Il 17 luglio si è fatto un gran parlare del caso di vatican.va che ha subito uno scherzetto Black Hat da parte di un simpatico SEO messicano.
In pratica il risultato dell’azione ha portato il dominio “pedofilo.com” in testa ai risultati di Google per chiavi ricerca importanti quali vatican, vaticano, ecc. sia su google.it, che sulle versioni internazionali del motore di ricerca.
Molti giornali hanno citato il fatto dicendo che la causa del fenomeno era da ricondursi ad attacchi Hacker, di Google Bombing, di bug/glitch di Google, e chi più ne ha più ne metta:
- http://www.repubblica.it/tecnologia/2010/07/17/news/cerchi_vaticano_esce_pedofilo_google_beffa_sui_risultati-5649746/
- http://www.corriere.it/cronache/10_luglio_17/google-vatican_d0b51b26-91bb-11df-8c13-00144f02aabe.shtml
In realtà a prima vista, al di là dello stupore per la forza dell’azione, sono rimasto un po’ perplesso per come i media hanno descritto il fenomeno: il Google Bombing a detta degli ingegneri di Google è stato sistemato, quindi potrebbe anche non trattarsi di un problema di questo tipo. (o non solo di questo)
Qualcun altro in rete ha manifestato qualche dubbio, ad esempio Giacomo Pelagatti su Twitter, il blog “L’interno dell’agnello“, il forum GT, Taller SEO (from Spain),
Per far sì che si tratti di Google Bombing è necessario che si abbia a disposizione un numero elevatissimo di risorse che linkino una pagina con degli specifici termini, come nel caso di miserable failure per George Bush, merda per italia.it, ecc.
In questo caso, però mi pare che il problema sia diverso, le attività di Google Bombing solitamente servono per associare un dominio noto ed affermato a temi diversi dal normale: in poche parole molti link con la parola “merda” portano Google a pensare che il portale turistico italia.it, sia associato non a temi turistici, ma a deiezioni umane.
Il risultato di questa azione, invece, è stato sostituire una pagina storicamente rilevante per un termine con un’altra pagina. Quindi che l’home page di pedofilo.com fosse ritenuta più rilevante dell’home page di www.vatican.va per parole chiave tipo vaticano, vatican, ecc.
Come è possibile che sia avvenuto tutto ciò? Facciamo un po’ di chiarezza per quanto possibile…Prima di tutto escludiamo fenomeni di hacking subiti dal Vaticano, in quanto non sono dimostrabili.
1) il sito pedofilo.com conteneva una copia del sito vatican.va (o parte di esso)
Partiamo da una premessa, il dominio pedofilo.com che ora redirige al dominio dell’agenzia che ha svolto quest’attività, possedeva moltissimi contenuti clonati del dominio vatican.va. Non è possibile parlare di sito clone integralmente poiché non è più verificabile tale ipotesi.
Ecco la situazione dell’archivio di Google con il comando site:
In sostanza pare che il sito del vaticano sia stato clonato copiando nel dominio pedofilo.com i documenti e sostituendo tutte le occorrenze del testo www.vatican.va presenti in pagina con quelle del dominio www.pedofilo.com.
Eccone qui un esempio (notare i link in basso dei due documenti):
2) il sito del Vaticano ha una miriade di contenuti/domini duplicati e un ottimizzazione SEO scadente
Questa copia però non giustifica il fenomeno in quanto il sito della Santa Sede è da sempre fonte di attacchi di hacker e che ha uno svariato numero di domini che copiano-riportano integralmente dei contenuti.
Ecco alcuni esempi di siti reperiti che non sembrano molto trusted a prima vista… 
- http://www.0100101110101101.org/home/vaticano.org/spoof/index.html
- http://www.jesus.2000.years.de/
- http://ev6.org
- http://lgrd.info
Parrebbe inoltre che gli ultimi due siano associati all’IP della Santa Sede attraverso DNS.
Inoltre anche la Santa Sede ci mette del suo con un numero sterminato di domini da loro in possesso che contengono gli stessi contenuti:
- http://www.vatican.edu/
- http://www.va
- http://benedictumxvi.va/
- http://www.vatican.net/
- http://benedettoxvi.va/
Ed una gestione degli errori 404 con un 302 verso l’homepage ed una pessima struttura del sito per i motori di ricerca (e per gli utenti )
3) Google sembra aver fatto un po’ di confusione con le diverse copie dei domini
Nelle copie cache, ho notato una piccola stranezza che non so quanto possa essere utile a trarre conclusioni.
Il dominio di riferimento della copia cache dei documenti di pedofilo.com è spesso diverso: non solo pedofilo.com o quello “canonico” (passatemi la battuta) vatican.va .
Ecco una copia cache di pedofilo.com con il dominio corretto:
Qui una copia riferita però al dominio www.vatican.va:
Qui un’altra riferita a www.va:
Qui una riferita a www.vatican.edu:
Qui una riferita a http://www.jesus.2000.years.de/:
Ed infine una riferita a www.lgrd.info:
In alcuni casi, ricercando dei documenti si può notare come Google restituisca i risultati dei domini “clonati” ma non del sito principale.
Insomma pare che Google, per qualche ragione, abbia delle difficoltà a capire qual’è il dominio che “comanda” ovvero potrebbe essere afflitto da gravi problemi di canonizzazione dei documenti.
Aggiungo inoltre che Google sembra quasi associare il dominio vatican.va ai testi dei nomi dei domini duplicati “pedofilo.com”, “lgrd.info”, “vatican.edu”, ecc.
4) Conclusioni
Da una prima analisi, quindi, il motivo principale di questo inconveniente pare da ricondursi maggiormente a problemi di canonizzazione dei domini più che a fenomeni di Google Bombing. Facilitati in prima istanza dalla scarsissima ottimizzazione Seo del sito del Vaticano e alla presenza di moltissimi contenuti duplicati.
Tuttavia alcuni pezzettini di questo bizzarro episodio restano parzialmente fumosi. Allo scenario potremmo anche aggiungere la possibilità che possano essere avvenuti fenomeni di “intrusione” nei sistemi del Vaticano come:
- intrusione nel DNS che gestisce il puntamento dei domini del vaticano;
- un temporaneo redirect dal dominio vatican.va verso il sito pedofilo.com;
- una fraudolenta validazione del Google Webmaster Tool del dominio vatican.va.
Si tratta di ipotesi da non escludere, purtroppo però non più verificabili e difficilmente lo verremo a scoprire. Quindi non mi va di gridare al lupo al lupo.
Voi che cosa ne pensate in merito? Vi trovate d’accordo su alcuni punti della mia analisi?Avete qualcosa da aggiungere?
Non ho seguito la vicenda e ti chiedo: sai se, prima di uscire nei media, era attivo un 302 da pedofilo.com a vatican.va poi rimosso? Il “vecchio” hijacking…
Bellissimo post, complimenti, da twittare subito!!
@Marco
Ciao Marco,
bella domanda.
Purtroppo nel momento in cui la notizia è uscita il dominio pedofilo.com non era raggiungibile ed in alcuni casi dava un errore 503, sia con user agent normale che presentandosi come Googlebot.
Probabilmente dovuto a qualche “smantellamento”.
Anche l’ipotesi dell’hijacking potrebbe essere plausibile anche se purtroppo non è verificabile.
Sicuramente di Google Bombing non si tratta…i media hanno fatto nuovamente un buco nell’acqua.
@Fabrizio
Grazie dei complimenti
Interessanti argomentazioni. Tuttavia mi sono perso, non per mancanza di conoscenza tecnica, ma per carenza di argomentazione, quando mi parli di intrusione nei dns.
É stato confermato qualcosa del genere? Non hai postato screenshot.
E di per se, questa affermazione non dice nulla.
“Parrebbe inoltre che gli ultimi due siano associati all’IP della Santa Sede attraverso DNS”
Chiunque può associare un dominio ad un ip tramite un cname record.
Però poi hai mostrato screenshot di un sito diverso.
Insomma, i conti non mi tornano.
Se hai modo di dare qualche dettaglio.
Ciao!
Una nota riguardo i passati contenuti di pedofilo.com: in alcune pagine, oltre alla riscrittura degli URL nei link che puntavano al dominio vatican.va, avevo notato anche la presenza di un tag BASE, impostato sul dominio pedofilo.com.
Anche tenendo conto di questo piccolo fattore aggiuntivo e dei suoi effetti sulla canonizzazione, l’insieme degli elementi che finora ho notato non mi parrebbe essere sufficiente a giustificare la sostituzione del dominio vatican.va nell’indice di Google.
Ho cercato di individuare altri elementi e di capire se erano presenti redirezioni 302 ma non è stato possibile fare alcunché, causa sito irragiungibile, presumibilmente a causa del traffico inaspettato.
pedofilo.com fa adesso una redirezione all’azienda SEO che ha ottenuto il risultato e che si vanta del successo: http://www.guionbajo.com/
Asseriscono di non aver hackato alcuna proprietà di Google (e ci credo facilmente) ma non dicono alcunché su un eventuale hacking di proprietà del Vaticano.
Comunque quando ero ragazzino e leggevo i libri gialli mi facevo sempre fregare da una domanda errata che mi ponevo: “chi è l’assassino?”. Chiedendomelo, dimenticavo facilmente che i colpevoli possono anche essere più di uno e quindi piuttosto che cercare un fantomatico “elemento mancante” potrebbe essere il caso di chiedersi se per caso la somma dei fattori già individuati non sia sufficiente a far scazzare in alcuni casi le valutazioni di canonizzazione di Google.
Qualcuno vuole fare un bel test?
Complimenti per il riassunto e l’analisi, Andrea!
@Andrea Moro
Grazie per il commento! L’inserimento dei due domini come associazione all’IP della Santa Sede erano solo un’informazione aggiuntiva, sicuramente non il perno dell’argomentazione. Giusto per dare info più complete possibile, infatti è chiaro che questi possessori del dominio abbiano fatto l’associazione all’IP della Santa Sede: nun ce vò niente
Non mi pare di aver inserito screenshot successivamente alla frase, cmq le info sul puntamento dei due domini le puoi trovare anche qui: http://www.robtex.com/dns/lgrd.info.html e qui http://www.robtex.com/dns/ev6.org.html
Ammetto che l’eventuale ipotesi di intrusione del DNS del Vaticano non sia davvero giustificata e dimostrabile, così come il redirect o l’attacco al GWT. Ovviamente si tratta di ipotesi estemporanee buttate lì per aggiungere altri elementi alla scena del crimine.
Non escludo di aver peccato nella perfezione dell’argomentazione, proprio per questo esistono i commenti per migliorare o chiarire certi punti!
@Enrico
Sarebbe molto interessante fare un test…Magari su Italia.it?
Per caso conosci il possessore del dominio ladri.com?
[...] La vicenda di pedofilo.com che appariva su google quando si cliccava vatican.va non fu google bombing, ma problemi di canonizzazione dei domini. [...]
Ottima analisi. Molto utile secondo me anche per chi vuole approcciare all’uso delle tecniche da te descritte per scopi “utili”.
Ciao Andrea, ottimi spunti.
I colpevoli potrebbero essere in effetti più di uno, come accenna Enrico.
La pistola fumante apparentemente non c’è e potrebbe essere appunto stato un 302 -ora indimostrabile- che ha dato la botta finale ad un equivoco di canonizzazione storico, e coltivato con metodo folle dal sito del vaticano.
URL inesistenti che ottengono 302 su 200 HP! è diabolico!
Per fare un test io abbozzerei una cosa di questo tipo:
1) serve un sito trusted con enne mirror perfetti (ce n’è a bizzeffe), e con assenza di gestione dei 404.
2) si manda in confusione il filtro antiduplicazione fornendo + URL duplicate di quante il filtro riesca a smazzarsi nell’unità di tempo.
3) si crea un clone pulito del sito attaccato MA con la gestione corretta delle URL inesistenti (404).
4) si fa maturare l’assorbimento e poi si redige il sito attaccante con 302 sul sito attaccato.
Ecco… un modello del genere potrebbe somigliare al colpevole.
Cmq forti i messicani.
Ciao e a presto.
@Piersante
ciao Piero.
La tua disamina dei fatti è perfetta e conferma quanto detto nell’analisi con qualche elemento “furbetto” in più…
La gestione della 404 in 302, l’uso del meta base, potrebbe essere dei piccoli particolari che hanno messo in confusione il buon Google.
Si scredita il sito attaccato (già afflitto da problemi) e si redirige quando il tempo è maturo con un caro hijacking.
Ipotesi davvero affascinante, anche se tutta da verificare: sembra però avere un filo logico!
Sarebbe davvero interessante mettersi a fare un test del genere: bisogna scovare una cavia ed un buon dominio fake.
Viva Mexico!
forti ‘sti messicani. E dopo solo una settimana che Nbriani li ha raggiunti
PP
Buona l’idea del riassunto, che consente a chi ha saputo della cosa di prendere velocemente visione.
Anche se non tutto è dimostrabile, comunque il percorso pare plausibile.
Tuttavia, il 16 luglio al dominio pedofilo.com non c’era un unico link, questo pero è dei fattori più importanti nel ranking di Google: http://presbyter.ru/wp-content/uploads/2010/07/pedofilo2.jpg
@Georg: pedofilo.com non ha mai partecipato al normale ranking di Google. E’ semplicemente riuscito a dire a Google: “il sito del Vaticano sta all’indirizzo pedofilo.com”.
Bella e interessante analisi, bravo Andrea.
A conti fatti direi che ci sono ancora diverse vie aperte all’utilizzo di tecniche neanche troppo raffinate e sofisticate per mandare in confusione Google, soprattutto quando vengono associate a debolezze di altri siti/domini: la parte più difficile pare consista nell’individuare la vittima sacrificale giusta.
Mi sbaglio o il buon caro vecchio redirect 302 ne è spesso protagonista?
PS: comunque sono dello stesso parere di Tambu; tutto merito di Nbriani!
Che dire ragazzi, i messicani hanno fatto un lavoretto che ha sicuramente fatto centro!
Sappiamo benissimo che è possibile farlo, sicuramente se la sono pensata per parecchio tempo e il sito del vaticano ha assolutamente fatto la sua parte..decisiva. In merito ritengo molto interessanti i commenti di Enrico e piersante letti qui sopra e reputo il tanto citato (da alcuni siti di “informazione specializzata”) Google Bombing, non centrare assolutamente un fico secco.
La cosa che mi ha sconcertato in tutto questo è la stampa. Sono state scritte una marea di cavolate da far paura. Più leggevo (la curiosità di leggere cavolate viene
) e più mi veniva brutta voglia..
Congratulazioni a te Andrea, che anche se come dice Andrea Moro “i conti non tornano” (almeno non tutti..) hai scritto un articolo che ha fatto discutere..
Ciao
@Enrico
Ah si, ho capito.
@Roberto Pala
all’inizio la mia prima reazione era di scrivere un articolo polemico sull’inettitudine della carta stampata ad affrontare certi argomenti tecnici, poi però ho scritto un post più orientato a scovare il colpevole.
Il caso era abbastanza conosciuto ma poco trattato dalla comunità con analisi complete e volevo avere un confronto con un po’ di persone con il pelo sullo stomaco.
Sono arrivati moltissimi pareri autorevoli per fare un po’ di chiarezza e far tornare i conti un po’ di più, a partire da qualche indizio ed appunto preso osservando la situazione e poi raccolti nel post.
Ringrazio tutti coloro che hanno partecipato alla discussione!
Perche’ preoccuparsi del dominio italia.it?
Io ci proverei con governo.it acquistando il dominio sonoladri.com
Cma, a parte tutto, sembra che al Vaticano non abbiano imparato una cippa!