04.03.2019 | 23:25

Adam Haertle

Skąd porno na rządowej witrynie, czyli jak stracić kontrolę nad swoją stroną

Dzisiaj przez kilkadziesiąt minut na niezwykle kiedyś popularnej witrynie loteriaparagonowa.gov.pl promowane były treści pornograficzne. Znalazły się tam w trywialny sposób – i Twoja stara strona też może być podatna.

Była sobie strona, a potem ktoś zapomniał

Choć na stronach w domenie .gov.pl trafić można na różne dziwne treści, to nowa zawartość witryny poświęconej Loterii Paragonowej mogła zaskoczyć nawet doświadczonych bywalców. Treści arabskie i rosyjskie były bogato udekorowane ostrą pornografią. Skąd taka niespodzianka?

Zaciemnić trzeba było w zasadzie cały ekran

Scenariusz wydarzeń okazuje się bardzo prosty. Analiza zapisów utrwalonych w repozytoriach danych wskazujących na historię wpisów w DNS nie pozostawia wiele wątpliwości. Witryna loteriaparagonowa.gov.pl była dość aktywnie eksploatowana w latach 2016-2017. Jej wpisy w DNS wskazywały, że informację o lokalizacji jej faktycznego serwera przechowuje firma Cloudflare – popularna usługa ukrywająca lokalizację witryny i łagodząca skutki ataków DDoS. Mimo opuszczenia projektu Loterii Paragonowej domena nadal była aktywna – lecz najwyraźniej jej konfiguracja po stronie Cloudflare zniknęła. Nie wiemy, czy konto ją obsługujące zostało zlikwidowane, czy po prostu nie zostało opłacone. W każdym razie wpisy w DNS wskazywały na Cloudlfare, a tam nie było żadnej informacji o tym, gdzie trafiać mają osoby odwiedzające stronę.

Tę sytuację postanowili wykorzystać źli (i przedsiębiorczy) ludzie. Witryna Loterii Paragonowej jest tylko jedną z setek, które padły ich ofiarami. Źli ludzie zidentyfikowali strony, których rekordy DNS wskazywały na Cloudflare, lecz które nie były już przez Cloudflare obsługiwane i po prostu przypisali je do swoich kont Cloudflare, a następnie przekierowali na stronę porno, zapewne zarabiając na generowanym w ten sposób ruchu. Proste a skuteczne.

Co tam było?

Jeśli chcecie zobaczyć, co było na stronie Loterii Paragonowej, zanim w brawurowej akcji nie została wyłączona przez powołane do tego celu zespoły bezpieczeństwa (reakcja – i to skuteczna – około godziny od zaistnienia incydentu godna jest pochwały), to możecie znaleźć kopię tutaj (uwaga, zawiera treści nieprzeznaczone dla niepełnoletnich). Podobny los spotkał wiele innych stron, w tym np. skrócony adres jednego z polskich serwisów o bezpieczeństwie, BadSector, pod domeną badsec.pl (uwaga, nadal przekierowuje na treści pornograficzne). Sporą listę przejętych domen znajdziecie pod adresami:

https://www.virustotal.com/#/ip-address/188.165.242.45
https://community.riskiq.com/search/188.165.242.45

Wszystkim osobom prowadzącym serwisy internetowe, do których już straciły zapał lub o nich zapomniały, polecamy weryfikację, czy wpisy domeny nie wskazują na firmę, w której domena nie jest przypisana do żadnego konta – najwyraźniej ktoś poluje na takie przypadki i bezwzględnie je wykorzystuje.

Powrót

Komentarze

  • 2019.03.05 00:10 Marcin

    Biorac pod uwagę rodzaj tych materiałów, stwierdzam, że stać muszą za tym bardzo źli ludzie.

    Odpowiedz
  • 2019.03.05 02:43 monika

    Jak to się sprawdza ,która domena była przypięta do loteriaparagonowa? Chodzi mi o serwis urlscan.io

    Odpowiedz
  • 2019.03.05 07:26 David

    Cloudflare nie powinien był w stanie dopuścić do czegoś takiego, zwłaszcza że nameserwery są zazwyczaj losowe i przypisane do jednego konta, więc ktoś musiał naprawdę się postarać aby uzyskać te same serwery co konto wcześniejsze. Ale również sprawdzenie po WHOIS powinno dać im możliwość zweryfikowania że domena dalej jest pod tym samym właścicielem.

    Odpowiedz
    • 2019.03.05 19:20 gosc

      David ja nie jestem zbyt „techniczny”, ale ja rozumiem ze to nie jest wina Cloudflare, a serwisu loterii
      1. Weryfikowanie DNS przez osoby drugie i trzecie?
      Dobrze, ale pod warunkiem ze jestes jej wlascicielem.
      Cloudflare nie jest wlascicielem gov.pl i jesli chcesz miec DNS, to mozesz przypisac dowola nazwe dla „swojego” IP.
      Moze sie myle ale rozumiem to tak:
      przyklad.gov.pl –> przyklad.cloud.pl –> IP
      2. Jesli ktokolwiek powinien sie interesowac tutaj to tylko wlasciciel Loterii Paragonowej aby usunac nieaktualne DNS.
      A Cloudflare oraz gov.pl moga jedynie spytac czy DNS jest nadal uzywane.
      Takie pytania zadaja zazwyczaj firmy z platnymi DNS.
      Takie pytania zazwyczaj nie istnieja ma serwisach z bezplatnymi i dozywotnimi DNS.
      Jesli osoba (bo nie musi byc to firma) rozdajaca DNS zacznie sie pytac czy wlasciciel moze usunac nieuzywane DNS, to chyba dlatego ze brakuje mu juz miejsca na dysku na wpisy. Albo wybuchla afera ze stronami widmo, albo nie wiem.

      Odpowiedz
    • 2019.03.06 10:54 Prosty ubek

      Bycie ignorantem to jedno, a publiczne pokazywanie tego. to przejaw pomieszania ekshibicjonizmu z masochizmem.

      Odpowiedz
    • 2019.03.06 10:55 Prosty ubek

      To zdarzenie pokazuje, że w państwówce pracują tacy sami ignoranci jak ty, wierzący w magi i zaklęcia rodem z Harrego Pottera

      Odpowiedz
  • 2019.03.05 09:29 Jan

    „Jeśli chcecie zobaczyć, co było na stronie Loterii Paragonowej, zanim w brawurowej akcji nie została wyłączona przez powołane do tego celu zespoły bezpieczeństwa (reakcja – i to skuteczna – około godziny od zaistnienia incydentu godna jest pochwały)” – nie przesadzałbym z tą skutecznością: przed chwilą wszedłem na http://loteriaparagonowa.gov.pl/ i nadal widzę tam to, co opisaliście.

    Odpowiedz
    • 2019.03.05 09:40 Adam Haertle

      Widocznie gdzieś między Tobą a internetem jest warstwa cachująca.

      Odpowiedz
  • 2019.03.05 10:38 vv

    jak niby to jest możliwe?
    przecież jak są dwa konta przypisane do tej samej domeny na Cloudflare to pierwsze konto dostaje
    zzz.ns.cloudflare.com
    xxx.ns.cloudflare.com
    a drugie konto
    yyy.ns.cloudflare.com
    qqq.ns.cloudflare.com
    nadrzędny wpis u registrara decyduje które nameservers będą obsługiwać domenę
    nie jestem w stanie tego zrozumieć. za pomocą wielokrotnego losowania doprowadzili do przydzielenia tych samych nameservers które nadal były wpisane u registratra?

    Odpowiedz
  • 2019.03.05 12:06 Monter

    Coś im słabo poszło to naprawianie, bo ja też widzę arabską stronę z datą 5 marca (dzisiejszą – więc nie z cache raczej).

    Odpowiedz
    • 2019.03.05 14:31 Adam Haertle

      DNS masz z cache, strona sobie stoi.

      Odpowiedz
      • 2019.03.06 13:38 Monter

        Używam OpenDNS i dotychczas nie doświadczyłem takiego efektu.

        Odpowiedz
  • 2019.03.05 14:21 R.

    Typowy poziom tego panstwa z tektury i papieru: gov.pl przechowywany w chmurze. Oklaski na stojaco. Ale to typowe, wiec wlasciwie nie ma o co sie czepiac – taka „norma”. Skoro wszystkie dane ksiegowe polskich przedsiebiorstw przechodza przez serwery MS, wiec przypadek z artykulu jest niczym.

    Odpowiedz
    • 2019.03.05 14:30 Adam Haertle

      Ale wiesz że są zaszyfrowane a klucze zostają w Polsce?

      Odpowiedz
      • 2019.03.05 16:14 R.

        Przepraszam, ale chyba zartujesz tym argumentem.

        Odpowiedz
      • 2019.03.05 19:27 Staly czytasz

        Bo tak powiedzial MS i Pan im wierzy?

        Odpowiedz
        • 2019.03.05 19:29 Adam Haertle

          Bo tak mówi ta sama dokumentacja systemu która mówi ze dane trafiają do chmury MS. To co, w połowę wierzymy a w połowę nie? Kto wybiera w co wierzymy?

          Odpowiedz
          • 2019.03.05 20:31 Staly czytasz

            Sledzi Pan doniesienia z USA jak Facebook klamal w kongresie?

            Nie wierzyny w nic, gdzie motywem dzialania jest pieniadz, proste.

          • 2019.03.05 20:52 adamh

            OK, to ja nie wierzę, ze dane są trzymane w MS. I po problemie.

          • 2019.03.06 11:13 Prosty ubek

            Dane JPK nie są szyfrowane, a wszystkie są przetwarzane w chmurze MS.

          • 2019.03.06 11:15 adamh

            A twierdzisz tak bo?

          • 2019.03.07 07:30 HardwareBased

            Tyle że wcale nie mamy pewnosci ze te klucze sa w Polsce. Malo tego nie sa one nawet w wiekszosci przypadkow skladowane w HSM. Zgoda ze mamy nad nimi kontrole wieksza niz w modelu SaaS ale warto by bylo wykorzystac mozliwosci dostepnej technologii i klucze za ktorych bezpieczenstwo odpowiadac bedzie panstwo jednoczesnie nie znajac ich i nie posiadajac ich kopii.

          • 2019.03.07 07:53 Adam Haertle

            A masz pewność ze system w ogóle zbiera te dane?

      • 2019.03.07 06:35 draft

        „Ale wiesz że są zaszyfrowane a klucze zostają w Polsce?”
        Czyli dzisiaj może nie odczytają, ale ponieważ wszystko jest skrzętnie odkładane, to co będzie z poufnością tych danych za 5 – 10 lat? MS nie będzie ich czytał i analizował ze względu na swoją wybitną moralność i etyczność?

        Odpowiedz
        • 2019.03.07 07:52 Adam Haertle

          A może już dzisiaj je sprzedał admin za 4500 brutto? I co teraz?

          Odpowiedz
          • 2019.03.10 15:09 drogman

            To ważna uwaga (czytaj: warto chronić się przed zagrożeniami ze strony pracowników), ale jednak nie na temat.

            Nie można kwitować zastrzeżeń co do bezpieczeństwa przechowywania danych w „chmurze” stwierdzeniem typu „ktoś z wewnątrz i tak może wykraść klucze szyfrujące”. Cóż z tego, że może? To argument podobny do „nie zamykajmy drzwi do gabinetu prezesa na klucz, bo i tak może ktoś przekupić sprzątaczkę żeby dorobiła klucze”.

            Problemy w opisanej sytuacji są dwa i są odrębne:

            – wspomniane już samo przechowywanie danych w miejscu, nad którym się nie ma pełnej, fizycznej kontroli (na komputerach Microsoftu zamiast we własnej serwerowni) – moim zdaniem to niewłaściwe,

            – architektura systemu – jeżeli *jeden* admin jest w stanie zniweczyć poufność przetwarzanych danych udostępniając komuś klucze, to cały system jest błędnie zaprojektowany i jest do wymiany.

  • 2019.03.05 14:28 Krzysztof

    „nieprzeznaczone dla niepełnoletnich” takie podwójne zaprzeczenie pali procka czytającej osoby, prościej byłoby napisać „przeznaczone dla pełnoletnich” :) możecie ten komć potraktować jako pw i nie publikować, pzdr

    Odpowiedz
    • 2019.03.05 19:10 minus1

      Nie mogą nie opublikować

      Odpowiedz
    • 2019.03.08 17:00 kez87

      No co… żeby zrozumieć rekurencję trzeba zrozumieć rekurencję :P

      Adam widocznie potraktował pisanie jak kodowanie i się mu obfuskacja w artykule włączyła.

      Odpowiedz
  • 2019.03.05 19:05 minus1

    Bo to taka nowa loteria. Można wygrać talon na k..wę i balon.

    Odpowiedz
  • 2019.03.06 10:51 Prosty ubek

    „reakcja – i to skuteczna – około godziny od zaistnienia incydentu godna jest pochwały)” – jak zwykle świetny żart o poranku.

    Odpowiedz
  • 2019.03.06 21:46 Darek

    OpenDNS (np. 208.67.222.222) nadal serwuje porno chociaż ns’y zostały zmienione

    > loteriaparagonowa.gov.pl
    Server: resolver1.opendns.com
    Address: 208.67.222.222

    Non-authoritative answer:
    Name: loteriaparagonowa.gov.pl
    Address: 188.165.242.45

    > loteriaparagonowa.gov.pl
    Server: resolver2.opendns.com
    Address: 208.67.220.220

    Non-authoritative answer:
    Name: loteriaparagonowa.gov.pl
    Address: 188.165.242.45

    Odpowiedz
  • 2019.03.07 07:41 ttl

    o tym jak szybko powinny propagowac sie zmiany DNS decyduje parametr TTL. oczywiscie jesli kazdy dns w lancuchu respektuje RFC. ale po co ta jalowa dyskusja skoro i tak Internet nie zapomina’ chali sie szybka reakcja ale to jak zamalowywanie hasel na murach a tu tezeba skutecznych rozwiazan systemowych a nie zbierania rozlanego mleka. zastanowmy sie co by mozna bylo zrobic podstawiajac pod taki adres nie xxx a strone udajaca kampanie i zbierajaca dane od obywateli.

    Odpowiedz

Zostaw odpowiedź

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

Skąd porno na rządowej witrynie, czyli jak stracić kontrolę nad swoją stroną

Komentarze