I MAC infettati da Flashback per colpa di blog WordPress hackerati

Alexander Gostev di securelist.com ha pubblicato un interessante articolo in cui descrive l’origine e la propagazione dell’infezione Flashback che ha colpito molti computer MAC nell’ultimo periodo. Come si può leggere su molti articoli in rete, il malware sfrutta una vulnerabilità del Java, già risolta da tempo da Oracle (l’azienda che sviluppa Java). Il ritardo da parte di Apple nell’applicare tale aggiornamento ha creato il terreno fertile per l’infezione.

La parte interessante dell’articolo, almeno per me che parlo di WordPress, è l’origine dell’infezione. Sembra che a cavallo di Febbraio/Marzo 2012, decine di migliaia di siti WordPress sono stati compromessi. Non è chiaro in che modo, ma ci sono due supposizioni: la prima è che fossero versioni non aggiornate contenenti falle di sicurezza, la seconda che i blogger avessero installato il plugin malevolo ToolsPack. Si stima che i blog infetti siano dai 30.000 ai 100.000 e l’85% sia negli Stati Uniti.

Sfrutto questa occasione per sottolineare alcuni aspetti importantissimi.

Aggiornare WordPress

E’ importante tenere WordPress aggiornato all’ultima versione disponibile, per avere sempre gli ultimi aggiornamenti di sicurezza ed evitare che malintenzionati sfruttino falle note da tempo per caricare codice malevolo sul blog.

Aggiornare plugin e temi

E’ lo stesso discorso di WordPress, con la differenza che, se un tema o un plugin non viene aggiornato da tempo, conviene sostituirlo con uno più recente che abbia funzioni equivalenti. I temi più semplici difficilmente possono dare problemi, mentre bisogna prestare particolare attenzione a quelli che usano script esterni (es. timthumb, nel quale la scorsa estate era stata individuata una vulnerabilità gravissima).

Prestare sempre attenzione ai plugin che si installano.

Non tutti i plugin sono scritti bene e alcuni possono essere delle vere e proprie trappole. Per esempio ToolsPack promette di aggiungere al blog molte funzionalità esclusive di WordPress.com, ma in realtà crea una backdoor (una porta) tramite cui un hacker può installare ed eseguire codice a piacimento sul blog. Quando si sceglie un plugin, se non si è esperti, si può fare affidamento sul rating e sul numero di download: solitamente 4/5 stelle e decine di migliaia di download sono il bliglietto da visita di un ottimo plugin.

  • Dottore in ingegneria informatica che scrive _computer MAC_ e non _computer Apple_ o al massimo _Mac_ tale da permettere lo scambio di MAC Address per FANdonie