Dzisiaj przez kilkadziesiąt minut na niezwykle kiedyś popularnej witrynie loteriaparagonowa.gov.pl promowane były treści pornograficzne. Znalazły się tam w trywialny sposób – i Twoja stara strona też może być podatna.
Była sobie strona, a potem ktoś zapomniał
Choć na stronach w domenie .gov.pl trafić można na różne dziwne treści, to nowa zawartość witryny poświęconej Loterii Paragonowej mogła zaskoczyć nawet doświadczonych bywalców. Treści arabskie i rosyjskie były bogato udekorowane ostrą pornografią. Skąd taka niespodzianka?
Scenariusz wydarzeń okazuje się bardzo prosty. Analiza zapisów utrwalonych w repozytoriach danych wskazujących na historię wpisów w DNS nie pozostawia wiele wątpliwości. Witryna loteriaparagonowa.gov.pl była dość aktywnie eksploatowana w latach 2016-2017. Jej wpisy w DNS wskazywały, że informację o lokalizacji jej faktycznego serwera przechowuje firma Cloudflare – popularna usługa ukrywająca lokalizację witryny i łagodząca skutki ataków DDoS. Mimo opuszczenia projektu Loterii Paragonowej domena nadal była aktywna – lecz najwyraźniej jej konfiguracja po stronie Cloudflare zniknęła. Nie wiemy, czy konto ją obsługujące zostało zlikwidowane, czy po prostu nie zostało opłacone. W każdym razie wpisy w DNS wskazywały na Cloudlfare, a tam nie było żadnej informacji o tym, gdzie trafiać mają osoby odwiedzające stronę.
Tę sytuację postanowili wykorzystać źli (i przedsiębiorczy) ludzie. Witryna Loterii Paragonowej jest tylko jedną z setek, które padły ich ofiarami. Źli ludzie zidentyfikowali strony, których rekordy DNS wskazywały na Cloudflare, lecz które nie były już przez Cloudflare obsługiwane i po prostu przypisali je do swoich kont Cloudflare, a następnie przekierowali na stronę porno, zapewne zarabiając na generowanym w ten sposób ruchu. Proste a skuteczne.
Co tam było?
Jeśli chcecie zobaczyć, co było na stronie Loterii Paragonowej, zanim w brawurowej akcji nie została wyłączona przez powołane do tego celu zespoły bezpieczeństwa (reakcja – i to skuteczna – około godziny od zaistnienia incydentu godna jest pochwały), to możecie znaleźć kopię tutaj (uwaga, zawiera treści nieprzeznaczone dla niepełnoletnich). Podobny los spotkał wiele innych stron, w tym np. skrócony adres jednego z polskich serwisów o bezpieczeństwie, BadSector, pod domeną badsec.pl (uwaga, nadal przekierowuje na treści pornograficzne). Sporą listę przejętych domen znajdziecie pod adresami:
https://www.virustotal.com/#/ip-address/188.165.242.45 https://community.riskiq.com/search/188.165.242.45
Wszystkim osobom prowadzącym serwisy internetowe, do których już straciły zapał lub o nich zapomniały, polecamy weryfikację, czy wpisy domeny nie wskazują na firmę, w której domena nie jest przypisana do żadnego konta – najwyraźniej ktoś poluje na takie przypadki i bezwzględnie je wykorzystuje.
Komentarze
Biorac pod uwagę rodzaj tych materiałów, stwierdzam, że stać muszą za tym bardzo źli ludzie.
Jak to się sprawdza ,która domena była przypięta do loteriaparagonowa? Chodzi mi o serwis urlscan.io
Cloudflare nie powinien był w stanie dopuścić do czegoś takiego, zwłaszcza że nameserwery są zazwyczaj losowe i przypisane do jednego konta, więc ktoś musiał naprawdę się postarać aby uzyskać te same serwery co konto wcześniejsze. Ale również sprawdzenie po WHOIS powinno dać im możliwość zweryfikowania że domena dalej jest pod tym samym właścicielem.
David ja nie jestem zbyt „techniczny”, ale ja rozumiem ze to nie jest wina Cloudflare, a serwisu loterii
1. Weryfikowanie DNS przez osoby drugie i trzecie?
Dobrze, ale pod warunkiem ze jestes jej wlascicielem.
Cloudflare nie jest wlascicielem gov.pl i jesli chcesz miec DNS, to mozesz przypisac dowola nazwe dla „swojego” IP.
Moze sie myle ale rozumiem to tak:
przyklad.gov.pl –> przyklad.cloud.pl –> IP
2. Jesli ktokolwiek powinien sie interesowac tutaj to tylko wlasciciel Loterii Paragonowej aby usunac nieaktualne DNS.
A Cloudflare oraz gov.pl moga jedynie spytac czy DNS jest nadal uzywane.
Takie pytania zadaja zazwyczaj firmy z platnymi DNS.
Takie pytania zazwyczaj nie istnieja ma serwisach z bezplatnymi i dozywotnimi DNS.
Jesli osoba (bo nie musi byc to firma) rozdajaca DNS zacznie sie pytac czy wlasciciel moze usunac nieuzywane DNS, to chyba dlatego ze brakuje mu juz miejsca na dysku na wpisy. Albo wybuchla afera ze stronami widmo, albo nie wiem.
Bycie ignorantem to jedno, a publiczne pokazywanie tego. to przejaw pomieszania ekshibicjonizmu z masochizmem.
To zdarzenie pokazuje, że w państwówce pracują tacy sami ignoranci jak ty, wierzący w magi i zaklęcia rodem z Harrego Pottera
„Jeśli chcecie zobaczyć, co było na stronie Loterii Paragonowej, zanim w brawurowej akcji nie została wyłączona przez powołane do tego celu zespoły bezpieczeństwa (reakcja – i to skuteczna – około godziny od zaistnienia incydentu godna jest pochwały)” – nie przesadzałbym z tą skutecznością: przed chwilą wszedłem na http://loteriaparagonowa.gov.pl/ i nadal widzę tam to, co opisaliście.
Widocznie gdzieś między Tobą a internetem jest warstwa cachująca.
jak niby to jest możliwe?
przecież jak są dwa konta przypisane do tej samej domeny na Cloudflare to pierwsze konto dostaje
zzz.ns.cloudflare.com
xxx.ns.cloudflare.com
a drugie konto
yyy.ns.cloudflare.com
qqq.ns.cloudflare.com
nadrzędny wpis u registrara decyduje które nameservers będą obsługiwać domenę
nie jestem w stanie tego zrozumieć. za pomocą wielokrotnego losowania doprowadzili do przydzielenia tych samych nameservers które nadal były wpisane u registratra?
Coś im słabo poszło to naprawianie, bo ja też widzę arabską stronę z datą 5 marca (dzisiejszą – więc nie z cache raczej).
DNS masz z cache, strona sobie stoi.
Używam OpenDNS i dotychczas nie doświadczyłem takiego efektu.
Typowy poziom tego panstwa z tektury i papieru: gov.pl przechowywany w chmurze. Oklaski na stojaco. Ale to typowe, wiec wlasciwie nie ma o co sie czepiac – taka „norma”. Skoro wszystkie dane ksiegowe polskich przedsiebiorstw przechodza przez serwery MS, wiec przypadek z artykulu jest niczym.
Ale wiesz że są zaszyfrowane a klucze zostają w Polsce?
Przepraszam, ale chyba zartujesz tym argumentem.
Bo tak powiedzial MS i Pan im wierzy?
Bo tak mówi ta sama dokumentacja systemu która mówi ze dane trafiają do chmury MS. To co, w połowę wierzymy a w połowę nie? Kto wybiera w co wierzymy?
Sledzi Pan doniesienia z USA jak Facebook klamal w kongresie?
Nie wierzyny w nic, gdzie motywem dzialania jest pieniadz, proste.
OK, to ja nie wierzę, ze dane są trzymane w MS. I po problemie.
Dane JPK nie są szyfrowane, a wszystkie są przetwarzane w chmurze MS.
A twierdzisz tak bo?
Tyle że wcale nie mamy pewnosci ze te klucze sa w Polsce. Malo tego nie sa one nawet w wiekszosci przypadkow skladowane w HSM. Zgoda ze mamy nad nimi kontrole wieksza niz w modelu SaaS ale warto by bylo wykorzystac mozliwosci dostepnej technologii i klucze za ktorych bezpieczenstwo odpowiadac bedzie panstwo jednoczesnie nie znajac ich i nie posiadajac ich kopii.
A masz pewność ze system w ogóle zbiera te dane?
„Ale wiesz że są zaszyfrowane a klucze zostają w Polsce?”
Czyli dzisiaj może nie odczytają, ale ponieważ wszystko jest skrzętnie odkładane, to co będzie z poufnością tych danych za 5 – 10 lat? MS nie będzie ich czytał i analizował ze względu na swoją wybitną moralność i etyczność?
A może już dzisiaj je sprzedał admin za 4500 brutto? I co teraz?
To ważna uwaga (czytaj: warto chronić się przed zagrożeniami ze strony pracowników), ale jednak nie na temat.
Nie można kwitować zastrzeżeń co do bezpieczeństwa przechowywania danych w „chmurze” stwierdzeniem typu „ktoś z wewnątrz i tak może wykraść klucze szyfrujące”. Cóż z tego, że może? To argument podobny do „nie zamykajmy drzwi do gabinetu prezesa na klucz, bo i tak może ktoś przekupić sprzątaczkę żeby dorobiła klucze”.
Problemy w opisanej sytuacji są dwa i są odrębne:
– wspomniane już samo przechowywanie danych w miejscu, nad którym się nie ma pełnej, fizycznej kontroli (na komputerach Microsoftu zamiast we własnej serwerowni) – moim zdaniem to niewłaściwe,
– architektura systemu – jeżeli *jeden* admin jest w stanie zniweczyć poufność przetwarzanych danych udostępniając komuś klucze, to cały system jest błędnie zaprojektowany i jest do wymiany.
„nieprzeznaczone dla niepełnoletnich” takie podwójne zaprzeczenie pali procka czytającej osoby, prościej byłoby napisać „przeznaczone dla pełnoletnich” :) możecie ten komć potraktować jako pw i nie publikować, pzdr
Nie mogą nie opublikować
No co… żeby zrozumieć rekurencję trzeba zrozumieć rekurencję :P
Adam widocznie potraktował pisanie jak kodowanie i się mu obfuskacja w artykule włączyła.
Bo to taka nowa loteria. Można wygrać talon na k..wę i balon.
„reakcja – i to skuteczna – około godziny od zaistnienia incydentu godna jest pochwały)” – jak zwykle świetny żart o poranku.
OpenDNS (np. 208.67.222.222) nadal serwuje porno chociaż ns’y zostały zmienione
> loteriaparagonowa.gov.pl
Server: resolver1.opendns.com
Address: 208.67.222.222
Non-authoritative answer:
Name: loteriaparagonowa.gov.pl
Address: 188.165.242.45
> loteriaparagonowa.gov.pl
Server: resolver2.opendns.com
Address: 208.67.220.220
Non-authoritative answer:
Name: loteriaparagonowa.gov.pl
Address: 188.165.242.45
o tym jak szybko powinny propagowac sie zmiany DNS decyduje parametr TTL. oczywiscie jesli kazdy dns w lancuchu respektuje RFC. ale po co ta jalowa dyskusja skoro i tak Internet nie zapomina’ chali sie szybka reakcja ale to jak zamalowywanie hasel na murach a tu tezeba skutecznych rozwiazan systemowych a nie zbierania rozlanego mleka. zastanowmy sie co by mozna bylo zrobic podstawiajac pod taki adres nie xxx a strone udajaca kampanie i zbierajaca dane od obywateli.