Come avrete notato, è passato un po’ di tempo dall’ultimo articolo, complici il periodo natalizio e gli esami da preparare; qualcuno si aspettava un altro articolo ma il lavoro di ricerca e d’intelligence per rendere l’articolo sui Bulletproof hosting esplosivo non è ancora completo (arriverà a breve, stay tuned!).

Introduzione

In estrema sintesi, ci sono due modi per far ottenere visibilità ad un sito internet: il primo è quella di creare contenuti ad alto valore qualitativo, in modo da dare risposte utili agli utenti interessati ad un certo argomento. L’altro è quello di sfruttare alcune caratteristiche degli algoritmi utilizzati dai motori di ricerca per cercare di “imbrogliarli”. Fare “black hat SEO” significa operare nella secona maniera.

Mi spiego meglio, lo scopo di un motore di ricerca è quello di fornire agli utenti risultati il più pertinenti possibile alle loro ricerche. Ciò avviene in automatico, attraverso un’algoritmo che cerca di simulare quello che farebbe un essere umano. Conoscendo come funziona questo algoritmo, cioè come “ragiona” il motore, si può tentare di “fregarlo” creando contenuti a bassa qualità ma fatti su misura per tale algoritmo.

Le tecniche più comuni di black hat SEO

Qui c’è un elenco delle tecniche illecite più diffuse utilizzate dai black hat seo per migliorare il posizionamento di un sito sui motori:

• Testo e link nascosti: il classico testo dello stesso colore dello sfondo della pagina, tecnica vecchissima ma ancora utilizzata; i link nascosti sono link presenti ma non visibili, ed hanno lo stesso colore del testo, senza effetti “onmousehover“.

• Pagine doorway o gateway: si tratta di pagine che non hanno vero contenuto, ma sono state create per essere indicizzate dai motori e “spingere” altre pagine interne del sito o di un altro sito. Non sono utili agli utenti, poiché non contengono informazioni di alcuna natura.

• Cloaking: si tratta di una pagina creata appositamente per i motori di ricerca, diversa da quella che viene invece vista dagli utenti. In breve, quando viene identificato uno spider all’interno del sito, uno script gli mostra una versione differente della pagina web.

• Keyword stuffing: questa tecnica consiste nell’aumentare la frequenza di parole chiave all’interno di un testo, con la speranza di aumentare la pertinenza del sito rispetto alla ricerca di quelle parole.

• Desert scraping: è una tecnica che consiste nel prelevare contenuti non più indicizzati in Google (pagine di domini scaduti, contenuti di siti che sono stati cambiati) e riutilizzarli nei propri siti.

• Link spam: utilizzare software o circuiti automatici di scambio link (link farm) per aumentare la popularity del sito in maniera non naturale.

Per saperne di più su queste tecniche: Wikipedia e Slides

L’inizio, smascheriamo un circuito di link

Oggi guardando su Facebook noto questo post interessante:

Inizialmente ho pensato, ecco i geni, il sito è stato “hackato” e questi al posto di sospendere il servizio “invitano” i fan a non visitare il sito web generando curiosità…

Allora munito di Sandbox e Fiddler visito il sito www.tizianoferro.com e: “AVVISO: se visiti questo sito il tuo computer potrebbe subire danni!”

Perfetto, ottimo inizio!

Proseguo e con mia incredibile sorpresa, non vengo rimandato a un exploit kit e non mi si installa nessun virus, strano…
Allora quardo il sorgente della pagina e al fondo noto:

<script type="text/javascript" src="http://malteser-elsdorf.de/JJTgV8tm.php?id=16201236"></script>

L’indagine

Lo script è un richiamo ad un sito esterno (tedesco) che non ha nulla a che fare con Tiziano Ferro, il file per giunta restituisce un 404 (fittizio) e cerca di mostrare una pagina 404, senza successo. Visito la index del sito precedente e anche questa volta trovo un JavaScript che porta a:
http://luxlimuzyna.home.pl/ZFT5SJgM.php?id=31738606 con una aggiunta:

<script type="text/javascript">
document.writeln('<'+'scr'+'ipt type="text/javascript" src="http://home.hit.stat24.com/_'+(new Date()).getTime()+'/script.js?id=..Dg9.R04w4Ha4LmmHwzFZRMP6Hi_iLEiG52fJ06d7v.u7"></'+'scr'+'ipt>');
</script>

Se notate lo script è commentato, l’url che genera è:
http://home.hit.stat24.com/_1389179269332/script.js?id=..Dg9.R04w4Ha4LmmHwzFZRMP6Hi_iLEiG52fJ06d7v.u7

1. Quindi il formato è molto simile agli url precedenti, per ora però lo lasciamo e continuiamo la ricerca:
2. luxlimuzyna mi porta a www.xtremeorganix.co.uk/LTGExSux.php?id=1592716
3. xtremeorganix a sebastian-hain.com/KlBgIdN2.php?id=32243499
4. sebastian a 35mmlaboratoriofotografico.com/swSjSoB0.php?id=22592271

qua perdo tutte le tracce, il proprietario del sito deve aver rimosso il JavaScript, un po’ demoralizzato penso che non verrò a capo di questa storia, poi mi ricordo dello script precedente.

Torno a home.hit.stat24.com e a quello script dal seguente contenuto:

// (c) 2000-2007 by Gemius SA
function gxyadem_emission() {
} var gxyadem_gemius_host = 'http://st.hit.gemius.pl/_'+(new Date()).getTime(); var gxyadem_gemius_args = 'id=UeTBv501SpLJApJj7gwSVIxFYiayF2mjdDLIySFQt17.W7&from=home.hit.stat24.com&'; var gxy_url_params = 'id=..Dg9.R04w4Ha4LmmHwzFZRMP6Hi_iLEiG52fJ06d7v.u7'; var gxy_host = gxyadem_gemius_host+'/redot.gif?id=0JE3qLo2hTSZgzKRJvj1iU5HEzi1YK2bWWGL_bg4yJL.77&'; document.writeln('<'+'script type="text/javascript" src="http://home.hit.stat24.com/cachedscriptxy.js"><'+'/script>');

Ottengo altre informazioni:
cachedscriptxy.js, http://home.hit.stat24.com/ -> stat24.com e http://st.hit.gemius.pl -> gemius.pl

Sinceramente cachedscriptxy erano 165 linee di codice e non ho avuto voglia di analizzarlo (lo potete scaricare insieme alle sessioni di Fiddler alla fine dell’articolo), mi sono concentrato sui due dominii.

Mi direte, ma fin quì cosa c’entra il Black Hat SEO?

I risultati

Ecco, proprio dall’analisi di questi due dominii ricaviamo moltissimi dettagli:
stat24 e gemius sono due aziende di SEO e ottimizzazione di siti per i motori di ricerca, infatti guardando le loro keywords e la loro descrizione:

Keywords & Descrizione

AdOcean Offers: Internet advertising solution, campaign management and monitor, dedicated to advertisers, publishers, networks.
AdOcean;Gemius;AdServer;Internet;advertising;ad-emmision;CTR;CPM;CPM;online advertising;banner;billboard;toplayer;expandable billboard;skyscraper;brandmark;Advanced statistics;geotargeting ads;

Aziende ben note per il tracking online, Ad/tracking server e il black hat seo: REPORT (hosts-file)

Togliendo le cose inutili, quello che vendono sono backlink, un sacco di siti che avendo nella loro home page il link al sito “target” ne aumentano il pagerank, aumentandone quindi la visibilità e la posizione nei motori di ricerca.

Andando avanti con l’analisi ho ricercato i WHOIS dei dominii in questione:

Elementare Watson

Tolta la mole di dati ecco quanti dominii posseggono:

180000~ dominii, sono una gran forza per il black hat seo, pensate se in un solo momento 180k di indirizzi mettono in homepage il vostro link a come schizzate tra i primi posti dei motori di ricerca!

E le sorprese non sono finite, questi sono i dominii che realmente posseggono, tutti quelli in cui injectano il loro JS?
Ho allora creato una piccola dork su Google ed ecco che per un solo dominio (malteser) vengono fuori risultati interessanti:

Cercano anche di nascondere il loro link (eval base64 ecc), rendendo un po’ più stealth il tutto.

Conclusione

Concludo con la vista del JS injectato nelle pagine, una domanda e alcune considerazioni:

Come hanno injectato il loro script all’interno di TizianoFerro.com, è stato attaccato? Con quale vulnerabilità? Potrebbe essere stata la stessa web agency a farsi pagare per il lavoro di posizionamento e successivamente aver dato in appalto il lavoro?

I rischi del black hat SEO

Il black hat SEO è estremamente rischioso: sebbene queste pratice risultino spesso efficaci nell’immediato, è frequente che il successo delle tecniche di Black Hat si riveli temporaneo e soggetto a variazioni improvvise dovute alle contromisure degli stessi motori di ricerca. Siti individuati come promossi attraverso tecniche disapprovate sono quasi sempre pesantemente penalizzati a livello di posizione nelle SERP, se non addirittura cancellati dagli indici dei motori.

I motori di ricerca, e Google in particolare, sono piuttosto inflessibili riguardo alle pratiche “black hat”, e nemmeno i grandi marchi vengono graziati dalla loro ira vendicativa. E’ il caso della BMW Germania, il cui sito ufficiale è stato “bannato” (e successivamente riammesso, dopo le scuse dell’azienda tedesca) nel 2006 dalle liste di Google, pensateci…

Scarica le sessioni di Fiddler e gli Script

Si ringrazia Jacopo Matteuzzi per il paragrafo ‘Introduzione’

di VoidSec