UPDATE Antivirușii avertizează că site-ul Ministerului Educației vă folosește calculatorul pentru a mina criptomonede / De ce în codul sursă al paginii edu.ro apar trimiteri către site-uri cu escorte din Turcia?

de Adrian Vasilache     HotNews.ro
Miercuri, 30 mai 2018, 23:54 Economie | Telecom


Edu.ro mineaza criptomonede
Foto: Captura edu.ro
​Antivirusul Avira și AdGuard, o aplicație care blochează reclamele, avertizează că site-ul Ministerului Educației www.edu.ro folosește în prezent resursele computerelor de pe care este accesat pentru a mina criptomonede, potrivit testelor HotNews.ro pe mai multe PC-uri și browsere web. Dezactivarea aplicației AdGuard arată cum la accesarea site-ului www.edu.ro gradul de folosire a procesorului PC-ului urcă instant la 100%, lucru ce ar fi imposibil să se întâmple la accesarea unei simple pagini web.


Dacă ai instalată AdGuard, o aplicație de blocare a reclamelor pe paginile web, la accesarea paginii web a Ministerului Educației se afișează următorul avertisment:

  • "edu.ro afișează mesajul: AdGuard has detected an attempt by this website tu use your browser as a crypto-currency miner. It can create significant CPU load. Press "Cancel" to prevent it."

Nu doar această aplicație dă în prezent acest avertisment. Și antivirusul Avira dă alertă de securitate la accesarea site-ului Ministerului Educației, precizând că a blocat un fișier folosit în minarea de criptomonede.




Dacă dezactivezi aplicația AdGuard și te duci în Task Manager pentru a vedea performanța PC-ului, vei observa cum la accesarea site-ului www.edu.ro, procesorul (CPU) sare brusc la 100% grad de folosire, lucru care ar fi imposibil dacă în spatele site-ului nu s-ar afla un script care să folosească resursele dispozitivului de pe care este accesat site-ul.


Click pentru a deschide


  • În codul sursă al paginii Ministerului Educației se fac trimiteri către site-uri cu escorte din Turcia

Mai mult, dacă verifici codul sursă al paginii www.edu.ro, se poate observa că acesta conține linkuri către site-uri de escorte din Turcia. De ce? Vom solicita Ministerului Educației o explicație pentru toate aceste probleme ale site-ului web și vom reveni cu răspunsuri imediat ce le vom primi.

Specialistii CERT-RO (Centrul National de Raspuns la Incidente de Securitate Cibernetica) au avertizat în luna ianuarie a acestui an că pe aproximativ 150 de domenii de internet .ro este folosit un cod care genereaza criptomoneda Monero, încetinind funcționarea dispozitivelor utilizatorilor.

  • Redam mai jos integral comunicatul din ianuarie 2018 al CERT-RO cu privire la domeniile de internet .ro pe care este folosit codul CoinHive pentru minat Monero:

"In ultima perioada, o serie de site-uri romanesti, dar nu numai, au fost compromise prin inserarea unor script-uri care utilizeaza puterea de procesare a dispozitivelor utilizatorilor pentru minarea de criptomonede.

Criptomoneda este o moneda digitala, virtuala si poate fi utilizata ca mijloc de plata. Folosirea prefixului 'cripto' arata ca acest mijloc de plata utilizeaza criptografia, ceea ce face aproape imposibila falsificarea acesteia.  Prin folosirea tehnologiilor descentralizate, se permite utilizatorilor efectuarea unor plati sigure si anonimizate. Utilizatorul nu mai este obligat sa se identifice ca in cazul utilizarii serviciilor bancare. Moneda virtuala ruleaza pe un registru public numit blockchain.

Criptomonedele sunt create printr-un proces denumit minerit (mining), care implica utilizarea procesorului dintr-un dispozitiv, pentru a rezolva probleme complicate de matematica, rezultatul acestora generand monede. Utilizatorii pot cumpara monedele de la brokeri, apoi le pot stoca sau cheltui folosind portofelele criptografice. Cele mai cunoscute exemple de criptomoneda ar fi Bitcoin, Ethereum, Ripple sau Litecoin.

Descriere

Recent, un utilizator al retelei sociale Reddit a publicat capturi de ecran prin care afisa faptul ca in codul sursa al unui cunoscut site de stiri din Romania este inserat un script activ care foloseste CoinHive, pentru a mina criptomoneda Monero.

Coinhive functioneaza prin furnizarea detinatorilor de site-uri web unui cod Javascript pe care il pot incorpora in site-ul lor. Acest cod utilizeaza puterea de procesare a vizitatorilor site-ului pentru a mina Monero.

Sigur, este o situatie avantajoasa pentru ambele parti, deoarece Coinhive pastreaza o parte din suma minata, in timp ce proprietarul site-ului pastreaza restul. Din nefericire insa, vizitatorii acestor site-uri nu sunt intotdeauna notificati cu privire la faptul ca procesorul lor este utilizat la o anumita capacitate, fara acordul lor. Coinhive in sine este o companie legitima. Cu toate acestea, actorii implicati in aceste operatiuni nu fac intotdeauna ca acest proces sa fie transparent.

Impact

In urma postului de pe Reddit, specialisti din domeniul securitatii cibernetice din Romania au identificat o lista de peste 100 de site-uri pe care exista ruleaza acest script CoinHive. Din nefericire pentru utilizatorii care vizitau acele site-uri, procesorul era incarcat la capacitate maxima pentru o astfel de activitate de minare a Monero, ceea ce ducea in cele din urma la blocarea dispozitivului.  

Ulterior, echipa CERT-RO a identificat in spatiul virtual romanesc aproximativ 150 de domenii .ro pe care este folosit cod CoinHive pentru minat Monero. Totodata, expertii CERT-RO au observat faptul ca pentru toate aceste domenii au fost folosite 48 de conturi de CoinHive. Mai mult, prin folosirea portalului publicwww.com am descoperit la nivel global aproximativ 2400 de site-uri care folosesc aceleasi conturi de CoinHive ca domeniile romanesti.

Remediere

    Utilizarea programelor anti malware

Majoritatea programelor antivirus blocheaza in momentul de fata executia scripturilor care mineaza monede virtuale.ᅡᅡ Singura deficienta ar fi faptul ca aceasta caracteristica poate fi disponibila indeosebi pentru programele cu licenta si nu pentru cele gratuite. Malwarebytes este doar un exemplu din multitudinea de solutii existente pe piata care permit blocarea acestor scripturi pentru Windows si Mac, astfel nefiind necesare alte setari suplimentare din partea utilizatorului.

    Utilizarea extensiilor pentru browser

La nivel de browser, exista o suita intreaga de extensii care pot fi instalate atat in browserele utilizate pentru PC, cat si pentru platformele mobile (smartphone, tableta), dezvoltate pentru a preveni executia unor astfel de scripturi fara acordul utilizatorului final. Exemple de astfel de extensii sunt:

  •     No Coin (Google Chrome | Mozilla Firefox | Opera)
  •     minerBlock (Google Chrome)
  •     ScriptSafe (Google Chrome)
  •     NoScript Security Suite (Mozilla Firefox)
  •     Coin-Hive Blocker (Google Chrome)
  •     Ghostery (Safari | Microsoft Edge) etc.


    Blocarea manuala a domeniilor

In cazul in care sunt cunoscute domeniile utilizate pentru descarcarea sau distribuirea unor astfel de scripturi, acestea pot fi blocate manual cu ajutorul unei extensii de browser asa cum este AdBlock. Spre exemplu, pentru a bloca domeniul https[:]//coin-hive.com/lib/coinhive.min.js, acesta se adauga in campul de la optiunea  Customize > Block an ad by its URL.

    Dezactivarea JavaScript

Dezactivarea rularii JavaScript in browser poate fi o optiune, cu mentiunea ca poate afecta toate site-urile care folosesc JavaScript, acestea fiind destul de multe. De aceea, utilizarea unei aplicatii pentru blocarea continutului poate fi o varianta de preferat. Spre exemplu, 1Blocker este o astfel de aplicatie care poata fi instalata pe dispozitivele iPhone si iPad.

    Actualizarea sistemului de operare si aplicatiilor instalate

De asemenea, pentru minimizarea riscului in ceea ce priveste securitatea aplicatiilor web, echipa CERT-RO va propune parcurgerea urmatoarelor ghiduri:

Ghid pentru securizarea aplicațiilor și serviciilor web
OWASP Top 10 - 2017



Citeste mai multe despre   

















9682 vizualizari

  • +11 (13 voturi)    
    Nici o surpriza (Joi, 31 mai 2018, 0:16)

    mitg [utilizator]

    Probabil ca in timp ce o firma de apartament a luat sute de mii de euro pentru construirea site-ului, acesta a fost programat de ceva oropsit din India care a dat copy-paste la primul site open source pe care l-a gasit pe 2 lei. Poftim consecintele.
    • +7 (9 voturi)    
      Eu am alta frica (Joi, 31 mai 2018, 1:48)

      imi_pasa_de_romania [utilizator] i-a raspuns lui mitg

      Oare cat de bine sunt protejate serverele care tin informatiile noastre medicale? Sau ANAF? Sau evidenta populatiei? Oare daca se uita Kaspersky sau Bitdefender ce vor descoperi? Cate extrageri de date au fost?

      A fost ZERO investitie in domeniul IT pe sectorul public. Doar licitatii aranjate catre firme abonate sa faca proiecte IT "la misto" sa-si mai imparta bani intre ei. Iar populatia sufera de pe urma unor esecuri.

      Absolut nimic surprinzator!
      • +7 (7 voturi)    
        Nu sunt protejate (Joi, 31 mai 2018, 4:52)

        andipetre [utilizator] i-a raspuns lui imi_pasa_de_romania

        Si nu vor fi niciodata. Pentru ca problema de baza nu e faptul ca programele sunt facute de firme corupte, gen Ghita, asta doar subliniaza mai bine cauza.

        Problema reala e ca a permite statului sa detina data atat de importante despre tne e ca si cum i-ai cere Securitatii comuniste sa te bage la inchisoare in avans pentru uneltirile impotriva comunismului pe care nu le-ai facut inca.

        Sigur, hotii care primesc contracte de IT la noi trebuie opriti, dar la nivelul asta de importanta a datelor, mai bine nu ar fi tinute de nimeni. Exista solutii, nu e nevoie ca datele medicale si altele sa stea pe serverele unui stat, firma corupta sau alta institutie obsedata de control.
  • +2 (2 voturi)    
    pentru ca ITistul nr 1 al tarii (Joi, 31 mai 2018, 9:49)

    programatoru [utilizator]

    (ghita) a zis ca DNA a distrus IT-ul romanesc prin prigonirea lui ... si prin consecinta toate aplicatiile sunt distruse ... logic nu !?!?

    http://www.teamnet.ro/teamnet-group/clients/ e si ministerul educatiei pe acolo pe langa multe altele

    poate nea ghita a zis ca daca tot e sarac sa mai fure , si folosindu-se de gaurile de securitate din aplicatiile lui, sa faca o minare
    • +2 (2 voturi)    
      Ghita nu e in stare sa faca Drupal (Joi, 31 mai 2018, 12:02)

      denvarel [utilizator] i-a raspuns lui programatoru

      Siteul e facut cu Drupal iar securitatea e la pamant pentru ca nu e implementat corect si/sau actualizat. Actualizat din punct de vedere tehnic zic.

      Daca Ghita, sau altcineva ia bani pentru actualizare atuunci ar fi bine sa si faca ceva pentru banii aceia...

      Daca nu, e vina Ministerului ca nu au grija de suport tehnic. Cine crede ca un site complex e indesctructibile e naiv. Cu cat e mai complex cu atat e mai supus erorii. Ca orice alt sistem din lumea aceasta.
  • +1 (1 vot)    
    hmm.... (Joi, 31 mai 2018, 9:57)

    CRMS [utilizator]

    Mie, la ora acesta, AdGuard nu-mi afiseaza nimic..si nici Bitdefender..Cred ca au scos repede codul buclucas.
    • +1 (1 vot)    
      inca mineaza (Joi, 31 mai 2018, 13:52)

      jorj_bv [utilizator] i-a raspuns lui CRMS

      sau e extrem de prost facut.
      In Chrome cu AdBlock activ se observa crestere semnificativa la pornirea paginii. Daca se dezactiveaza AdBlock, utilizarea procesorului se duce direct la 100%.
  • +2 (2 voturi)    
    Avira (Joi, 31 mai 2018, 10:17)

    aladdin [utilizator]

    Mie avira imi arata warningul.
    Iar pagina edu.ro din Edge imi utilizeaza 70-80 procente din procesor.
  • 0 (0 voturi)    
    Tot NEREZOLVAT... (Joi, 31 mai 2018, 14:33)

    protagoras [utilizator]

    Nici pana acum (ora 14:30) NU s-a rezolvat... si alti antivirusi identifica malware-ul, de ex. NOD#2 il detecteaza ca "JS/CoinMiner.AX".

    Culmea este ca responsabilii IT de acolo au fost avertizati de mai multe zile (de ex. la http://forum.portal.edu.ro/index.php?showtopic=241595), dar se vede ca forumul OFICIAL al Ministerului Educatiei nu este citit de NIMENI. Probleme cu aplicatiile informatice ale Ministerului sunt cat casa - un singur exemplu din zilele acestea ar fi aplicatia in care scolile din tara trebuie sa raporteze rezultatele evaluarilor nationale, dar care aplicatie este mai mult nefunctionala: http://forum.portal.edu.ro/index.php?showtopic=241317
  • +1 (1 vot)    
    Ha, ha, ha! (Joi, 31 mai 2018, 15:13)

    aladdin [utilizator]

    Asta ca sa vedeti situatia reala a finantelor tarii. Atat de disperati sunt ca s-au apucat de minat criptomonede :))


Abonare la comentarii cu RSS

ESRI

Top 10 articole cele mai ...



Hotnews
Agenţii de ştiri

Siteul Hotnews.ro foloseste cookie-uri. Cookie-urile ne ajută să imbunatatim serviciile noastre. Mai multe detalii, aici.
hosted by
powered by
developed by
mobile version