Per impedire la navigazione in siti di phishing o in pagine contenenti malware, Google ha sviluppato (tempo addietro) l'estensione per Firefox "Google Safe Browsing", adesso la tecnologia è stata integrata nella "Google Toolbar for Firefox".
Il meccanismo principale con cui sono identificate le visite a siti web dannosi, in tempo reale, è il costante confronto con una blacklist (ad altissima velocità di aggiornamento) contenente gli indirizzi da evitare.
L'indirizzo web della blacklist si recupera rinominando il file dell'estensione della Google Toolbar google-toolbar-win.xpi, in google-toolbar-win.zip; come saprete, infatti, le estensioni di Firefox non sono altro che (semplificando) una serie di file javascript e XML, compressi in un file zip...
Dentro il file amulet-jslib\globalstore.js è presente il dominio http://sb.google.com/safebrowsing/ (con diverse funzioni: lookup?, update?, report?, results? e getkey?), nel file amulet-jslib\phishing-warden.js sono presenti i vari elenchi da prelevare da questo dominio: goog-black-url (la blacklist che cercavamo), goog-black-enchash (una versione della blacklist codificata), goog-white-domain e goog-white-url (domini ed indirizzi autorizzati).
Molti dei siti indicati nella blacklist, non sono più attivi, perchè identificati e bloccati dalle autorità, ma tantissimi sono quelli ancora vivi e dannosi; è evidente, analizzando la lista, che i siti più emulati, per ottenere i dati sensibili degli ignari utenti, sono quelli dei servizi bancari (Banca Intesa o Mediolanum, per citare casi italiani) e quelli di commercio elettronico (ebay, paypal, amazon, ecc..)
Gli sforzi per fare in modo che l'indirizzo da visitare contenga il nome del dominio da emulare sono tra i più fantasiosi, come ad esempio http://www.paypal.logins-submits.cgi-bins.XXXX.com, dove naturalmente il reale nome di dominio è XXXX.com e non Paypal...; in questo momento è sotto feroce attacco www.volksbank.de (con 342 indirizzi falsi, dai quali i phisher tentano di ottenere le username e le password dei clienti della banca)..
Un elenco utile quindi, per monitorare i trend di attacco, le entità più colpite e per analizzare le tecniche sempre più raffinate di questi furbacchioni...
06 gennaio 2007
google blacklist: la lista dei cattivi
Pubblicato da Francesco Passantino - sabato, gennaio 06, 2007
Iscriviti a:
Commenti sul post (Atom)
0 commenti:
Posta un commento