Długa lista problemów z nową stroną internetową Agencji Wywiadu

dodał 13 stycznia 2018 o 14:16 w kategorii Wpadki  z tagami:
Długa lista problemów z nową stroną internetową Agencji Wywiadu

Wczytywanie zewnętrznych zasobów z wielu serwerów poza kontrolą AW, używanie prywatnych kont do wgrywania treści, prosta deanonimizacja twórcy i ciągle dostępna wersja deweloperska to tylko część problemów.

Agencja Wywiadu chwali się nową stroną internetową i rozpoczęła kampanię rekrutacyjną. Ta aktywność przyciągnęła uwagę internautów, którzy od wczoraj podsyłają nam swoje znaleziska powiązane z witryną AW. Połączenie wiadomości otrzymanych od Czytelników i kawałek własnej analizy pozwoliły nam na namalowanie niezbyt ciekawego obrazu sytuacji.

Problem pierwszy – użycie prywatnych zasobów w tworzeniu witryny i deanonimizacja autora

Wszystko wskazuje na to, że autor strony AW użył w niej swojego prywatnego filmu z Youtube. W kodzie znajdujemy taki fragment:

Link, opisujący metadane strony (zapewne generowane przez jakąś wtyczkę) wskazuje na obrazek flagi, znajdujący się w tle nagłówka witryny. Sam obrazek w kodzie jest już wczytywany z serwera AW, my jednak pójdźmy tropem filmu z Youtube. Okazuje się, że film ten został wrzucony półtora roku temu przez użytkownika Radar013 i ma atrybut „niepubliczny” – to oznacza, ze znaleźć go może tylko osoba znająca linka.

Radar013 oprócz tego filmu kilka lat temu wrzucał sporo filmów na których wykonuje covery popularnych utworów. Zamieścił także link do swojego profilu w serwisie ising.pl. Dowiadujemy się z niego, że ma 29 lat i od kilku lat nie wrzuca już nowych kawałków. Gdy poszukamy w sieci śladów użytkownika Radar013 okaże się, że to dość unikatowy pseudonim a jego posiadacz interesuje się tematami związanymi z tworzeniem witryn WWW (przykłady 1, 2, 3, 4). Z postów i publikowanych zrzutów ekranu dowiemy się, że pracował dla PGNIG OD,

zajmuje się m.in. tworzeniem stron obsługujących przetargi, prawdopodobnie ma na imię Jakub

oraz używa ciekawych technik zaciemniania tekstu:

Imię już gdzieś widzieliśmy – oto fragment witryny AW:

Na razie chyba wszystko pasuje. Ale czy Radar013 to na pewno Jakub?

Problem drugi – zasoby wczytywane z serwera twórców strony i serwer deweloperski

Pod adresem https://bip.aw.gov.pl/uwaga/ znaleźć możemy coś bardzo ciekawego.

Wstawiony tam obrazek (z ogromnym znakiem wodnym producenta wykorzystywanego szablonu) wczytywany jest z interesującego adresu:

Czyżby jakaś pozostałość z procesu tworzenia witryny? Wystarczy zajrzeć na stronę http://aw2.proandcom.pl by znaleźć tam… witrynę AW w w bardzo podobnej wersji do tej prezentowanej pod adresem aw.gov.pl. Co ciekawe, pod adresem aw.proandcom.pl znaleźć można popsutą witrynę, wyświetlającą błąd:

Najwyraźniej firma Pro&Com nie widzi problemu w udostępnianiu światu innych wersji witryn tworzonych dla klientów – strona Agencji Wywiadu nie jest tu wyjątkiem. W firmie tej najwyraźniej pracuje także Jakub – wiemy nawet, kiedy ostatnio się logował.

Czy to jednak ten sam Jakub, który używa pseudonimu Radar013? Dodatkowe, proste zapytania do Google pozwoliły nam na zidentyfikowanie nazwiska pracownika Pro&Com, a na jego profilu na Facebooku znaleźliśmy to samo zdjęcie, co przy profilu użytkownika Radar013 w jednym z polskich serwisów. Co więcej, w jednej z usług pokazujących wyniki wycieków informacji znaleźć można konto użytkownika o tym samym pseudonimie, imieniu Jakub i dacie urodzenia zgodnej z wiekiem z serwisu ising.pl.

Pozostałe problemy

Większość naszych obserwacji nie miałaby dużego znaczenia w przypadku przeciętnej hobbystycznej witryny internetowej, ale skoro mowa o stronie na której chętni do pracy w Agencji Wywiadu mogą zostawiać swoje dane osobowe, to warto zauważyć, że:

  • witryna aw.gov.pl wczytuje sporo zasobów z zewnętrznych serwerów, znajdujących się poza kontrolą AW, w tym Youtube, Google czy BootstrapCDN, dając administratorom tych serwisów możliwość identyfikacji adresów IP osób ją odwiedzających lub do niej aplikujących (np. przez mechanizmy Google Analytics),
  • witryna oparta jest na darmowym silniku WordPress i płatnym szablonie Right Way – patrząc na pozostawione w kodzie strony metadane wątpimy, czy ktoś przeprowadził audyt szablonu pod kątem bezpieczeństwa,
  • formularz rekrutacyjny oparty jest na płatnej wtyczce eForm – WordPress Form Builder a na samej stronie użyto wielu innych wtyczek, których kod na pewno warto przed użyciem solidnie przeaudytować,
  • choć serwer strony przeniesiono do home.pl i już nie dzieli adresu IP z dziesiątkami prywatnych i firmowych witryn bez związku z AW, to serwer poczty nadal pozostał w KEI (94.152.8.4), gdzie korzysta ze współdzielonego hostingu z licznymi przypadkowymi witrynami.

Pewne plusy

Czy można o witrynie powiedzieć coś dobrego? Spróbujmy:

  • strona przeniesiona na osobny adres IP – zawsze coś,
  • witryna posługuje się protokołem HTTPS – to minimum przyzwoitości, ale mogło być gorzej,
  • witryna ma bardzo przyzwoitą konfigurację HTTPS.

Nasze zastrzeżenia zapewne nie miałyby racji bytu, gdy nie fakt prowadzenia na tej stronie rekrutacji, gdzie kandydaci muszą podawać swoje dane osobowe. Mamy nadzieję, że opisane powyżej problemy to raczej kłopoty wieku dziecięcego – na szczęście większość z nich można szybko i łatwo usunąć. Zapewne warto jednak zlecić komuś audyt bezpieczeństwa nowej strony przed jej upublicznieniem – bo nie wierzymy, że jakikolwiek audyt przeszła, a jeśli audytor nie zwrócił uwagi na opisane powyżej problemy, to lepiej audytora zmienić.

Dziękujemy Czytelnikom, którzy podesłali nam wiele informacji na ten temat.