UPDATE2 Un nou incident de securitate la Edu.ro: Pagina Ministerului Educației trimite din nou la site-uri de escorte din Turcia / Expert BitDefender: Google poate la un moment dat să clasifice Edu.ro ca potențial site de "soft porn"
Edu.ro, pagina oficială a Ministerului Educației, trimite din nou la site-uri de escorte din Turcia, prin intermediul unor linkuri inserate în codul sursă al paginii. Aceasta la 3 săptămâni după ce experții CERT-RO au anunțat că au eliminat liniile de cod inserate abuziv și că au propus măsuri pe care Ministerul Educației, ca administrator al site-ului, trebuie să le aplice. „Fiind vorba de câteva linkuri care nu se afișează, utilizatorii nu sunt afectați. Cine pierde aici este site-ul edu.ro care în momentul de față este oarecum afiliat cu respectivele site-uri din cauza faptului că trimite către ele, iar Google poate la un moment dat să clasifice Edu.ro ca potențial site de „soft porn” sau site afiliat cu site-uri de escorte.”, a explicat pentru HotNews.ro Bogdan Botezatu, expert în securitate la BitDefender.
- UPDATE1 (vineri, 16:22) Ministerul Educației și CERT-RO nu au transmis încă explicații privind acest incident, însă din codul sursă al edu.ro au dispărut între timp linkurile la site-urile cu escorte din Turcia, semn că se lucrează la remedierea problemelor.
- UPDATE2 (19:05) Ministerul Educației a transmis către HotNews.ro că informațiile din articol nu s-ar verifica, susținând că „pentru a putea vedea modificările făcute pe site, utilizatorul trebuie să-și golească cache-ul local”. Vezi în articol și răspunsurile CERT-RO.
Iată răspunsul integral transmis vineri seara către HotNews.ro de Ministerul Educației:
- „În urma verificărilor efectuate, vă informăm că nu a avut loc niciun atac cibernetic asupra site-ului edu.ro, astfel că informațiile apărute în articolul dvs. nu se verifică. Pentru a putea vedea modificările făcute pe site, utilizatorul trebuie să-și golească cache-ul local. Fără acestă comandă, utilizatorul vede în continuare vechile informații de pe site (accesează o versiune datată a paginilor).”
Ideea că HotNews.ro ar fi prezentat informații greșite din cauza unei probleme de invalidare a memoriei cache este falsă din mai multe motive:
- 1. HotNews.ro nu a spus nicăieri în articol că edu.ro a fost ținta unui ‘atac cibernetic’, ci că este vorba de un nou incident de securitate IT.
- 2. Linkurile către site-urile de escorte din Turcia prezente în captura de ecran din articolul de astăzi sunt diferite față de linkurile către site-urile de escortă prezentate în articolul din 30 mai (articol în urma căruia CERT-RO a intervenit și eliminat liniile de cod inserate abuziv).
- 3. Înainte de a publica articolul de astăzi, HotNews.ro a verificat codul sursă al paginii edu.ro de pe mai multe calculatoare din redacție, de pe care nu s-a mai accesat anterior pagina Ministerului Educației, deci nu poate fi vorba de o problemă de invalidare a memoriei cache.
- 4. Specialiștii BitDefender au confirmat informațiile prezentate în articolul de astăzi.
- 5. Linkurile către site-urile de escorte din Turcia au fost eliminate de pe pagina edu.ro la câteva ore după ce HotNews.ro a semnalat acest lucru. De altfel, am și semnalat acest lucru într-un UPDATE dat la ora 16:22, fără să fi invalidat memoria cache a PC-ului.
Tot vineri seara (19:47) au venit răspunsuri și de la CERT-RO. Specialiștii Centrului Național de Răspuns la Incidente de Securitate Cibernetică au precizat că ‘dacă un deținător de domeniu constată că există sau persistă anumite vulnerabilități, acest aspect trebuie semnalat autorităților competente.
- „Faptul că, din cele menționate de dvs. “un cititor HotNews.ro” a semnalat existența unor vulnerabilități după “3 săptămâni” de la problemele semnalate, CERT-Ro a transmis către MEN sesizarea, neavând înregistrat un incident din partea deţinătorului. Din punct de vedere teoretic și tehnic, dacă un deținător de domeniu încarcă un conținut care nu a fost verificat anterior publicării în mediul online, chiar dacă site-ul deținătorului a fost curățat de eventuale vulnerabilități, conținutul afectat (necurățat) și reîncarcat pe pagină poate afecta din nou site-ul respectiv. Dar așa cum am precizat mai sus, nu intră în atribuțiile CERT-RO de a implementa măsurile de securitate sau de a verifica contentul încărcat.”
Referitor la concluziile cu privire la incidentul anterior de securitate de la Edu.ro, CERT-RO a precizat ca „la acest moment nu a fost transmis un “raport final” către Ministerul Educației, ci doar setul de măsuri pe care deținătorul site-ului este responsabil să le implementeze.”
- Un nou incident de securitate la edu.ro semnalat de un cititor HotNews.ro
Un cititor HotNews.ro a semnalat în comentariile de la un articol publicat ieri pe site, faptul că la mai bine de trei săptămâni, edu.ro este în continuare vulnerabil și trimite către site-uri de escorte din Turcia:
„edu.ro promoveaza escorte din Turcia!
Site-ul este in continuare virusat (probabil fiind inca vulnerabil, la mai bine de trei saptamani), daca dati o cautare in sursa gasiti link-uri (ce-i drept, „invizibile”) catre site-uri de escorte din Turcia:
bodrum escort (..)„, semnalează cititorul HotNews.ro.
Într-adevăr, dacă accesați în prezent Edu.ro, pagina de internet a Ministerului Educației, veți observa că autoritățile au modificat pagina inițială care a fost anterior ținta unui incident de securitate printr-un script de minerit criptomonedă.
Utilizatorii pot accesa subsecțiuni din vechiul site, precum cea dedicată rezultatelor de la Evaluarea Națională, iar în josul paginii ai opțiunea de a fi redirecționat către vechea pagină de start a Ministerului Educației: ‘Continuă către site-ul https://edu.ro/’.
Ei bine, pagina conține din nou în codul sursă linkuri către site-uri de escorte din Turcia, de data aceasta altele decât cele despre care HotNews.ro a atenționat în premieră în data de 30 mai 2018.
- Expert Bitdefender: Google poate la un moment dat să clasifice Edu.ro ca potențial site de „soft porn”
În condițiile în care aceste linkuri nu sunt afișate de browser și nu sunt vizibile de cei care accesează edu.ro, HotNews.ro a solicitat un punct de vedere specialiștilor BitDefender pentru a afla care ar fi riscurile și implicațiile negative ale acestui incident. Contactat de HotNews.ro, Bogdan Botezatu, specialist în securitate la BitDefender, a explicat că nu sunt afectați cei care accesează acest site.
- „Browserul nu afișează respectivele linkuri. Practic cei care au introdsus acele linkuri acolo nu vor ca linkurile în cauză să fie vizibile, ci vor să tragă de page rank, din edu.ro către site-urile lor. Este o tactică numită Black Hat SEO – introducerea de linkuri pentru a-și creste relevanța în motoarele de căutare pentru respectivele site-uri cu escorte.
- Nefiind cod malițios, ci câteva linkuri care nu se afișează, impactul pentru utilizatori este minim, adică nu există nicio situație în care utilizatorul să fie afectat sau compromis. Cine pierde aici este site-ul edu.ro, care în momentul de față este oarecum afiliat cu respectivele site-uri din cauza faptului că trimite către ele, iar Google poate la un moment dat să clasifice edu.ro ca potențial site de „soft porn” sau site afiliat cu site-uri de escorte.
- În același timp, existența scripturilor respective, despre care nu știm cum au ajuns acolo, poate fi un factor de risc. Dacă cineva a reușit să injecteze respectivul cod în Edu.ro ar putea oricând să schimbe respectivul cod cu ceva potențial dăunător, precum un CryptoMiner sau altceva.
- Cel mai probabil, scriptul respectiv a fost introdus printr-o vulbnerabilitate numită SQL injection, adică hackerul folosește un câmp din site – un formular de search sau de comentarii – pentru a introduce o comandă către aplicația MySQL. Acea comandă salvează ceva cod în baza de date pe care o afișează după aceea pe pagina respectivă.„, a explicat Bogdan Botezatu, specialist în securitate informatică la BitDefender.
Care ar putea fi explicația pentru care aceste linkuri au reapărut, deși experții CERT-RO au anunțat că au curățat site-ul edu.ro?
- „Probabil nu au patch-uit vulnerabilitatea prin care hackerul a introdus scriptul de cryptomining în prima instanță. Din câte m-am uitat, site-ul edu.ro pare a fi făcut pe o platforma de CMS (content management system) numită Drupal. Probabil este o versiune vulnerabilă de Drupal care permite astfel de injecții de cod prin formular în baza de date.„, a mai afirmat specialistul BitDefender.
HotNews.ro a solicitat o explicație din partea CERT-RO și a Ministerului Educației referitor la această situație și responsabilii IT din Ministerul Educației care ar trebui să se ocupe de edu.ro și vom reveni cu răspunsuri imediat ce le vom primi.