10:46
11/4/2017

Załatwianie urzędowych spraw przez internet jest coraz popularniejsze, ale uważajcie przechodząc pomiędzy stronami instytucji państwowych. Wystarczy jeden drobny błąd i traficie poza strony rządowe. Niektóre z nich mogą okazać się niebezpieczne.

Czytelnik Rafał zwrócił nam uwagę na jedną ze stron Sądu Rejonowego Poznań Stare Miasto. Chodziło o stronę informującą o możliwości komunikowania się z sądem przez elektroniczną skrzynkę podawczą ePUAP. Na tej stronie, w chwili gdy dostaliśmy zgłoszenie, podany był następujący adres strony ePUAP.

http://epuap.qov.pl/wps/portal

Adres wygląda prawie dobrze. Zamiast znaków “GOV.PL” są znaki “QOV.PL”. Nie rzuca się to w oczy, bo łatwo pomylić małe litery “q” i “g”, z czego nota bene chętnie korzystają phisherzy. Problem w przypadku poznańskiego sądu był jednak taki, że adres nie tylko źle wyglądał, ale był aktywnym odsyłaczem do strony “QOV.pl”.

Błąd czy włamanie?

Pod adresem QOV.pl nie było nic groźnego, przynajmniej w momencie gdy go sprawdzaliśmy, bo historycznie — domena ta wskazywała na kilka adresów IP:

A w swoich wynikach pokazuje, że ktoś w internecie wykorzystywał tę domenę do budowania adresów 2 ministerstw: Ministerstwa Edukacji Narodowej i Ministerstwa Finansów:

Więc choć teraz, domena nie jest aktywna, sytuacji postanowiliśmy się przyjrzeć, bo:

  • podmiana adresu mogła być efektem włamania na stronę sądu. Takie włamanie w połączeniu z tzw. typosquattingiem otwierało drogę do różnych szkodliwych działań np. do wyłudzania danych osobowych czy wyświetlania wprowadzających w błąd reklam. Istniało też ryzyko, że na stronie sądu zostały dokonane inne poważne zmiany (np. numerów rachunków);
  • Nawet jeśli był to błąd osób prowadzących stronę sądu, ktoś mógł go wykorzystać w przyszłości. Nie jest ważne czy obecny posiadacz domeny QOV.PL miał złe zamiary, kiedy ją rejestrował. Tę domenę ktoś zawsze może w przyszłości przejąć (por. PiS zapomniało przedłużyć swoją domenę i…).

Sąd mówi, że to błąd

Sprawę zgłosiliśmy dyrektorowi i prezesowi sądu. Odpowiedź otrzymaliśmy po jednym dniu od Dyrektora Sądu, pana Marcina Izydorczyka.

Informuję Pana, iż adres strony EPUAP został omyłkowo wprowadzony błędnie. Link został już poprawiony. Przejrzane zostały logi serwera i nie stwierdzono włamania. Obecny CMS posiada programowego firewalla, zabezpieczenia brute force oraz szereg innych zabezpieczeń uniemożliwiających dokonanie włamań.

Informuję dodatkowo, iż właśnie wdrażany jest nowy system CMS zakupiony przez Sąd Apelacyjny w Poznaniu spełniający najnowsze wymogi bezpieczeństwa. Strona jest w trakcie sprawdzenia poprawności migracji treści. W najbliższym czasie ukaże się ona w nowej odsłonie.

Bardzo dziękujemy za czujność i reakcję z Państwa strony, która umożliwiła nam poprawienie błędu.

Cieszymy się z szybkiej reakcji, podziwiamy wiarę w “zabezpieczenia uniemożliwiające dokonywanie włamań”, ale jedna rzecz nas dziwi. Jak ktoś mógł pomylić “q” i “g“? Przecież wcale nie są blisko siebie na klawiaturze… COR? Czy ktoś pracujący w sądzie, źle odczytał adres z dokumentu, kiedy go “digitalizował”?

Przy okazji przestrzegamy inne instytucje i urzędy prowadzące swoje strony internetowe. Najlepiej jest dwa razy sprawdzić, czy prezentowane obywatelom adresy są poprawne. Różne osoby celowo wykupują domeny wyglądające podobnie do innych i wykorzystują je w celu przyciągnięcia internuatów (por. Cybersquatterzy wyprzedzili ministra oraz Typosquatting na popularnych polskich domenach). Często wykorzystywane jest stosowanie podobnych znaków np. q-g, l-1, l-I, O-0. Typosquatterzy wykorzystują też sposób w jaki dorośli ludzie czytają. Zwracamy uwagę na pierwsze i ostatnie litery słów oraz na zestawy liter, ale mniejsze znaczenie ma kolejność liter w środku. Dletago jsteeśice w staine pczerzyatć to zdnaie. I dlatego część z Was nie zauważyła literówki w linku do tego artykułu. A jeszcze większa część z Was teraz patrzy na link w pasku adresowym przeglądarki ;) I właśnie dlatego takie ataki jak wyłudzenia 100 milionów dolarów się udają…

Jednym ze sposobów ochrony przez typosquattingiem jest wykupienie domen z literówkami lub podmienionymi znakami. Wcale nie byłoby źle, gdyby to rząd dysponował adresem QOV.pl.

Przeczytaj także:


17 komentarzy

Dodaj komentarz
  1. A nikogo nie dziwi brak “s” w https”?

    • Akurat to mi się pierwsze rzuciło w oczy – regularne przeglądanie Niebezpiecznika przynosi efekty

  2. @Jan Najsmutniejsza odpowiedź: “Nie”…

  3. >Wcale nie byłoby źle, gdyby to rząd dysponował adresem QOV.pl.

    Trzeba też dorzucić warianty z zerem. Z drugiej strony koszt takiej domeny zaklepanej przed squatterami to grosze… Tylko skoro nasi włodarze nie pamiętają o przedłużeniu domeny klubu przyjaciół pieczywa i sera to czy będą pamiętać o takich domenach satelitach? Stawiam że nie.

  4. @Jan Dziwi – nie. Smuci/denerwuje – owszem.

  5. “Jak ktoś mógł pomylić “q” i “g“? Przecież wcale nie są blisko siebie na klawiaturze…”

    Pokolenie dyslektyków już pokończyło studia. Ot ten błąd. :)

    Hmmm, gdyby w przeglądarkach adresy www były napisane dużymi literami to czy nie łatwiej byłoby uniknąć takich zamian literek?

    • tej jednej zamiany – tak.
      dziesiątek innych (C G, O 0, 8 B itd…) – nie.

    • W ten sposób być zmniejszył o połowę liczbę podstron dostępnych

    • Pewnie ktoś zapisał tak wyraźnie adres na kartce, lub link był podkreślony, co przy dużej ilości dioptrii może się zlać, lub… ktoś wyciął ten link nożyczkami.

  6. Dużo bardziej, niż o połowę…

  7. @reo nie o połowę. na przykład, jeśli mamy ograniczenie do dwóch liter, ‘a’ i ‘A’, i do dwóch znaków, mamy listę:
    a
    A
    aa
    aA
    Aa
    AA

    ograniczając do małych liter, pozostaje lista:
    a
    aa

    2 < 6/2

  8. @reo
    O nie! To zostało by już tylko nieskończoność / 2 (tudzież nieskończoność / przez inną dużą liczbę – jak zauważył … – która i tak nie wpływa na wynik).
    Jak by się wtedy dało żyć?!

  9. Gdyby nie znajomość czeskiego, to to zdanie by pozostało niezrozumiane, szczególnie “jsteeśice”

  10. “Wcale nie byłoby źle, gdyby to rząd dysponował adresem QOV.pl.”

    Szczególnie, że QOV to taki skrót od QuO Vadis Polsko.
    Co robić, jak żyć, skoro ten adres już jest czyjś i prawdopodobnie były próby ataku na mf.gov.pl?

  11. Śmieszny błąd ludzki, ale czy tam pracuje jedna osoba ?
    Powinni już kupić kilka literówek, fakt pewnie nie pomoże ale koszt żaden, a zawsze coś ;)

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: