LINUX.ORG.RU
ФорумTalks

gosuslugi.ru скомпроментирован

 , ,


1

2

На портале государственных услуг Российской Федерации (gosuslugi.ru) специалисты компании «Доктор Веб» обнаружили внедрённый неизвестными потенциально вредоносный код.

Доставляет отсутствие реакции со стороны администрации сайта.

Подробности.

★★★★★

хабр - отстой, копирую для Ъ:

Разработчик антивирусного ПО «Доктор Веб» сообщил, что специалисты обнаружили на портале gosuslugi.ru внедренный неизвестными вредоносный код. Он позволяет «незаметно связываться с одним из не менее 15 доменных адресов, зарегистрированных на неизвестное частное лицо». «В ответ с этих доменов может поступить любой независимый документ, начиная от фальшивой формы ввода данных кредитной карточки и заканчивая перебором набора уязвимостей с целью получить доступ к компьютеру посетителя сайта»,— говорится в сообщении об угрозе.

Минимум пять из вышеупомянутых доменов принадлежат компаниям, зарегистрированным в Нидерландах. Обратиться к этим доменным именам невозможно, потому что у сайтов просрочены сертификаты безопасности, но, по словам специалистов «Доктор Веб», «ничего не мешает владельцам доменов в любой момент обновить сертификаты и разместить на этих доменах вредоносный программный код». На данный момент портал gosuslugi.ru по-прежнему скомпрометирован, информация об угрозе направлена в техническую поддержку сайта.

Какой позор... По некоторым косякам было видно, что gosuslugi пишут не сильно качественно, но code injection - это диагноз команды.

crypt ★★★★★
()
Последнее исправление: crypt (всего исправлений: 1)
Ответ на: комментарий от KillTheCat

Нет никаких гарантий, что не утекли. Госуслуги, по всей видимости, совсем не шевелятся даже что-то предпринимать. Просто эпик.

th3m3 ★★★★★
() автор топика
Ответ на: комментарий от KillTheCat

Да вот как-то странно. Дырень огромная, надо было грести данные лопатой, а вот почему-то «Обратиться к этим доменным именам невозможно». Очень странно.

crypt ★★★★★
()

Нет. Эпик будет тогда, когда, с целью борьбы с уязвимостью, вместо удаления вредоносного кода, домены, на которые ссылается зловред, внесут в реестр, чтобы провайдеры блокировали запросы к ним.

int64
()
Ответ на: комментарий от th3m3

Жаль, что этот epic fail сможем оценить только мы.:( 99% пользователей портала не поймут в чем дело и на завтра уже про все забудут. После того, как я услышал историю про МММ version 2, я уже точно в этом уверен.

crypt ★★★★★
()
Ответ на: комментарий от crypt

99% пользователей портала не поймут в чем дело и на завтра уже про все забудут

Не факт. Может они пострадают от утечки их данных.

th3m3 ★★★★★
() автор топика
Ответ на: комментарий от th3m3

Уже же нет. А как они могли пострадать по сути? «Стыбзили» бы их персональные данные и потом бы продавали. И то, их сбор еще надо автоматизировать. Мое представление об окружающих меня валенках говорит, что даже если у них что-то «стыбзят» и продадут, их совершенно не волнует. Это ж не деньги из банка.

crypt ★★★★★
()
Последнее исправление: crypt (всего исправлений: 2)

Упоминание этого ифрейма в поиске уже давно. С 2015 года где-то. Вирус на компе клиента подсаживает iframe при редактировании текста в формах на сайте. Т.е. контентщик, через веб-админку подсадил iframe на каждую страницу. Забейте в поиске просто «A1996667054» и найдете кучу вопросов на форумах.

xtraeft ★★☆☆
()
Ответ на: комментарий от xtraeft

Роскомнадзор работает, да :)

th3m3 ★★★★★
() автор топика

Доставляет отсутствие реакции со стороны администрации сайта.

Потенциальная угроза на портале госуслуг будет ликвидирована в ближайшее время. (Минкомсвязь) ©.

quickquest ★★★★★
()
Ответ на: комментарий от crypt

про МММ version 2, я уже точно в этом уверен.

Напомни, пор что там было, а то я этих МММ-оы повидал на своём веку как собак нерезанных.

justAmoment ★★★★★
()

Я подозреваю это, русские хакиры? Они везде, они рыжего ЧМО выбрали.

petyanamlt ★★★★
()
Ответ на: комментарий от praseodim

А я знаю, что именно - Доктора Веба, т.к. он выложил уязвимость в открытый доступ. Вот и надо запретить выкладывать уязвимости и вообще сообщать о них.

peregrine ★★★★★
()
Ответ на: комментарий от peregrine

Вот и надо запретить выкладывать уязвимости и вообще сообщать о них.

Ага, ты такой умный, начнётся эпидемия чумы, надо молчать, и тихонечко отстреливать инфицированных. Не надо быдло пугать....

petyanamlt ★★★★
()

вот почему-то у меня было стойкое убеждение, что эту хрень взломают. наверное, от наблюдения за качеством расейского государственного ПО (не имею претензий к качественному коммерческому), у меня создалось впечатление, что его пишут какие-то умственные инвалиды. хотя распилы, конечно, грандиозны.

Iron_Bug ★★★★★
()
Ответ на: комментарий от peregrine

ждём в следующей редакции госудуры запрет на публикацию информации о багах.

Iron_Bug ★★★★★
()
Ответ на: комментарий от petyanamlt

О, кстати, вспомнил, об аварии на Чернобыльской АЭС молчали - парад в Киеве проходил, зачем его отменять было?

peregrine ★★★★★
()
Ответ на: комментарий от peregrine

Но по тихому могли же сообщить, не?

Зачем потихому? Они же не уязвимость раскрыли, а сообщили что ресурс скомпрометирован, администрация сайта ничего не делает - пользователи могут пострадать.

th3m3 ★★★★★
() автор топика
Ответ на: комментарий от th3m3

Ну кто-то может в связи с всплытием информации обновить сертификаты и устроить там зеркало порнхаба или что ещё похуже.

peregrine ★★★★★
()
Ответ на: комментарий от peregrine

Ну так ты же тоже самое и предлагаешь, давайте промолчим...

petyanamlt ★★★★
()
Ответ на: комментарий от imul

Вроде зашевелились. Раз инфа уже пошла по СМИ ;)

th3m3 ★★★★★
() автор топика

Постоянно сижу на сайте гос услуг, только с помощью его могу авторизоваться и пользоваться такими сайтами как Арбитражный суд, Реформа ЖКХ, ФССП РФ, при этом из под винды.

Представляю если данные слили со всех этих сайтов.

Ramil ★★★★
()
Ответ на: комментарий от th3m3

беспочвенно вангую что,

это критичная для безопасности система, уйдет неделя, чтобы «что-то предпринять» - т.е. перенакатить все региональные порталы.

при перенакатке порталов все офисы встанут, поэтому, возможно, нужно ждать пока в офисах завершатся все критичные по остановке процессы

плюс очевидно что у создателей госуслуг сто пятьсот субподрядчиков, складывающиеся в нехилое такое дерево. И если они будут реагировать по принципу - «кто сломал, тот и чинит», там только выяснение виновного займет неделю

вангую что за неделю-две они это вычистят

stevejobs ★★★★☆
()
Ответ на: комментарий от imul

не надо смотреть код страницы, надо смотреть «инструменты разработчика» прямо в браузере, скрипт клеет урл из кусочков

stevejobs ★★★★☆
()
Ответ на: комментарий от peregrine

ты читать умеешь? они и сообщили по-тихому, но в ответ им никто не написал

stevejobs ★★★★☆
()
Ответ на: комментарий от peregrine

уязвимость - это то, что можно эксплуатировать

а это - не уязвимость, а просто подтверждение свершившейся успешной атаки

stevejobs ★★★★☆
()

Мир дал им HTTP-заголовок Content-Security-Policy. Не хотим, хотим жрать XSS.

Стыд.

shahid ★★★★★
()

Доставляет отсутствие реакции со стороны администрации сайта.

Они думают, сразу «Доктор Веб» засудить, оштрафовать и запретить, или сначала всё же для виду поискать непосредственно злоумышленика.

Psych218 ★★★★★
()
Ответ на: комментарий от th3m3

видимо, единственный васян, который там что-то настраивать умеет, в отпуске. вот приедет васян и починит. чего вы гоношитесь?

Iron_Bug ★★★★★
()
Ответ на: комментарий от Iron_Bug

У студентов сейчас каникулы :)

th3m3 ★★★★★
() автор топика
Ответ на: комментарий от Iron_Bug

Просто пишут государственное ПО за небольшие деньги и без всякого code review. Всем просто похуй на качество этого ПО.

Deleted
()
Ответ на: комментарий от Iron_Bug

Миллиарды - это же не конечным разработчикам. Хотя не думаю, что там действительно много тащат, просто много кто присосался.

Deleted
()

Request Policy Continued надёжно защищает меня от дыр на госуслугах.

WARNING ★★★★
()
Ответ на: комментарий от peregrine

Но по тихому могли же сообщить, не?

Так сообщили же «по-тихому». И давно. Ноль реакции.

greenman ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.