Зафиксирован (https://www.welivesecurity.com/2018/11/06/supply-chain-attac... взлом популярного сервиса web-аналитики StatCounter (https://en.wikipedia.org/wiki/StatCounter), JavaScript-код со счётчиком которого размещён на более чем двух миллионах сайтах, а число загрузок составляет около 10 миллиардов страниц в месяц. По данным компании ESET взлом выполнен для совершения целевой атаки на биржу криптовалют gate.io, на страницах которой размещён код счётчика StatCounter.
После взлома злоумышленники добавили в код счётчика несколько дополнительных строк, которые перехватывают информацию о всех транзакциях с криптовалютой Bitcoin в web-интерфейсе Gate.io. Вредоносный код активируется только для страниц, содержащих в URL маску "myaccount/withdraw/BTC", которая специфична для сайта Gate.io. В случае обнаружения в формах Bitcoin-адреса, вредоносный код заменяет его на Bitcoin-адрес злоумышленников, предполагая, что пользователь не заметит подмену и переведёт средства не на тот адрес. Для каждой жертвы используется отдельный подставной Bitcoin-адрес, что затрудняет отслеживание ущерба от атаки.
Атака была совершена 3 ноября и пока сохраняет активность. Код изменённого счётчика (www.statcounter.com/counter/counter.js) до сих пор содержит вредоносное изменение (скрипт сжат при помощи упаковщика packer (http://dean.edwards.name/packer/), поэтому без распаковки появление вредоносного кода не бросается в глаза). Выявившие проблему исследователи направили в StatCounter уведомление о проблеме, но пока не получили ответа.
Администраторы Gate.io удалили счётчик со своих страниц, но он продолжает использоваться на многочисленных сайтах других пользователей StatCounter. Несмотря на то, что вредоносный код нацелен только на компрометацию биржи Gate.io, не исключено, что злоумышленники в любой могут изменить код счётчика для совершения более масштабной универсальной атаки (например, для захвата паролей или платёжной информации на сайтах со счётчиком StatCounter).URL: https://www.welivesecurity.com/2018/11/06/supply-chain-attac.../
Новость: https://www.opennet.me/opennews/art.shtml?num=49568
Надеюсь что все подобные счетчики яростно режутся uBlock'ом из коробки
На коробку надейся, а подписки добавь.
Пока не ломанут uBlock и он сам не начнет делать тихо тоже самое.
Ну собирай из исходников, кто мешает?)
Следующий уровень атаки - взлом Cloudflare? А впрочем даже если их всех взломают, макакам впрок не пойдёт и они продолжат подгружать говно с CDN без проверки хеша.
Флаг в руки "легко" разобраться с инфраструктурой типа CloudFlare.
а зачем мне разбираться? Мне ж надо одну-единственную дырку найти, а не детально разобраться в технологии. А это делается совсем-совсем с другого конца.
Вы сравниваете с домашним сервером или мелким. Например, некоторые команды, которые Вы думаете только показывают данные, могут сломать вещи. Я уж молчу про вопрос где хранятся конфиги, как они обновляются (скорее всего в несколько стадий) и т.п.
Большинство обменников работают через cloudflare, который митмит весь трафик (https шифруется до него и потом снова от него до сайта, для cf все прозрачно). Один недобросовестный сотрудник cf может положить весь рынок криптовалют.
Скорее всего top 10000 сайтов таки или иначе используют CDN, включая банки. Для этого CDN имеют PCI сертификвцию. Она хоть как-то сдерживает девелоперов, для которых слово безопасность нет в лексиконе.
Привет сбербанку, который в online-банке использовал/использует счётчики от Google, Yandex и каких-то левых контор.https://www.sberbank.com/ru/personal_policy
"в т.ч. с использованием метрических программ Яндекс.Метрика, Google Analytics, Firebas Google, Tune, Amplitude, Сегменто"
> Привет сбербанку, который в online-банке использовал/использует счётчики от Google, Yandex
> и каких-то левых контор.Ну дык, тут с одной стороны есть риск, что взломают вас (чисто технически) на вашем-же локалхосте – от чего ответственному манагеру ни холодно ни жарко, особенно когда можно отлично отбрехаться или (с минимальными потерями) назначить козла отпущения.
А вот с другой – есть возможность прямо здесь и сейчас собрать аналитику и сделать на этом денюжку малую на посещение красавиц (или красавцев) элитных. Кто же тут долго раздумывать будет?
Тоже охренел когда такую подставу обнаружил. Писал им в саппорт, но они это за потенциальную уязвимость не считают.
Хорошо хоть ublock зарезал все эти счётчики.
Ты сам вносил? Можно конфиг?
> Ты сам вносил? Можно конфиг?Я сам не вносил. Счётчики зарезали статические фильтры из вот этих вот подписок:
EasyList
EasyPrivacy
RUS: RU AdList
Peter Lowe’s Ad and tracking server list
А вообще, помимо вышесказанных подписок я использую правило динамической фильтрации
* * 3p-script block
Которое блочит все сторонние (по отношению к текущему домену) скрипты и всякие такие счётчики режутся ещё до применения статических фильтров.
Минус - половина сайтов ломается и приходится ставить
example.com * 3p-script noop
(правило ставится мышкой из меню ublock origin)
Ставить лучше именно noop а не allow, чтобы статические фильтры срабатывали.
> Которое блочит все сторонние (по отношению к текущему домену) скрипты
> Минус - половина сайтов ломается и приходится ставитьС этой работой отлично справляется uMatrix. И "поломанные" сайты фиксятся двумя кликами мышки, без ручного внесение записей в список.
> С этой работой отлично справляется uMatrix. И "поломанные" сайты фиксятся двумя кликами
> мышки, без ручного внесение записей в список.В Ublock Origin это делается точно так же :)
Там интерфейс почти одинаковый, разработчик ведь тот же.
хха, он там не счетчики использует, он там куда более интересные штуки использует - яндексу сливаются поля форм! То есть все, что не скринится явно - имена-отчества которые банки так любят "для предупреждения подмены сообщений", адреса, телефоны, местами куски номеров счетов.ну а что вы хотите, им же нннннадо! (аж в жееппе свербит как надо) знать что за кнопки и в каком порядке вы нажимали, а скромный сбербанк, владелец двух десятков многоэтажных ни разу ни для клиентов предназначенных зданий в одной только Москве, где сидит с пол-миллиона офисных рабов, прикованных к мониторам - конечно же не может выделить собственных разработчиков подобных средств, это нестильно, немодно и не молодежно.
то есть там даже не нужно ломать яндекс или гугль, там достаточно подсунуть порно-линк эффективному менеджеру, взявшему работу на дом, чтобы он слил тебе пароль от яндексовой учетки. Где все будет в уже удобно обработанном виде, бери и пользуйся, и далеко-далеко от сберовской службы безопасности - если она у них вообще есть и работает, что сомнительно.
Еще и карты геолокацию в открытом виде пересылают , покрайне мере сберонлайн, кроме этого сучится на касперовские сервера раскинутые по миру 443 1443 порта, что он там передает кто знает .
А учитывая тот список разрешение на IOS/android в совокупности с касперским, следует пологать что после установки СбербанкОнлайн, Спербанк имеет все наши данные, фото, видео, геолокацию, переписку итд., и не нужно никаких счетвиков и прочего говна, достаточно установить сберокасперский ТРОЯН.
наивняк! В том и дело что их имеет не сбербанк, а все кто его имеет - от касперского до гугля.
ну и все кто поимели акаунты конкретных дубоголовых манагеров этого самого сбера.
> наивняк! В том и дело что их имеет не сбербанк, а все
> кто его имеет - от касперского до гугля.
> ну и все кто поимели акаунты конкретных дубоголовых манагеров этого самого сбера.Ну, здесь имеется и некоторый положительный момент (для кого? ;)
Теперь сбербанк, когда вдруг может быть рак на горе свистнет, может сделать удивленное лицо, ковыряться в носу и пускать слюну говоря, что он то здесь ни при чем :(
Это все они, они и они...
> Теперь сбербанк, когда вдруг может быть рак на горе свистнет, может сделать удивленное лицо,
> ковыряться в носу и пускать слюну говоря, что он то здесь ни при чем :(ты все еще слишком хорошего о них мнения, на самом деле - вот как надо:
https://www.rbc.ru/society/17/07/2018/5b4d0ed19a79475894dff274
утекли сканы паспортов? "Информация по этим ссылкам не содержит персональных данных клиентов Сбербанка и не несет для них никакого риска. Банк и его клиенты надежно защищены".
Варюсь в криптотеме и могу с полной уверенностью заявить, что 99% "взломов" криптобирж - это простое решение админа забрать все деньги и уехать в Рио-де-Жанейро, не более.
Пост из Рио?
Вот тут все восхваляют uBlock, а недавний пример с mega.nz показал, что расширения тоже могут протроянить вне зависимости от репутации.Кто не знает, в фаерфоксе отлично работают списки блокировки от disconnect. Включать в настройках приватности.
Да, рекламу на Ютубе не режет, но это все же на 1 потенциально скомпрометированный источник кода меньше.
ну да, только функциональность несравнима. Тогда логичный следующий шаг - links
нужно сразу привыкать к хорошему:
curl "https://www.opennet.me/opennews/art.shtml?num=49568"
>недавний пример с mega.nz показалщас бы не отключать на три буквы "автоматическое обновление" с функцией "автоматической загрузки троянов"
Тут любопытно то, что в службе статистики, много лет вравшей нам про долю IE, работают люди, компетентные настолько, что не могут мгновенно закрыть очевидную уязвимость.
кто нибудь в курсе, можно ли запретить такому скрипту лазить по странице и менять её содержимое? может запускать его в iframe и подключать его как-то по особому?
Ты чо, виртуальных фантиков умным людям с техническим складом ума на пиво пожалел? Жадина!
> Ты чо, виртуальных фантиков умным людям с техническим складом ума на пиво
> пожалел? Жадина!т.е. ты не знаешь? и пытаешься перевести разговор на тему моих личных качеств. ок, пнх.
> кто нибудь в курсе, можно ли запретить такому скрипту лазить по странице
> и менять её содержимое? может запускать его в iframe и подключать
> его как-то по особому?Можно его просто не запускать. Для блокировки есть множество разных расширений, например ublock origin.
>> кто нибудь в курсе, можно ли запретить такому скрипту лазить по странице
>> и менять её содержимое? может запускать его в iframe и подключать
>> его как-то по особому?
> Можно его просто не запускать. Для блокировки есть множество разных расширений, например
> ublock origin.да я вобщем-то про серверную сторону спрашивал...может ли разработчик сайта прикрутить счётчик так, чтоб счётчик не мог делать ничего, кроме подсчёта посетителей?
может - если он и правда разработчик, нарисовать собственный счетчик для никому ненужного сайта, с кодом, располагающимся внутри самого сайта, не должно представлять для него ни малейшей проблемы.хотя обычно для "собственных сайтов" и этого не требуется (случаи неудержимого желания подглядывать за индивидуальными движениями мыши пользователя оставим отдельно), есть логи и есть их анализаторы. К сожалению, эффективные менеджеры ничего о них не слышали, да и разработчиков никаких давно нет, есть кодошлепы, ctrlc/ctrlv, и хорошо если из ответа на stackoverflow, а не из вопроса.
> да я вобщем-то про серверную сторону спрашивал...может ли разработчик сайта прикрутить
> счётчик так, чтоб счётчик не мог делать ничего, кроме подсчёта посетителей?Прикрутить какой-нибудь гугель-аналитик чтобы он не шастал куда не надо и не сливал данные гуглю? Вряд ли.
Зато разработчик может развернуть на своём сайте собственную систему аналитики, например piwik.
О content security policy разработчики биржи не слышали, а он бы здесь помог.
Нет не помог бы.