Kilka tysięcy instytucji publicznych kopało kryptowaluty

Fot. nettelog
Złośliwy kod znajdował się w skrypcie Browsealoud firmy Texthelp. Narzędzie pozwala dostosować stronę dla osób niewidomych. Ofiarą ataku padło około 4000 stron. W tym wielu agencji rządowych i sądów.

Dziwne zachowanie kodu zauważył analityk Scott Helme. Czytnik Browsealoud integruje się ze stroną za pomocą JavaScriptu. W tym przypadku, ktoś podmienił skrypt na taki, który obliczał kryptowaluty na komputerach internautów. Wśród zainfekowanych stron są instytucje z całego świata, w szczególności ze St. Zjednoczonych i Wielkiej Brytanii, gdzie oprogramowanie firmy Texthelp jest często używane przez urzędy i agencje rządowe. Skrypt obsługuje też język polski, jednak wśród 4000 zainfekowanych stron nie ma tych z naszego kraju. Paradoksalnie może temu sprzyjać praktycznie żadne dostosowanie stron polskich instytucji do potrzeb osób niepełnosprawnych, o czym informowaliśmy w CHIP-ie w zeszłym roku.

Pomimo, że oprogramowanie Browsealoud jest ważne i ułatwia poruszanie się po sieci osobom niedowidzącym, programiści Texthelp popełnili kilka błędów. Przede wszystkim nie zapewnili tzw. Subresource Integrity (SRI). Metoda polega na tworzeniu oddzielnych wersji skryptu, które zawierają tag będący skrótem (hashem) pliku. Dzięki takiemu rozwiązaniu właściciele serwisu są pewni, że zewnętrzny skrypt nie został zmieniony.

Skrypt Browsealoud obsługuje też język polski (graf. Browsealoud)

Korzystanie z zewnętrznych serwisów z jednej strony pozwala ograniczyć koszty związane z transferem danych. Z drugiej, stanowi potencjalne niebezpieczeństwo infekcji złośliwym kodem. Dlatego organizacja World Wide Web Consortium (W3C) nalega na stosowanie zabezpieczeń SRI. Niestety, ta metoda ma też wadę. Każda aktualizacja skryptu musi być ręcznie potwierdzona przez administratora strony, na której został umieszczony. Jednak jeśli chodzi o bezpieczeństwo użytkowników, wygoda nie powinna być argumentem za stosowaniem potencjalnie niebezpiecznych rozwiązań. Zwłaszcza, jeśli mowa o instytucjach publicznych, które szczególnie powinny dbać o bezpieczeństwo obywateli. | CHIP