Матчи Скрыть

Как Трахтенбергу "могли вставить" любой текст. Необъяснимая халатность сисадминов офсайта ФК "Спартак"

Поделиться новостью в Телеграмм Поделиться новостью во Вконтакте Поделиться новостью в WhatsApp
Сегодня руководитель пресс-службы ФК «Спартак» Леонид Трахтенберг заявил о своей отставке в связи с публикацией на официальном сайте клуба оскорбительного текста в адрес болельщиков, содержащей, например, термин "высеры". В этой, довольно нетипичной для футбольного сайта публикации, мы покажем что сайт ФК «Спартак» Москва вполне уязвим к перехвату паролей классическим способом "Man in the middle" любых его пользователей по причине… Необъяснимой халатности системных администраторов официального сайта.
Леонид Трахтенберг. Фото: spartak.com
Знаете ли вы, что личный пароль Леонида Трахтенберга (как и любого другого сотрудника пресс-службы) мог быть элементарно перехвачен на любом стадионе страны, в любом кафе, гостинице… Практически любым системным администратором на любом из стадионов, кафе, гостиниц России и Европы, а также... Практически любым из имевших доступ в зону для прессы, при наличии ноутбука и мобильного телефона?

Если вы находитесь в шоке от этого заявления - то мы, после даже 2 минут осмотра сайта, находимся также в полном шоке. Присаживайтесь поудобнее, а мы расскажем вам о том, как можно было это сделать...

Суть довольно проста: на офсайте Spartak.com, в самом верху страницы находится кнопка авторизации. Даже беглый осмотр её работы, скажем честно – повергает в шок. Всё дело в том, что пароль, логин с формы авторизации на сайте передаётся на сервер… в открытом текстовом виде без шифрования!


На официальном сайте ФК "Спартак" Москва нет шифрования. И действительно - а зачем?


Поясню для тех, кто не совсем понимает о чём речь: когда вы входите в свою почту, например, на mail.ru, или оплачиваете нечто в Интернете по карте – вы видите вверху браузера либо «замочек», либо и вовсе зелёную плашку.

Пример: оплата интернет-провайдера yota с банковской карты


Это означает что ваше соединение с сайтом зашифровано. А значит – ваш логин, пароль, номер пластиковой карты нельзя перехватить классической атакой «Человек посередине».

К примеру, на Чемпионат.Ком, наверное, понимали что делают?


Если же вы видите статус, как он отображается на официальном сайте «Спартака» - это значит что на любом Интернет-подключении ваши данные авторизации можно перехватить, прочитать, ну и так далее.

Если вы не знаете что такое атака "Человек посередине", она же "Man in the Middle", она же "Атака посредника", то схематично выглядит оно примерно так:

Схема атаки "Man in the middle". Инфографика: comodo.com


Мы не будем (всё-таки мы не stackoverflow, и не сайт по безопасности) расписывать тут подробности осуществления подобной деятельности, но лишь упомянем о том, что осуществить её довольно несложно. Например, почитайте об этом на том-же habr.com: Атака «Man In The Middle» (MITM) в Wi-Fi сети

Теперь давайте подумаем вот о чём: работа руководителя пресс-службы «Спартака» связана с постоянными разъездами с командой по стране. И нужно постоянно заходить на сайт, и, например, публиковать там новости. Удобнее всего это делать, например, на стадионе где проходит матч. Как журналист с большим стажем заявлю честно, что как-минимум на стадионах всех топовых команд доступ в Интернет для журналистов и работников клубов есть всегда, и обычно – довольно неплохой.

И естественно понимать, что наверняка и Трахтенбергу, и его команде работников наверняка много раз приходилось по мере работы заходить на сайт из самых разных уголков России (да и Европы). Это бы не было проблемой, если бы не одно НО: по всей видимости люди, что занимаются администрированием официального сайта ФК «Спартак» Москва, до сих пор, даже несмотря на то, что на всех конференциях по развитию и разработке «онлайн-приложений» вот уже много лет как буквально кричат во все, пардон матюгальники:

все данные пользователей, передаваемые на сайт должны быть зашифрованы! Сайты должны, обязаны работать через шифрование!

И что мы, пардон, видим, на официальном сайте московского «Спартака»? Форма для передачи данных по нешифрованному каналу, с логином и паролем открытым текстом. Если вы не совсем понимаете что это означает – это выглядит примерно так:

Спасибо, ребята! Молодцы! Просто блестящая работа! По http, обычным текстом, без какой либо защиты - логин и пароль!


При этом поясню: по внешнему виду и архитектуре сайта всё выглядит так, что вполне вероятна ситуация, когда на сайте существует единая точка входа, а доступ (или не доступ) к тем или иным разделам регулируется внутренними правилами. Перевожу: скорее всего пресс-служба авторизируется на сайте через эту же самую форму.

Кстати, что придаёт «особой пикантности» в этой ситуации – это то, что для перехвата логина и пароля Леонида Трахтенберга даже не нужно быть системным администратором какого-либо стадиона. Например, лично мне для осуществления подобной атаки хватило бы следующего:
  1. сесть рядом с Трахтенбергом, когда он работает с сайтом,
  2. мобильный телефон и связанный с ним ноутбук, и…
  3. пара прочитанных статей на том-же habrahabr!


Если вас интересуют подробности – достаточно просто поднять на смартфоне точку доступа с аналогичными названием и паролем на стадионе, и за счёт близкого расположения – сделать так, чтобы мощность сигнала от твоего телефона оказалась выше, нежели от WiFi стадиона. А на ноутбуке – просто поднять любой из «снифферов пакетов».

Простите, но это - далеко не самая сложная задача. И осуществить её может... практически любой.

Есть ли способы защиты? Да! И они уже применяются на... если не ошибаюсь - почти 80% сайтов в рунете. Называется это - SSL шифрование. И стоит он - от 1 000 и до 4 000 рублей в год.

Таким образом можно утверждать однозначно:

Первое.
Нешифрованное соединение с сайтом где есть форма для авторизации, и хоть какие-либо зарегистрированные пользователи (а ещё и имеющие доступ к административной части сайта!) – при условии, что к этому сайту люди получают авторизованный доступ через публичные WiFi сети – это словно огромная дыра во лбу. Это, простите, каменный век!

Второе.
Возможности для атаки для получения доступа (при нешифрованном соединении с сайтом – а оно таково, по всей видимости и есть) с «реквизитами» лично Трахтенберга могли быть у сотен, если не у тысяч людей. Да, господа – это словно дыра во лбу, размером с московский Метрополитен….

Третье.
Гугл и Яндекс давно говорят, что все сайты должны иметь шифрование. Сайты, у которых, его – шифрования нет, вот уже несколько лет как понижаются в результатах поиска как ненадёжные. Отсутствие шифрования на официальном сайте ФК «Спартак» Москва – это просто, простите, непростительно для современного мира.

Четвёртое.
Настройка шифрования на сайте – довольно несложная задача. Достаточно лишь купить подписанный сертификат (как, например, сделал Чемпионат.ком или Спорт-Экспресс), или… даже можно воспользоваться бесплатной сертификацией от компании Let’s encrypt. Плюс – довольно несложная настройка на сервере. К примеру, мы на русфутболе сделали это своими руками за 1 день вот уже несколько лет назад как!

Таким образом на сегодня можно утверждать однозначно: проблема с официальным сайтом ФК "Спартак" Москва настолько серьёзная, что никаких оснований тут не ожидать взлома было слишком уж наивно. И вероятность того, что Трахтенберга "перехватили", простите - гораздо выше, нежели что он после 50 лет в журналистике написал бы в статье слово «высеры».

При этом отметим: Леонид Трахтенберг - журналист. Он может не знать что такое протокол https, шифрование TLS1.3 и так далее. Более того, он, наверняка и не должен этого знать. Но it-отдел не может, просто не имеет права этого не знать и не понимать!

Так что да - даже беглый осмотр сайта ФК "Спартак" Москва приводит к заключению, что им вполне себе "реально могли вставить". Впрочем, если it-отдел организации всё ещё верит что весь Мир состоит сплошь из розовых пони...

P.S. Поясню - на самом то деле задача с перехватом доступа может оказаться и несколько (несильно) сложнее - например, нужно будет перехватывать не пароль, а авторизационную cookie. Но всё это лишь вопрос техники. А подобный подход на официальном сайте крупной организации в XXI веке - это просто недопустимая халатность.

И да, например на офсайте ФК "Зенит" уже давно настроено и применяется шифрование:

На официальном сайте ФК "Зенит", например, по странному стечению обстоятельств шифрование работает. И подобный перехват "на коленке" практически невозможен.


Теперь им срочно и категорически необходимо: а) немедленно установить сертификат шифрования на сайт, б) заставить всех пользователей сайта придумать себе новые пароли.

Данную статью написал и опубликовал технический редактор портала Rusfootball.info,
Владислав Щеколдин.

P.P.S. Выяснилось, что на офсайте "Спартака" шифрование всё-таки есть! Но не является обязательным. То есть - оно существует, но формально. Де-факто же сайт доступен про шифрованному, и нешифрованному соединению. А при вводе адреса spartak.com в браузер - открывается именно что незащищённая версия сайта. То есть фактически ничего в описанном выше не изменяется. Нет, шифрование формально есть, но по факту нормально оно не работает. Что - не менее недопустимая ошибка, ибо требует изменения буквально 3-4 строк конфигурации nginx.

Например на Русфутболе это сделано примерно так:



Всю ответственность за данную публикацию и её последствия я, технический редактор портала Владислав Щеколдин, - полностью беру на себя.

   Публикация:
Нашли ошибку в статье?
Напечатать
| 4
  • Нравится
  • +20
  • Не нравится