A primera vista, un criptominero CoinHive que recibe servicios de un sitio web cuya URL contiene la cadena ‘ICO’ puede no parecer tan extraño.
Pero cuando sepa que ICO en este caso significa la Oficina del Comisionado de Información del Reino Unido, también conocida como el organismo nacional de control de la protección de datos y la privacidad, cuya URL (https://ico.org.uk) es anterior tanto a Bitcoin como a la locura actual por las ventas de tokens. Bueno, el alcance del problema de seguridad del cryptojacking se hace evidente rápidamente.
La ICO tampoco es el único sitio web o sitio web del gobierno que se detecta sirviendo malware de minería de criptomonedas a los visitantes en cada página que visitaron. Miles de los sitios se vieron comprometidos a través del mismo complemento.
Investigador de seguridad Scott Helme Marcó el problema a través de Twitter ayer, después de haber sido alertado inicialmente por otro profesional de seguridad, Ian Trump.
Helme rastreó la fuente de la infección hasta un complemento de accesibilidad, llamado Browsealoud, creado por una empresa del Reino Unido llamada Texthelp.
El software de lectura de pantalla web se estaba utilizando en decenas de sitios web del gobierno del Reino Unido, pero también en otros lugares, incluidos los sitios web del gobierno en los EE. UU. Y Australia.
Entonces, cuando un atacante inyectó un script de minería de criptomonedas en la biblioteca JavaScript de Browsealoud, unos 4.000 sitios web, muchos de ellos financiados por los contribuyentes y / o subvencionados, fueron incorporados a la minería de criptomonedas ilegal … Uh, oopsie …
Cuanto más pienso en esto, peor se vuelve. Los atacantes introdujeron secuencias de comandos arbitrarias en miles de sitios, incluidos muchos sitios web del NHS aquí en Inglaterra. Solo deténgase y piense por unos momentos sobre qué podrían haber hecho exactamente con esa capacidad … 😱
– Cascos Scott (@Scott_Helme) 11 de febrero de 2018
tl; dr: “Si quieres cargar un cripto minero en más de 1,000 sitios web, no atacas más de 1,000 sitios web, atacas el 1 sitio web desde el que todos cargan contenido”, como lo ha hecho Helme desde entonces. blogueado sobre el ataque.
Texthelp también ha emitido desde entonces una declaración – confirmando que fue comprometido por atacantes (todavía) desconocidos y diciendo que está investigando el incidente.
“A las 11:14 am GMT del domingo 11 de febrero de 2018, un archivo JavaScript que forma parte del producto Texthelp Browsealoud se vio comprometido durante un ciberataque”, escribe. “El atacante agregó código malicioso al archivo para usar la CPU del navegador en un intento de generar criptomonedas ilegalmente. Este fue un acto delictivo y actualmente se está llevando a cabo una investigación exhaustiva “.
Según Texthelp, el cripto minero estuvo activo durante cuatro horas el domingo; antes, afirma la compañía, sus propias “pruebas de seguridad automatizadas continuas” detectaban el archivo modificado en Browsealoud y respondían desconectando el producto.
“Esto eliminó a Browsealoud de todos los sitios de nuestros clientes de inmediato, abordando el riesgo de seguridad sin que nuestros clientes tuvieran que tomar ninguna medida”, afirma además.
Sin embargo, en el momento de escribir este artículo, el sitio web de la ICO permanece inactivo por “mantenimiento del sitio web”, ya que se desconectó el domingo poco después de que Helme diera la alerta.
Nos comunicamos con la ICO con preguntas y un portavoz respondió con esta declaración: “Somos conscientes del problema y estamos trabajando para resolverlo. Hemos retirado nuestro sitio web como medida de precaución mientras se hace “.
El portavoz agregó que el sitio web de la ICO permanece fuera de línea hoy porque está investigando lo que cree que es otro problema asociado a Browsealoud.
“El sitio web de la ICO permanecerá cerrado mientras continuamos investigando un problema que se cree que involucra un problema con la función Browsealoud”, nos dijo el portavoz, sin dar más detalles.
Ayer, el Centro Nacional de Seguridad Cibernética del Reino Unido emitió su propio declaración sobre el ataque del cripto minero, escribiendo:
Los expertos técnicos de NCSC están examinando datos relacionados con incidentes de malware que se utilizan para minar criptomonedas ilegalmente.
El servicio afectado se ha desconectado, lo que mitiga en gran medida el problema. Los sitios web gubernamentales siguen funcionando de forma segura.
En esta etapa, no hay nada que sugiera que los miembros del público estén en riesgo.
Texthelp también ha afirmado que no se “accedió ni se perdió” ningún dato del cliente como resultado del ataque, y dijo en su comunicado de ayer que había “examinado el archivo afectado a fondo y puede confirmar que no redirigió ningún dato, simplemente utilizó el CPU de computadoras para intentar generar criptomonedas ”.
También nos comunicamos con Texthelp para obtener actualizaciones sobre su investigación; en el momento de escribir este artículo, la compañía no ha respondido.
Pero incluso si no se ha comprometido ningún dato del usuario, como se afirma, el simple hecho de que se descubrió que los sitios web del gobierno estaban cargando un minero de criptomonedas CoinHive que clandestinamente y, por lo tanto, extraía criptomonedas en masa de manera ilegal es enormemente vergonzoso. (Aunque, como Helme señala, el ataque podría haber sido mucho, mucho peor. Un poco de consumo de CPU no es, por ejemplo, datos de tarjetas de crédito robados).
Aún así, Helme también argumenta que aquí se agrega un huevo en la cara, tal vez especialmente para la ICO, cuya misión es promover las mejores prácticas de protección de datos, incluida una seguridad digital sólida, porque el ataque habría sido trivialmente fácil de prevenir, con un pequeño cambio. a cómo se cargó el script JS de terceros.
en un entrada en el blog detallando el incidente, describe un método que habría mitigado el ataque, explicando:
Lo que he hecho aquí es agregar el Atributo de integridad SRI y eso le permite al navegador determinar si el archivo ha sido modificado, lo que le permite rechazar el archivo. Puede generar fácilmente las etiquetas de secuencia de comandos adecuadas utilizando el Generador de hash SRI y tenga la seguridad de que el minero criptográfico no podría haber encontrado su camino hacia la página. Para dar un paso más y garantizar una protección absoluta, puede utilizar Política de seguridad de contenido y el require-sri-for directiva para asegurarse de que no se permita cargar ningún script en la página sin un atributo de integridad SRI. En resumen, esto podría haber sido evitado totalmente por todos los involucrados a pesar de que el archivo fue modificado por piratas informáticos. Además de todo eso, podría recibir una alerta sobre eventos como este que sucedan en su sitio a través de Informes de CSP que es literalmente la razón por la que fundé Informe URI. Supongo que, en general, no deberíamos ver eventos como este suceder a esta escala en sitios tan prominentes.
Aunque también describe el script que la ICO usó para cargar el archivo JS problemático como “bastante estándar”.
Por lo tanto, no parece que la ICO estuviera haciendo algo especialmente inusual aquí; es solo que, bueno, una agencia nacional de protección de datos probablemente debería estar abriendo un camino en las mejores prácticas de seguridad, en lugar de apegarse a estándares de pantano más riesgosos.
Sin embargo, no destacar demasiado a la ICO. Entre los otros sitios comprometidos en el mismo ataque se encuentran Tribunales de EE. UU., el Defensor del pueblo financiero del Reino Unido, varios sitios web del gobierno local, sitios web del Servicio Nacional de Salud, sitios web de educación superior, sitios web de teatros y el propio sitio web de Texthelp, por nombrar algunos.
Y con las valoraciones volátiles de las criptomonedas que incentivan claramente el cryptojacking, este tipo de ataque de malware seguirá siendo un problema en el futuro previsible.
También blogueando sobre el incidente y la defensa SRI + CSP propuesta por Helme, el experto en seguridad web Troy Hunt (de haveibeenpwned.com la fama del servicio de búsqueda de violación de datos) tiene un poco más de matices, señalando que los complementos de terceros se pueden proporcionar como un servicio, en lugar de una biblioteca estática, por lo que es posible que sea necesario (y se espera) realizar cambios legítimos.
Y, por lo tanto, el problema más amplio aquí es cómo los sitios web están creando dependencias en scripts externos y qué se puede hacer para solucionarlo. Lo que sin duda es más un desafío.
Quizás especialmente para sitios web más pequeños y con menos recursos. Al menos en lo que respecta a los sitios web gubernamentales, Hunt argumenta que definitivamente deberían hacerlo mejor para eliminar este tipo de riesgos de seguridad web.
“Deben usar SRI y solo deben permitir que se ejecuten versiones confiables. Esto requiere tanto el soporte del servicio (Browsealoud) para no modificar arbitrariamente los scripts de los que dependen los suscriptores como los procesos apropiados en nombre de los equipos de desarrollo ”, escribe, argumentando que los sitios web del gobierno deben tomar estos riesgos en serio y tener una prevención. plan incorporado en sus programas de gestión de software – como estándar.
“Hay recursos mencionados anteriormente para ayudarlo a hacer esto: retire.js es un ejemplo perfecto en lo que respecta a las bibliotecas del lado del cliente ”, añade. “Y sí, esto requiere trabajo”.
Pero si la ICO no va a hacer el trabajo para bloquear los riesgos de las aplicaciones web, ¿cómo puede esperar el organismo de control nacional de datos que todos los demás lo hagan?
¿Es el tl; dr que una buena seguridad requiere algo de planificación? Si es así, sí, estoy de acuerdo 😀
– Troy Hunt (@troyhunt) 12 de febrero de 2018