Исследователь безопасности Виллем де Гроот (Willem de Groot) сообщил (https://twitter.com/gwillem/status/1127617495911804935), что в результате взлома инфраструктуры атакующие смогли внедрить вредоносную вставку в код системы web-аналитики Picreel (https://www.picreel.com/) и открытой платформы для генерации интерактивных web-форм Alpaca Forms (http://www.alpacajs.org/) (были подменены скрипты, поставляемые через сеть доставки контента Cloud CMS). Подмена JavaScript-кода привела к компрометации 4684 сайтов, применяющих на своих страницах указанные системы (1249 (https://publicwww.com/websites/%22assets.pcrl.co%22/) - Picreel и 3435 (https://urlscan.io/result/b6aaefd5-851b-4c60-8253-d5153f2eab21) - Alpaca Forms).Внедрённый вредоносный код (https://gist.github.com/gwillem/866af760afcef583ebed23948cbb...) осуществлял сбор сведений о заполнении всех web-форм на сайтах и в том числе мог привести к перехвату ввода платёжной информации и параметров аутентификации. Перехваченная информация отправлялась на сервер font-assets.com под видом запроса изображений. Информации о том, как именно была скомпрометирована инфраструктура Picreel и CDN-сеть для доставки скрипта Alpaca Forms пока нет. Вредоносная вставка (https://urlscan.io/result/b6aaefd5-851b-4c60-8253-d5153f2eab21) была закамуфлирована под массив данных в минимизированной версии (https://assets.pcrl.co/js/jstracker.min.js) скрипта (расшифровку кода можно посмотреть здесь (https://gist.github.com/gwillem/866af760afcef583ebed23948cbb...)).
Среди пользователей скомпрометированных проектов отмечается много крупных компаний, включая Sony, Forbes, Trustico, FOX, ClassesUSA, 3Dcart, Saxo Bank, Foundr, RocketInternet, Sprit и Virgin Mobile. С учётом того, что это не первая атака подобного рода (см. инциденты (https://www.opennet.me/opennews/art.shtml?num=49568) с подменой счётчика StatCounter и появлением (https://www.opennet.me/opennews/art.shtml?num=46845) вредоносного кода на сайте госуслуг]]), администраторам сайтов рекомендуется очень внимательно относиться к размещению стороннего JavaScript-кода, особенно на страницах связанных с платежами и аутентификацией.
URL: https://www.zdnet.com/article/hackers-are-collecting-payment.../
Новость: https://www.opennet.me/opennews/art.shtml?num=50673
Давайте подумаем а случилось бы такое если бы Java и его диалект Java-SCRIPT не были изобретены.А еще можно вспомнить npm leftpad когда отвалилось половина интернета
>Java и его диалект Java-SCRIPTлечиться никогда не поздно ))))
Во первых java к javascript имеет лишь то отношение, что названия похожи.
Во вторых изобрели бы что-то еще.
Правильно, нечего было грузить скрипты через CDN
Кто-то еще не использует атрибут integrity в тегах link с хешами подключаемых сторонних скриптов, лежащих на cdn’ах? Тем более в формах с информацией о банковских карточках.
> Кто-то еще не использует атрибут integrity в тегах link с хешами подключаемых
> сторонних скриптов, лежащих на cdn’ах? Тем более в формах с информацией
> о банковских карточках.видите ли, в любом случае - вас все равно трахнут.
пока не научитесь, наконец, соображать, что cdn нужны не для того чтобы тянуть оттуда в рот любой мусор.
Сбербанк в личном кабинете например не использует.
У них тянутся скрипты с google-analytics.com, rutarget.ru и yandex.ru.
если бы использовали - оно бы и ломалось по три раза на дню - каждый раз, как гуглевая или яндексная макака закоммитит апдейт.но фанаты новых-модных браузерофич никогда не поумнеют, это исключено.
Фичи это инструмент. Можно орехи колоть, а можно — яйца.
вопрос в том, какое у этой фичи может быть хоть примерно полезное применение.
Если cdn твой личный, и сделан ради снижения нагрузки - она не нужна, хватит обычного ssl.
Если cdn дядин, и сделан ради обмазывания свежайшим (ну чтоб гугель в любой момент мог поулучшать что-нибудь твоим пользователям) - она не работает, дядя - он такой, не будет тебя предупреждать, когда ему вздумалось поменять что-то.
Если ты веб-макака и забил хэши прямотянутого с raw.githubusercontent конкретной версии, вместо того чтобы просто скопировать их оттуда на свой сервер - твоим юзверям все равно страдать, а microsoft получила новую полезную инфу для перепродажи гуглю, но она не тебе полезна.
> Если cdn твой личный, и сделан ради снижения нагрузки - она не нужна, хватит обычного ssl.
> Если cdn дядин, и сделан ради обмазывания свежайшим (ну чтоб гугель в любой момент мог поулучшать что-нибудь твоим пользователям) - она не работает, дядя - он такой, не будет тебя предупреждать, когда ему вздумалось поменять что-то.Есть один-единственный юзкейс: скрипты твои, а CDN дядин.
разве что так. но все равно это костыли.
Не правда. Есть два use cases:
- не напрягать голову и делать "как все" = CDN
- напрягать голову и делать "не как все" = свои серваки с разнесенными георафически IP
> Не правда. Есть два use cases:
> - не напрягать голову и делать "как все" = CDN
> - напрягать голову и делать "не как все" = свои серваки свопрос в экономическом обосновании.
если у кого-то уже есть серваки разнесенные географически, и он их купил оптом и перепродает как услугу - скорее всего у него получится и дешевле, и надежнее, чем у тебя. Просто потому что он больше на пару порядков. Он один раз на всех своих клиентов решил проблемы фейловера, обслуживания и мониторинга - а ты все это будешь из полешка на коленке выстругивать, причем за зарплату.
Если при этом ты сохраняешь свои сервисы - возможно, овчинка стоит выделки (сервер приложений и базы тебе все равно и масштабировать и фэйловерить, на этом фоне статику раздать - фигня вопрос, даже если ты нетфликс).
Если ты не it-компания вообще - возможно, ты уже вытащил сервисы в облако. (даже арендованное-частное) Тогда можно уже посчитать, что дешевле - использовать облачные мощности для статики, или купить таки немножко чужого cdn для этой же цели.В этом вот последнем случае - ограниченная применимость у хэшей будет. Ограниченная - потому что cdn'ы обычно достаточно хорошо защищены, гораздо вероятнее проиметь свои собственные пароли и явки (тогда и хэш добрые ребята пересчитают).
Ну, в принципе, да - для традиционных сервисов он обламывается об "you are not google!" (also not amazon, facebook, etc), но если у тебя уже все в чужом облаке - глупо платить за мощности облака там, где можно сэкономить (раздача статики наверняка дешевле обойдется через cdn чем напрямую с инстансов - вопрос только, можно ли эту экономию увидеть хотя бы в микроскоп).А по факту сегодня массовое использование cdn'ов - безмозглая копипаста со стека или такое же безмозглое втягивание чужих "аналитик".
Причем тот же сбер уже ловили на сливе данных клиентов таким образом - он даже не утерся, "божья роса".
> А по факту сегодня массовое использование cdn'ов - безмозглая копипаста со стека
> или такое же безмозглое втягивание чужих "аналитик".
> Причем тот же сбер уже ловили на сливе данных клиентов таким образом
> - он даже не утерся, "божья роса".Вот в этом вся проблема !
Большиство сайтов с посещаемостью в 100 реальных людей в день в лучшем случае, но devops для крутости впарил модное CDN клиенту .
Это мелочи. У Почта Банка чтобы в "личный кабинет" войти надо Гугловскую рекапчу пройти!
мы непричем, нам так заказали
> Кто-то еще не использует атрибут integrity в тегах link с хешами подключаемых сторонних скриптов, лежащих на cdn’ах? Тем более в формах с информацией о банковских карточках.Кто-то ещё думает, что, используя integrity, можно пихать сторонние скрипты на страницы с формами для ввода платёжной информации?
> Кто-то ещё думает, что, используя integrity, можно пихать сторонние скрипты на страницы
> с формами для ввода платёжной информации?вы что, НАМ не доверяете?
Нет, конечно. Мы ж не сбербанк какой, мы анонимы!
Лепота.
а сколько всего еще не нашли
Вэб-макаки, сэр!
Ахах, опять JS, девляпсы и бесконтрольная загрузка из чужих хранилищ.
Доинтегрировались.
> Доинтегрировались.Вася Пупкин на коленке быстро и дешево напишет без багов с предоставлением подробного почасового отчета зваказчику
Про Cross-origin resource sharin не читали?
Уважаемые анонимы и не очень! Подскажите, возможно ли каким-лиюо образом запретить исполнение подобного обфусцированного Javascript-мусора, кроме как * * script block в uMatrix?
можно. Но сайт, чей функционал (а alpaca это таки функционал, а не просто слежка) зависит от такого кода - работать не будет.поэтому с тем же успехом может отключить себе интернет, и сэкономить пару шекелей на абонентской плате
устанавливай librejs и проблем у тебя со скриптами точно не будет
Это просто отлично. Ещё один аргумент за "уберите с сайта это г****". Правда многим пофиг, ибо "оплати нам bandwidth для статики, тогда мы перенесём её на свои сервера, а пока - пошёл ....".
> CDN-сеть для доставки скриптаНу понятно, если сай наколеночный. Но
> Sony, Forbes, Trustico
facepalm.jpg ну уж у этих-то не хватило денег оплатить канал для своей статики, да...
А кто им сайты делает, как ты думаешь?Макаки, макаки эвривер. Индусы, китайцы, русские, украинцы, молдаване, румыны, прочие- всегда, ВСЕГДА: "... и в продакшн". Просто этим компаниям услуги сайтостроения проталкивают люди, которые больше потратились на свой внешний вид, чем на команду кодеров.
Поэтому это не первый и не последний случай (естественно)
> А кто им сайты делает, как ты думаешь?Да это понятно...
> "... и в продакшн"как ты думаешь почему так? А потому что крупные компании часто не отличаются от Васи Пупкина, который хочет сайт здесь и сейчас, а писать или согласовывать ТЗ ему некогда, зато когда все почти готово его ВНЕЗАПНО осеняет гениальная идея в плане функционала.
Канал куда?
>> Sony, Forbes, Trustico
>facepalm.jpg ну уж у этих-то не хватило денег оплатить канал для своей статики, да...Там не статика, там "код системы web-аналитики". Рисовалка красивых диаграмм для вышестоящего руководства. Чем красивее диаграмма, тем больше месячная премия.
Топменеджерам коучи на тренингах так показывают правильную картинку, что ИТшникам легче внедрить еще одну систему, чем каждый год каждому новому проходимцу объяснять что "наша аналитика умеет все тоже самое и даже немножко лучше больше быстрее точнее, просто картинка совсем другая."
> что "наша аналитика умеет все тоже самое и даже немножко лучше
> больше быстрее точнее, просто картинка совсем другая."угу, а когда это продолжается несколько лет к ряду (прежние проходимцы обратно уже отчалили в свой бангалор) - получаем при покупке авиабилета на сайте одной восточной авиакомпании - около _сотни_ разных подглядывающих и подслушивающих. Причем половине сливается вся инфа из билета, вторая половина может о недостающей догадаться по твоему ip/id/гуглелогину, и друг с дружкой они тоже не забывают поделиться.
А в больших и дорогих корпорациях карьеру делают, а не сайты. С чего вы взяли, что аффекченные конторы сайт свой сами или у кого-то делали? Они карьеру делали. Поскорее, проще, чтоб только дотянуть и успеть уйти вверх.
Заслужили
Как думаете? Научатся на горьком опыте?
Макаки не эволюционируют.
> Как думаете? Научатся на горьком опыте?думаешь, у них бэкапа тоже не было?
В остальных случаях - они даже и не заметят.
Не следует класть все яйца в одну мошонку.
>Виллем де Гроот (Willem de Groot)"I'm Groot"