.
Sarebbe carino sapere quale top blog è infetto perchè se lo conosco posso convincerlo ad aggiornare.
Magari mandamelo per email che lo contatto anche io.
ciao