Video: The Truth Has a Voice | The New York Times (Novembre 2024)
Se ieri hai letto il Los Angeles Times, il New York Times, il Washington Post o l'Huffington Post utilizzando Chrome, potresti aver visualizzato un messaggio sul sito bloccato che informa che il sito potrebbe contenere malware.
Lunedì, alcuni utenti di Chrome che leggono questi siti (e altri) hanno riferito di aver visto un messaggio di errore che informava che Google aveva rilevato contenuti da NetSeer, un "distributore di malware noto", nella pagina richiesta. Se questo sembra confuso, ricorda solo che la maggior parte dei siti Web inserisce regolarmente contenuti da altri siti, come ad esempio online da reti e widget di inserzionisti di terze parti.
NetSeer è una piattaforma pubblicitaria online.
"Google Chrome ha bloccato l'accesso a questa pagina su www.nytimes.com", ha affermato l'avviso del browser. "Il contenuto di cm.netseer.com, un noto distributore di malware è stato inserito in questa pagina Web", ha affermato. La visita del sito "molto probabilmente" infettarebbe il computer con malware.
Lunedì mattina, il sito aziendale di NetSeer è stato infettato da malware. Gli scanner di Google si sono imbattuti nel sito e hanno aggiunto il dominio al suo elenco di siti dannosi. Chrome utilizza l'elenco per impedire agli utenti di navigare verso siti pericolosi.
Per la maggior parte dei siti, quella sarebbe stata la fine della storia, tranne che si è scoperto che la rete pubblicitaria di NetSeer utilizzava lo stesso nome di dominio. Di conseguenza, ogni singolo sito che utilizzava la piattaforma pubblicitaria di NetSeer ovunque sul suo sito ha attivato l'avviso di dominio dannoso di Chrome. su Chrome come dannoso. Tuttavia, la piattaforma pubblicitaria non è mai stata infettata e non è mai stata a rischio di infettare gli utenti, ha detto un portavoce di NetSeer.
Il team di NetSeer ha ripulito l'infezione dalla sua infrastruttura di rete e ha collaborato con Google per rimuovere il dominio dall'elenco dei siti interessati dal malware.
Problema con la lista nera
Molti dei principali browser hanno una sorta di blacklist di dominio per proteggere gli utenti da siti dannosi. Chrome ha Navigazione sicura, Internet Explorer ha SmartScreen e Firefox ha Protezione da phishing e malware. Tuttavia, questo incidente è un esempio di come le blacklist non funzionano sempre.
"La blacklist del dominio potrebbe essere uno strumento troppo rozzo da utilizzare, che di conseguenza ha creato un'interruzione in cui non esistevano rischi reali", ha dichiarato a SecurityWatch George Tubin, stratega della sicurezza di Trusteer.
Invece di un blocco di dominio, l'attenzione dovrebbe essere focalizzata sulla tecnologia di prevenzione dell'exploit poiché "rileverebbe l'exploit in esecuzione indipendentemente dalla fonte", ha detto Tubin.
Utenti target dannosi
La pubblicità dannosa, o "malvertising", si riferisce generalmente all'atto di incorporare l'exploit all'interno di un online (malvertisement). Quando l'utente passa il mouse sopra l'annuncio o fa clic su di esso, l'exploit viene attivato e infetta l'utente. Non è necessario hackerare il sito legittimo, poiché tutto ciò che l'aggressore deve fare è convincere la rete pubblicitaria ad accettare l'annuncio intrappolato. Con l'annuncio incluso nella rotazione, migliaia di siti che utilizzano la rete diventano veicoli per l'attacco.
"Se il servizio di pubblicazione di annunci non rileva l'annuncio dannoso, sarà un complice non disposto nello schema di distribuzione di exploit e malware", ha detto Tubin.
Il problema è grave, dal momento che agli utenti è 182 volte più piace essere infettati da malware da queste pubblicità rispetto ai siti di contenuti per adulti, secondo un recente sondaggio sulla sicurezza di Cisco. In alcuni casi, l'utente non ha nemmeno bisogno di interagire con l'annuncio, poiché il malware lancerebbe un attacco di download drive-by non appena l'annuncio viene caricato.
Gli utenti si stanno infettando anche se "non ha fatto nulla di male", ha detto a SecurityWatch Mary Landesman, ricercatrice senior di Cisco presso Cisco.
Questi annunci dannosi spesso sfruttano il software senza patch sul computer dell'utente. Rimani aggiornato sugli aggiornamenti per il sistema operativo, il browser, i plug-in e altre tecnologie, per ridurre al minimo la superficie di attacco per questi annunci.
Per ulteriori informazioni su Fahmida, seguila su Twitter @zdFYRashid.