szukaj

23.09.2016 | 10:00

avatar

Adam Haertle

Poważny incydent w Gemiusie – skutki dla internautów mogły być katastrofalne

Od paru dni docierały do nas plotki o problemach firmy Gemius, serwującej pliki JS na większości ważnych polskich witryn internetowych. Skutki incydentu w jej infrastrukturze mogły być katastrofalne dla bezpieczeństwa internautów.

Dzisiaj Gemius poinformował swoich klientów, że incydenty faktycznie miały miejsce, lecz jak na razie w treści komunikatu brak jest precyzyjnych informacji o skali włamania i o tym, czy włamywacze mogli przejąć kontrolę nad skryptami wstrzykiwanymi w strony przez Gemiusa obsługiwane.

Komunikat firmy

Dziennikarz Wojciech Boczoń opublikował na Twitterze następujący komunikat:

gemius

Jak możemy w nim wyczytać, między 9 a 24 sierpnia doszło do co najmniej 5 przypadków uzyskania nieuprawnionego dostępu do grupy serwerów w infrastrukturze Gemiusa. Firma informuje, że dane są bezpieczne, lecz nie może wykluczyć, że włamywacze uzyskali dostęp np. do zaszyfrowanych haseł klientów. Rozbierzmy ten komunikat na części składowe, ponieważ nie wygląda to dobrze.

Po pierwsze wskazany przedział czasowy pokazuje, że przez kilka tygodni włamywacze mieli dostęp do serwerów Gemiusa, a ten nie zorientował się w sytuacji. Zakładając, że wskazane daty są prawidłowe a włamanie nie zaczęło się dużo wcześniej, kilka tygodni to nie najgorszy wynik – jednak oznacza, że włamywacze mieli sporo czasu by spenetrować sieć firmy.

Po drugie ważna jest informacja, że incydent dotyczył więcej niż 1 serwera. To wskazuje, że włamywacze mogli poruszać się w sieci wewnętrznej. W połączeniu z informacją o tym, że firma nie ma pewności co do zakresu dostępu włamywaczy możemy bać się najgorszego.

Czy doszło do katastrofy?

Trzecim i najważniejszym elementem analizy jest to, czego w komunikacie brakuje. Gdy oglądacie strony internetowe w Polsce, to istnieje spora szansa, ze pobieracie dane z serwerów Gemiusa – w ramach monitorowania użycia sieci jego klienci wstawiają na swoje witryny odwołania do zewnętrznych skryptów. Jeśli przestępcy uzyskali dostęp do serwera, z którego te skrypty były pobierane, to mamy katastrofę – kto kontroluje ten serwer, ten może próbować infekować miliony komputerów w całym kraju (lub np. wybrać kilka z nich, które znajdują się we wskazanej sieci i wycelować swoją kampanię tylko w konkretnych użytkowników). Co gorsza wśród docierających do nas informacji znajdują się także sugestie, że w trakcie incydentu doszło do zmiany zawartości serwowanych plików. Nie otrzymaliśmy niezależnego potwierdzenia tego faktu, jednak jeśli jest to prawdą, to mamy do czynienia z jednym z najpoważniejszych incydentów bezpieczeństwa w historii polskiej sieci.

Czekamy obecnie na więcej informacji – jeśli możecie pomóc ustalić fakty, to zapraszamy do kontaktu, gwarantujemy anonimowość.

Aktualizacja 2016-09-23 13:30

Gemiusowi zadaliśmy dwa pytania:

  • czy doszło do nieautoryzowanych zmian treści plików serwowanych z serwerów Gemiusa
  • w jaki sposób został wykryty incydent.

W odpowiedzi otrzymaliśmy link do oświadczenia o treści:

Szanowni Państwo

potwierdzamy, że w sierpniu wychwyciliśmy atak hakerski. Klienci zostali poinformowani o sytuacji. Serwery i dane zostały zabezpieczone. Danym klientów nic nie grozi i są całkowicie bezpieczne. Współpracujemy z prokuraturą.

Obecnie wdrażamy system ISO 27001, który jest standardem związanym z bezpieczeństwem informacji. Jesteśmy wyposażeni w narzędzia sprawnego reagowania na zagrożenia. Podnosimy standardy zabezpieczeń i w tym celu planujemy kolejne audyty bezpieczeństwa.

Zarząd Gemius

Ciekawe, czy brak odpowiedzi na nasze pytania należy traktować jako odpowiedź twierdzącą przynajmniej na pierwsze z nich. Czekamy na Wasze informacje.

Aktualizacja 2016-09-23 17:00

Przeprowadziliśmy rozmowę o powyższym incydencie z panem Marcinem Pery, członkiem zarządu Gemiusa. W jej trakcie dowiedzieliśmy się, że:

  • włamywacz uzyskał dostęp do kilku serwerów o mniejszym znaczeniu dla firmy, gdzie mógł uzyskać dostęp do skrótów haseł użytkowników,
  • prawdopodobną przyczyną włamania mógł być brak odpowiednich aktualizacji oprogramowania,
  • Gemius przez pewien czas po zidentyfikowaniu włamania obserwował działania włamywacza by zyskać większą wiedzę na temat zakresu uzyskanego przez niego dostępu,
  • serwery krytyczne z punktu widzenia bezpieczeństwa internautów (czyli te serwujące pliki JS i graficzne osadzane na wielu stronach w całym internecie) znajdują się fizycznie i logicznie w innej lokalizacji i posiadają inny system zabezpieczeń,
  • analiza śladów pozostawionych przez włamywacza oraz funkcjonowania mechanizmów ochrony danych nie wskazują na to, by włamywacz dokonał modyfikacji danych klientów lub skryptów na krytycznych serwerach,
  • klienci firmy nie zgłosili nieautoryzowanych modyfikacji treści serwowanych przez Gemiusa,
  • według najlepszej wiedzy firmy serwowane dane nie były modyfikowane w nieautoryzowany sposób.

To pełne wyjaśnienie brzmi dość uspokajająco. Mamy nadzieję, że faktycznie nie doszło do naruszenia integralności danych serwowanych z sieci Gemiusa.

Powrót

Komentarze

  • avatar
    2016.09.23 10:13 Łukasz

    Czy ktos może mi wytłumaczyć w prosty sposób jaki jest cel umieszczania plików JS na serwerach Gemiusa?

    Odpowiedz
    • avatar
      2016.09.23 10:41 luskertoip

      Zbliżony do google analitics.

      Odpowiedz
    • avatar
      2016.09.23 10:43 filon

      Wiele stron ma w kodzie skrypty gemiusa do liczenia statystyk. Te skrypty pobierają pliki .js z serwerów gemiusa. Ktoś może podmienić te pobierane pliki na coś potencjalnie szkodliwego, więc bez włamywania się na którykolwiek z popularnych portali, można zainfekować ich klientów. Prościej chyba się nie da.

      Odpowiedz
    • avatar
      2016.09.23 10:49 PL

      Zamiast kodu służącego do trackowania użytkownikó można podstawić złośliwy JS, który będzie infekował odwiedzających. To dobra droga wejścia dla masowych kampanii – botnetów, ransomware itp.

      Odpowiedz
    • avatar
      2016.09.23 10:53 dfgg

      statystyki – gemius to taki polski analytics i adwords w jednym

      Odpowiedz
  • avatar
    2016.09.23 10:32 Alex

    Cześć

    Może naiwne pytanie, ale czy warto pochylić się nad podpisywaniem cyfrowym skryptów JS? Z tego jak to wygląda musiałby być to nowy standard obsługiwany przez przeglądarki (lub przynajmniej silniki webowe, sprawdzające integralność na poziomie backendu) i twórców, ale w tym przypadku włamywacze nie byliby w stanie skutecznie zmodyfikować skryptu bez posiadania odpowiedniego klucza.?

    Odpowiedz
    • avatar
      2016.09.23 11:46 Comandeer

      Co prawda nie jest to podpisywanie cyfrowe, ale jest już standard pozwalający na wczytanie zasobu tylko wówczas, gdy hash się zgadza → https://www.w3.org/TR/SRI/

      Odpowiedz
    • avatar
      2016.09.23 18:20 mpan

      @Alex
      Te skrypty, jeśli są ładowane przez szyfrowane połączenie, są podpisane — to główna funkcja SSL. Kłopot w tym, że skoro napastnik ma dostęp do źródła, to podszywa się pod autora — także na poziomie kryptograficznym. Można się sprzeczać, że w tym konkretnym przypadku oddzielna sygnatura mogłaby coś zmienić, ale w ogólnym po prostu wystarczyłoby zaatakować inny punkt infrastruktury i efekt byłby ten sam.

      Subresource integrity, o którym wspomniał Comandeer, jest o wiele lepszym rozwiązaniem, bo podpis wykonuje trzecia strona — autor strony używającej zasobu. Takich autorów jest wielu: w zależności od skryptu nawet dziesiątki milionów. Każdego z nich napastnik musiałby zaatakować oddzielnie, żeby uzyskać efekt analogiczny jak przy braku SRI. Koszt jest absurdalnie wysoki. Dalej: nie musisz ufać losowemu CA (konieczne przy oddzielnych sygnaturach) — zaufaniem obdarowujesz tylko autora strony, której używasz.

      W poprzednim akapicie użyłem „podpis” w odniesieniu do SRI. Co prawda samo Subresource integrity to tylko hash, ale jest serwowany jako część strony wysyłanej po SSL (a zatam podpisanej), to działa tak samo jak podpis cyfrowy. Oczywiście to nie działa, gdy strona leci po gołym HTTP, ale w takiej sytuacji z założenia nie ma mowy o bezpieczeństwie.

      Odpowiedz
  • avatar
    2016.09.23 10:45 Ksawery

    Noscript ftw

    Odpowiedz
  • avatar
    2016.09.23 11:18 :)

    czy korzystanie z przegladarki uruchamianej w sandboxie chroni mie przed takimi atakami ?

    Odpowiedz
    • avatar
      2016.09.23 12:18 kuba

      Co to znaczy przeglądarka odpalana w Sandboxie?

      Odpowiedz
    • avatar
      2016.09.24 13:28 :)

      skoro juz wiecie co mialem na mysli , to jaka jest odpowiedz ?

      Odpowiedz
  • avatar
    2016.09.23 12:05 Karol

    Co robić jak żyć? Można zablokować ich skrypty?

    Odpowiedz
    • avatar
      2016.09.23 13:03 MatM

      Nie analizowałem tego dokładnie ale uBlock Origin i Adblock mają na liście Gemiusa. Może być tak, że to co jest blokowane to zupełnie inna para kaloszy ale zawsze to kilka skryptów mniej. No i można samemu dodać filtry do wspomnianych wtyczek i wycinać Gemiusa. No ale pozostaje jeszcze kwestia jak będą działać strony po takiej kastracji.

      Odpowiedz
      • avatar
        2016.11.04 07:54 QkiZ

        Ich skrypty zauważalnie zwalniają ładowanie strony, więc ich z automatu blokuje.

        Odpowiedz
    • avatar
      2016.09.23 14:35 Q

      uBlock Origin blokuje różne rzeczy i robi to całkiem dobrze. Często jednak nie radzi sobie z blokowaniem wykrywania blokowania (czytaj addblock killer), dlatego mam dodatkowo kilka skryptów w Grasemonkey. Z3S nie jest lepszy od innych stron, bo też używa zewnętrznych skryptów/statystyk, więc pewnego dnia czytając tą stronę mogę stać się potencjalnym celem ataku.

      Odpowiedz
    • avatar
      2016.09.23 17:06 mpan

      @Karol
      Pod Fx jest RequestPolicy Continued, który możesz blokować co tylko chcesz. Lub, lepiej, zrobić domyślnie „deny all” i pozwalać tylko na wybrane połączenia. Problem: o ile na Gemiusa to działa bezproblemowo, o tyle zwykle nie będzie tak różowo, bo większość stron jest pisana byle jak i potrafi wykrzaczyć się na pierwszym wyjątku — np. właśnie na niemożności pobrania skryptu z zewnętrznego serwera.

      Odpowiedz
    • avatar
      2016.09.25 18:45 QbaG

      wyciąć w cholerę i nieużywać.

      Odpowiedz
  • avatar
    2016.09.23 12:50 Krzyś

    Haha, jak to fajnie, że od bodaj 10 lat mam zablokowane to g*wno :)

    Odpowiedz
  • avatar
    2016.09.23 12:55 marq

    czyli że co? co to oznacza dla zwykłego internauty? konieczność zmiany haseł?

    Odpowiedz
    • avatar
      2016.09.23 22:45 satanic

      może w końcu się nauczycie z selektywnego korzystania z js na www w moim przypadku większość znajomych patrzy się na mnie jak na idiotę, że robię sobie pod górę, że po co, że co to jest, że wszystko blokuję gdy na ff mam załączony noscript a na chromium quick javascript switcher…

      Odpowiedz
  • avatar
    2016.09.23 12:59 Artur

    Ciekawe, ciekawe – wraca temat CIA – okresowo przez wiadomości przewalają się tematy naruszenia poufności, czy danych w transmisji czy w spoczynku, bardzo popularne są też tematy dostępności usług a konkretnie niedomagania w tym zakresie (choćby ostatnie ataki na DNS-y globalne) i jakoś wydawać się mogło, że ta jedna noga „integralność” nikomu do niczego nie jest potrzebna.
    Niektórzy zwracali na nią uwagę w kontekście ransomware – ale kto ich słuchał. A tu wraca temat i wybucha prosto w twarz – zmodyfikowali skrypty? Czy nie? A jak to teraz na szybko sprawdzić?

    Wniosek jeden:
    Pamiętaj o komplecie poufność – integralność – dostępność
    Zaniedbasz jeden? Pożałujesz…

    Odpowiedz
  • avatar
    2016.09.23 13:18 Maciejos78

    NoScript/ScriptSafe i problem podejrzanych skryptów rozwiązany raz na zawsze.

    Odpowiedz
  • avatar
    2016.09.23 14:58 Jeremi

    Adblock to blokuje czy nie? Ghostery wiem, że na pewno to robi, ale za ostatnie manewry, Adblock stał się dla mnie niepewną wtyczką.

    Odpowiedz
    • avatar
      2016.09.23 22:52 satanic

      to ktoś jeszcze tego używa?

      Odpowiedz
  • avatar
    2016.09.23 15:11 Sebastian Troliński

    ja jestem poważniejszy

    Odpowiedz
  • avatar
    2016.09.23 16:58 mpan

    mBank radośnie przekazuje informacje z *wewnątrz* serwisu (po zalogowaniu) Gemiusowi. Co prawda nie uruchamiają ich skryptów, więc o nie było możliwości manipulacji stroną banku, ale tracking klientów jak najbardziej działał. Pytanie, do ilu jeszcze miejsc Gemius i napastnicy mieli dostęp.

    Na marginesie: gdy pisałem ten komentarz, dane nadal płynęły do Gemiusa pomimo włamu.

    https://online.mbank.pl/Scripts/sgemius.js
    https://ptpb.pw/P2_o.png

    Odpowiedz
    • avatar
      2016.09.24 09:32 kaz

      wow…poruszyła mnie Twoja historia

      Odpowiedz
    • avatar
      2016.09.25 15:24 ab

      Pisałeś coś do mBanku w tej sprawie?

      Odpowiedz
  • avatar
    2016.09.23 17:31 Krzysiu

    Myślę, że informatycy powinni czytać więcej książek. Wszędzie kalki językowe, co częściowo rozumiem – materiały źródłowe i support są w dużej części po angielsku. Jednak można temu przeciwdziałać… „według najlepszej wiedzy” :( Problem jest w tym, że często nie ma kto zwrócić uwagi na to, że to potworek językowy.

    Odpowiedz
    • avatar
      2016.09.24 07:56 Adam

      „Wszędzie kalki językowe”
      „Support”
      :)

      Odpowiedz
    • avatar
      2016.09.25 18:49 QbaG

      Brak wiedzy, niepamięć.
      Różnie się można tłumaczyć.
      A można przeczytać między wierszami
      „nie wiemy (jeszcze) co nam zrobli”

      Wyciąłem to g… skutecznie kilka lat temu
      i nie żałuję – strony się szybciej otwierają.

      Odpowiedz
    • avatar
      2016.09.25 18:58 QbaG

      Brak wiedzy, niepamięć.
      Różnie się można tłumaczyć.
      A można przeczytać między wierszami
      „nie wiemy (jeszcze) co nam zrobli”

      Wyciąłem to g… skutecznie kilka lat temu
      i nie żałuję – strony się szybciej otwierają.

      Odpowiedz
  • avatar
    2016.09.23 21:33 zlotowinfo

    przecież gemius to podstawowa domena ktora sie blokuje

    Odpowiedz
  • avatar
    2016.09.26 11:50 Robert

    Kochani czytam Wasze komentarze i wszystko fajnie – używamy Adblocków uBlocków Noscriptów itp. Super, ja nawet już 13lat ale jest jeden kłopot Android. Mam także tablet, co prawda nie używam go do niczego ważnego ale jest i w sierpniu otwierały mi się na Onecie podejrzane okienka z wygranym Iphonem antywirusami itp. Olałem założyłem że któryś z reklamodawców padł ofiarą włamu albo nie kontroluje serwowanych treści (też o tym było niedawno) zresztą i tak rzadko zaglądam na tą trolownię.
    Teraz widzę że to Gemius podsyłał mi śmiecia. A tu się robi niefajnie. Pół biedy jak tablet służy do przeglądnięcia agregatora treści lub zajrzenia na YT gorzej jak ktoś otworzy sobie to na telefonie a będzie nieuważny. Pamiętajmy że celem ataku nie są osoby obeznane z bezpieczeństwem tylko cała reszta a ich jest zapewne 95%. Po co tracić czas na jednostki skoro można zaatakować miliony? W końcu to nie atak celowany.

    Moim zdaniem sprawa była grubsza niż w oficjalnym komunikacie. Nie wykluczam oczywiście innego śmiecia na tablecie bo córka instaluje tam różne śmieciarskie aplikacje ale zbieżność dat i to że problem samoistnie zniknął wydaje się mocno sugerować złośliwy skrypt na Onecie co daje spore prawdopodobieństwo że był to Gemius

    Odpowiedz
    • avatar
      2016.09.28 00:45 ghost

      Na androida do blokowania reklam polecam „adaway”.Tylko trza miec uprawnienia root.

      Odpowiedz
  • avatar
    2016.09.27 11:09 khfgdas

    oby więcej takich incydentów, w gemiusie i wieluinnych firmach których działalność jedynie spowalnia wczytywanie stron internetowych, i rażąco ogranica czytelność właściwej treści przez zasypanie reklamami.

    Odpowiedz
  • avatar
    2016.09.28 10:56 obsservator

    Wszystkie te ścierwa Gemiusa wycinam AdBlockiem…

    Odpowiedz
  • avatar
    2016.10.24 17:52 TfujByly

    Czy jest jeszcze jakis admin sieci przepuszczajacy ruch z gemiusa albo innego doubleclick?
    pagead2. tak samo
    Odkad moglem, zawsze tne na fw

    Poza tym adblock i ghostery

    Odpowiedz
  • avatar
    2016.11.04 07:50 QkiZ

    Nigdy nie byłem ich klientem a dostałem mejla od nich o włamaniu. Jak się zapytałem dlaczego mi wysyłają mi takiego mejla (nawet nie wiem skąd go mieli) to nawet nie raczyli odpowiedzieć. Kiedyś składałem do nich CV na admina linuksowego i to była jedna z najgłupszych rozmów kwalifikacyjnych jakie miałem.

    Odpowiedz

Zostaw odpowiedź

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

Poważny incydent w Gemiusie – skutki dla internautów mogły być katastrofalne

Komentarze