martedì 31 gennaio 2012

phpBB 3.0 - Prevenire attacchi e riconoscere utenti spammer nel forum

Nell'amministrare un forum on-line combattere lo SPAM è routine. L'individuazione degli utenti malevoli comporta un impegno importante di tempo e risorse. 

Riconoscere un utente spammer dal tipo di messaggio che ha postato è molto facile. In un forum italiano di nicchia trovare annunci di farmaci, in inglese o di casinò on-line non è consueto e messaggi di questo tipo sono fin troppo evidenti. In realtà quando il messaggio è pubblicato è già troppo tardi.

(continua sotto)










Uno spammer che fa breccia molto spesso posta decine di messaggi contemporaneamente. Se in un paio di giorni riescono nell'impresa 5 o 6 spammer la piattaforma sarà presto inutilizzabile. Bonificare non è facile. La parte più impegnativa è la prevenzione. Per un approccio più analitico proverò a dividere l'attività di contrasto allo SPAM in queste fasi: 
  • blocco prima della registrazione
  • blocco all'attivazione
  • cancellazione messaggi spam
  • ban/cancellazione utenze
  • perfezionamento dei meccanismi di blocco nelle prime fasi
  • recupero disastri
Blocco prima della registrazione
Nel pannello di amministrazione sono evidenziate le utenze inattive. Queste rimarranno inattive se lo prevede il processo di registrazione oppure se lo spammer non sarà riuscito ad eseguire l'attivazione via mail. Per ciascuno si dovrà analizzare il profilo e verificare l'email, l'indirizzo ip ed eventuali siti. Per quanto riguarda email e siti, se il forum è specialistico probabilmente non sarà consueto avere email cinesi, russe o polacche. Per l'indirzzo IP vi sono siti che nel tempo hanno isolato gli IP degli spammer ed è semplice eseguire una verifica on-line. Dopo aver isolato uno spammer si può procedere alla cancellazione dal medesimo pannello dell'amministrazione dell'utente. Eliminato in questa fase lo spammer non avrà ancora avuto modo di postare messaggi spam e sarà stato eliminato prima di poter procurare danni evidenti. Questa attività è prerogativa dell'amministratore.  



Blocco all'attivazione
Per i forum che non utilizzano la moderazione delle registrazioni, gli utenti sono attivati immediatamente alla conferma dalla mail. Questi possono essere individuati mediante monitoraggi periodici sulle utenze. Nella ricerca delle utenze è possibile per esempio cercare tutti gli utenti che hanno un indirizzo email che termina in .pl o .ru eseguendo una ricerca per stringa parziale nel campo email. 

Un utente spammer ha spesso un nome piuttosto strano quindi un'occhiata all'ultimo iscritto o ai compleanni potrebbe essere rivelatrice di altri tentativi di attacco. Questo tipo di controllo può essere eseguito anche dai moderatori che possono segnalare utenze sospette.

Sarà utile cancellare anche gli eventuali messaggi oltre all'utenza.
Lo spammer, a questo punto, potrebbe già aver postato. 



Cancellazione messaggi spam
Moderatori e amministratori possono insieme procedere a ripulire le pagine dallo spam. Il moderatore può cancellare i messaggi e segnalare gli utenti. L'amministratore potrà procedere allo stesso modo alla cancellazione dei messaggi, ma potrà, in maniera più efficace cancellare uno spammer con tutti i suoi messaggi direttamente dalla gestione degli utenti. Recentemente ho dovuto rilevare che se i messaggi per il medesimo spammer sono molteplici la cancellazione potrebbe non essere semplicissima.   




Ban/cancellazione utenze
Il ban e la cancellazione degli utenti spammer è solitamente una prerogativa degli amministratori. Può essere eseguita nelle informazioni dell'utenza, uno per volta. Nelle ultime versioni del phpBB 3.0 è stata introdotta una nuova funzionalità che permette operazioni massive. Per esempio, a partire da un elenco di utenze, è possibile procedere alla cancellazione di utenti e messaggi.



Perfezionamento dei meccanismi di blocco nelle prime fasi

Col passare del tempo gli attacchi variano e si adeguano ai sistemi di protezione. Ogni volta che ci si accorge che dei malintenzionati hanno violato la sicurezza del forum è indispensabile correggere le misure precedenti. Naturalmente, gli scenari prevedibili devono essere adeguatamente considerati. Se si interviene senza prevenzione e solo dopo i danni evidenti, si rischierà di non poter ripristinare. Solo con accorgimenti tecnologici preventivi, misure di disaster recovery ed un'attento monitoraggio di tutto lo staff potranno mantenere il forum in salute.

Recupero disastri
Aggiungo infine alle attività di prevenzione, un sistema efficiente di back-up. Nel momento in cui un attacco distrugga definitivamente un forum deve essere possibile recuperare il disastro e ripristinare il forum ad una situazione recente. 

Alla prossima!
Se il post ti piace dillo su Facebook
Tieni d'occhio questo post e i suoi commenti: iscriviti nella parte destra del blog.
Per qualsiasi dubbio, critica, segnalazione scrivimi a vm_tempbox-perparlarediweb[at]yahoo.it
Ricevi gratuitamente tutti gli aggiornamenti del blog direttamente dal feed RSS ed in email.
Segui il blog su Twitter e su Facebook.
Istalla la toolbar del blog... è gratis!