20:40
4/3/2019

Nie często zdarza się, że serwisy w domenie gov.pl padają ofiarą ataków. Loteria paragonowa padła. I to mocno. Pod adresem loteriaparagonowa.gov[.]pl znajdują się obecnie treści wybitnie NSFW zahaczające wręcz o dziecięcą pornografię…

Czy to tylko “niewinne” przekierowanie, czy też poleciały dane gromadzone przez ten serwis?

Wcześniej wskazanie na DNS na innym IP, może to hack konta na CloudFlare / registrara tylko? Serwis działał jeszcze w 2017 roku. Być to w ogóle nie atak? Może serwer został w 2017 wyłączony (ale zapomniano zdjąć rekordy z DNS), przez co jego IP wrócił do puli dostępnych do rejestracji i ktoś pod tym IP postawił taką a nie inną stronę?

Obecnie domena wskazuje na adres IP:

188.165.242.45

Wcześniej (do roku 2017) wskazywała na adresy IP należące do Cloudflare:


104.24.20.112 United States Cloudflare, Inc. 2017-08-31
104.24.19.112 United States Cloudflare, Inc. 2017-08-31
104.24.24.36 United States Cloudflare, Inc. 2016-12-23
108.162.207.49 United States Cloudflare, Inc. 2015-10-09


Aktualizacja 4.03.2019, 23:29
I wiemy już więcej. Po pierwsze — dane osób biorących udział w loterii nie powinny być zagrożone. Zgodnie z deklaracją byłej firmy odpowiedzialnej za hosting i obsługę serwera, serwer został w 2017 roku wyłączony. Niestety, Ministerstwo “ubijając” serwis nie zwróciło uwagi na dwie rzeczy: to, że domena wykupiona jest jeszcze na kilka lat do przodu (wciąż jest i będzie aktywna) i że po stronie rejestratora wciąż rozgłasza DNS-y firmy CloudFlare.

Przekierowania domeny można więc było dokonać logując się na konto Ministerstwa Finansów na Cloudflare (np. zgadując/pozyskując hasło). Ale ponoć Ministerstwo konto skasowało. I tu robi się ciekawie, bo o ile konto na Cloudflare dla loterii zostało skasowane, to wszystko ponieważ serwery DNS nie zostały po stronie rejestratora zmienione na niecloudflare’owe, to ktoś mógł skorzystać z bardzo prostego przepisu na atak:

  • Założył swoje własne konto na Cloudflare.
  • Zaczął do niego dodawać domenę loterii paragonowej
  • …i domena została ona dodana z powodzeniem, bo po stronie rejestratora domeny wciąż były ustawione “stare” CloudFlare’owe DNS-y, a Cloudflare nie weryfikuje “dodania” domeny w inny sposób niż sprawdzając czy wskazuje ona na DNS-y z puli Cloudflare’a.

Po takim ruchu, ktoś mógł przekierować domenę na dowolny adres IP — z czego skorzystał.

To jest atak globalny i masowy

Patrząc na to ile różnych domen wskazuje na ten sam adres IP, możemy mówić o masowym ataku, którego loteria paragonowa jest tylko jedną z wielu ofiar (inne polskie domeny wskazujące na ten IP to m.in. planetadownloadu[.]pl, autaamerykanskie[.]pl, ). Wygląda na to, że ktoś aktywnie przeszukuje internet pod kątem domen wciąż aktywnych, ale ze skasowanymi kontami na CloudFlare (szuka więc odpowiednich rekordów DNS i brak rekordu A). A następnie je “przypina” do swojego konta i przekierowuje. Piękne.

Rada dla Was? Popatrzcie jak wygląda procedura “kasowania” / “porzucania” starych domen i zadbajcie o to, aby ustawić na nich DNS-y na takie, które nie mogą być modyfikowane prze osoby trzecie.


Aktualizacja 5.03.2019, 19:06
Potestowaliśmy i przejęcie czyjejś domeny na Cloudflare to nie taka prosta sprawa. Cloudflare przy zakładaniu konta losuje 2 DNS-y na których trzeba osadzić domenę. Atakujący, aby móc modyfikować wpisy w strefie domeny, musieliby dysponować kontem z wylosowanymi dokładnie tymi dwoma DNS-ami, które Ministerstwo miało wpisane u registrara. Cloudflare ma ok. 400 serwerów DNS. Kombinacja 2 serwerów z 400 możliwych to 79 800 możliwości. Czyli co najmniej tyle kont musieliby założyć atakujący, aby pokryć wszystkie możliwe pary serwerów DNS, jakie Cloudflare może im przypisać. Prób założenia kont musiałoby być jednak o wiele więcej, bo przecież Cloudflare będzie proponować pary po kilka razy. Brzmi jak dużo, bardzo dużo roboty.

Wnioski są więc następujące. Albo ktoś znalazł możliwość obejścia sprawdzania przez CloudFlare z których konkretnie docelowych DNS-ów korzysta “dopinana” domena. Albo jednak ktoś po prostu przejmuje czyjeś porzucone konta na CloudFlare. Może testując adresy e-mail i hasła z różnych wycieków, por. Olbrzymi wyciek 21 milionów haseł i 773 milionów adresów e-mail? Wtedy można by powiedzieć, że Ministerstwo Finansów i/lub Hostersi.pl przyczynili się do ataku, stosując reuse haseł. Ale tego jak było naprawdę, na razie nie da się stwierdzić.


Aktualizacja 6.03.2019, 12:50
Ministerstwo Finansów potwierdziło, że zgodnie z informacjami jakie uzyskali oni od Cloudflare, w momencie ataku ich stare konto było skasowane. A więc hipotezę o przejęciu konta należy odrzucić. Zostaje skanowanie (wow) albo jakiś sposób obejścia blokady edycji rekordów dla domeny, która u registrara ma niepoprawne, ale wciaż cloudflare’owe DNS-y.

Przeczytaj także:

32 komentarzy

Dodaj komentarz
  1. Utrzymywaliśmy ten serwis jako Hostersi. Danych żadnych tam na pewno nie ma bo zostały przez nas usunięte w 2017 roku wraz z zakończeniem działania serwisu. Nie były więc od tamtego czasu dostępne w ramach żadnego znanego nam hostingu. Usunięty został też serwis (kod) i cała jego infrastruktura a “goła” domena wróciła do obsługi/zarządzania do właściciela serwisu (przekazane dane do zarządzania wpisami w domenie w 2017 roku).

    • A czy skasowaliście konto na CF które obsługiwało domenę, czy ono też zostało przekazane, ale “wyczyszczone” z rekordów?

    • Sorry trochę to trwało ale sami musieliśmy sobie przypomnieć jak to było. Tak usunęliśmy całe konto na CF na wyraźne zlecenie bo domeny były przepinane. Proces przepinania był już poza nami więc nie wiemy jak to się odbyło.

  2. ku pamięci jest na browsershots

  3. Wiem że nie na temat(ale nw czy ktoś stare tematy czyta) ale zahacza lekko(w obu przypadkach o zabezpieczenia. Będzie źle to skasujecie najwyżej. Wie ktoś dlaczego na stronie lotto nie można nic wklejać? Nie mogę np wkleić hasła z LastPass, jak ktoś zna metodę na ominięcie to przyjmę. Pomoc techniczna na razie milczy a email był wczoraj wysłany.

    • Niektórzy webmasterzy usiłują w ten sposób wykazywać swoją wyższość nad plebsem.
      Radzi sobie z tym wtyczka “dont f**k with paste”, nie pamiętam dokładnie które przeglądarki ją mają, wszystkie oparte na Chrome na pewno (Opera, Vivaldi, Iron, Chromium itp.)

    • Chłopie myk stary jak świat.. Wystarczy że przytrzymasz lewy shift i lewy ctrl i dasz prawy klik myszy i wklej

    • @Harald: chyba raczej wszystkie oparte na Chromium?
      Szczerze mówiąc, nie korzystałbym z wtyczek przy takich sprawach jak kopiowanie haseł. Mało tego, do bankowości i innych wrażliwych serwisów (Lotto też by do takich należał) korzystałbym tylko z “gołej” przeglądarki.

    • w firefoksie

      dom.event.clipboardevents.enabled false
      dom.event.contextmenu.enabled false

    • @kot ale to sobie prawdopodobnie wyłączysz przydatne rzeczy (w edytorach WYSIWYG). Zresztą wątpię, żeby last pass z copy & paste korzystał. Raczej ustawia wartość pola bezpośrednio… Ale może zależy od wybranej metody uzupełniania.

  4. Papierowe państwo czy jak to inaczej mówią teoretyczne państwo. Smutne że nikt nie dba o Polskę. Polska traktowana jak dojna krowa.

    Porno na stronie jest dowodem, że Polska istnieje tylko w teorii.

    • Marudzisz. W innych przypadkach może przyznałbym Ci rację, ale w tym konkretnym stanowczo marudzisz.

    • Dlaczego tak sądzisz?
      Pokaż mi rządową stronę Chińską, albo Izraelską z tego roku z treściami pedofilskimi.
      W Polsce nikt za nic nie odpowiada. Burdel, syf. Zatrudnianie po znajomości i taki mamy właśnie efekt.

  5. Jak próbowałem wejść na tę stronę, to zostałem zablokowany przez Cyber Tarczę Orange (że niby phishing). Nie byłoby może w tym nic dziwnego, gdyby nie to, że internet mobilny mam u innego operatora…

    • Roaming krajowy. Play bez niego miałby zasięg jak Idea w pierwszym roku działalności.

  6. Jak wskazuje NASKowy WHOIS, domena loteriaparagonowa.gov.pl wczoraj przed północą została skierowana na serwery DNS abonenta, czyli Ministerstwa Finansów, które to serwery… jej nie rozwiązują. Problem więc został załatany, chociaż Ministerstwo powinno raczej usunąć domenę w ogóle, nawet jeśli nie dostanie zwrotu kasy za rejestrację (ważną do 18. czerwca tego roku) – i pewnie to zrobi, kwestia papierologii między MF i NASK. No cóż, ministerialni admini nie pomyśleli o tym wcześniej.

    Tak więc strona idiotycznej loterii zniknęła na dobre, ale wstydu było trochę. W sumie – dobrze im tak! Ta loteria to był skandal, moim zdaniem.

    • A jak skasują domenę i minister zarządzi żeby zrobić loterię v2, to kto ma znowu zapłacić za domenę?

    • Loterii v2 nie będzie, nie ma potrzeby – będą paragony online.

      Zresztą co do kasy – w tej loterii zdaje się samochód był do wygrania? Koszt domeny jakby nieznaczący w tej skali…

    • Jak to kto zapłaci. Za wszystko w domenie gov.pl ty płacisz, ja płacę, pan płaci, pani płaci

  7. Mi kiedyś na stronie klienta zaczęło przekierowywać na inne strony też o podobnej treści. Przyczyną była niezaktualizowana wtyczka do WordPress – a raczej brak już wsparcia dla niej (ktoś wykupił domenę do której owa wtyczka miała odwołanie). Nie byłem jednak osobą odpowiedzialną za utrzymanie stron. Wyobraźcie sobie – większość klientów to dzieci i młodzież…

  8. Znamy tegorocznego laureata, wygra koleżanka organizatorki jak w ubiegłym roku

  9. Aktualnie domena wskazuje na:
    nameservers dns.mofnet.gov.pl. [145.237.237.1]
    domain.mofnet.gov.pl. [145.237.237.2]

  10. Dzisiaj, tj. 5.03. o 14:00 strona działa i widać erole.

  11. (off topic) skąd wiedzieliście, że dziś zrobicie aktualizację o 23:29 – jakiś 0-day do przyszłości ;P

  12. Wstyd się przyznać, ale mój serwis w domenie gov.pl, przy przenoszeniu na nowy serwer, jakoś w 2012 r., też wyświetlał przez kilka godzin w nocy z soboty na niedzielę komunikat albańskich hakerów (i niestety nie byli to ci albańscy hakerzy ze starego żartu :D ). Ktoś (lub różne ktosie) po prostu ma cały czas działający system podmieniania treści na swoje, który natychmiast się ujawnia w takich sytuacjach, bo nie wierzę, że akurat się domyślił, że w ciągu tych kilku godzin będzie jakaś zmiana i coś wtedy zadziałał.

  13. Nie bardzo rozumiem… gov.pl jest w odpowiedzialnosci NASK, cto co m do tego cloudf? jakoś bardziej łopatologicznie, PLZ Nie wycofali delegacji przy zamykaniu serwisu (w gov.pl) czy jak?

    • gov.pl jest w łapach NASKu, ale poddomeny zamawiają sobie różne uprawnione instytucje (tu: MinFin) i sami sobie rządzą wpisami, w tym delegacją domeny (wpisy NS).

      Wykupili usługę na CF, żeby im stronki nie zDDoSowali (rozsądnie) i ustawili NSy na serwery CF – na tym między innymi ta usługa polega. W ustawieniach konta CF podali tę domenę i na co ma przekierowywać (na serwer MF). Potem skasowali konto CF, ale zapomnieli przestawić delegacji domeny. Ktoś sprytny to wykorzystał i podpiął domenę do własnego konta na CF z przekierowaniem na co chciał.

      Nie wiem dokładnie, jak wygląda proces konfiguracji CF, bo nie korzystałem. Wygląda na to, że podpinanie domeny jest ciut dziurawe i/lub nieidiotoodporne, skoro można sobie cudzą “zapomnianą” podłączyć.

      Niebezpieczniku: czy jest możliwy taki scenariusz, że ktoś chcąc skorzystać z usługi CF przestawi sobie NSy, a zanim kliknie odpowiednią opcję na koncie CF, ktoś będzie szybszy i “przejmie” ją? Oczywiście do czasu, gdy się właściciel zorientuje i przestawi NSy z powrotem. Ale ze względu na propagację DNS, parę godzin “obca” treść może wisieć…

  14. Po prostu ktoś zapomniał podzielić domenę. To bardzo łatwe

  15. Jeszcze dla jasności info ze strony Hostersów. Żadnego reuse haseł nie było, domena miała osobne konto CF. Po wygaśnięciu życia serwisu konto zostało usunięte w całości na życzenie Zleceniodawcy projektu. O dalsze losy domeny należy pytać już MF. Do zmiany serwerów DNS nigdy nie mieliśmy dostępów/uprawnień. Co jest pewne też to brak możliwości pozyskania jakichkolwiek danych z serwisu bo te zostały usunięte (w tym baza danych). Tak, że niemal na pewno doszło tylko do przejęcia domeny w jakiś ciekawy sposób bez przejmowania samego konta bo tego nie było.

  16. Nask rejestruje domeny gov
    Podmiot przy rejestracji wskazuje nameservery
    może dowolne

  17. A moze ktos po prostu nie koniecznie lubi zmiane i postanowil ‘oprotestowac’ domene? Pewnie firma nawet o tym nie musiala wiedziec…

  18. Nie chcę robić tu za grammar nazi, bo artykuł świetny – jednak już na początku w oczy zaatakowało mnie “Nie często…” – powinno być “Nieczęsto zdarza się…”. Ot, taka mała uwaga. :)

    Chyba, że “Nie często, a rzadko coś robimy”, ale ta konstrukcja występuje bardzo, bardzo nieczęsto. ;)

Odpowiadasz na komentarz Lukasz

Kliknij tu, aby anulować

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: