Если вы находитесь в шоке от этого заявления - то мы, после даже 2 минут осмотра сайта, находимся также в полном шоке. Присаживайтесь поудобнее, а мы расскажем вам о том, как можно было это сделать...
Суть довольно проста: на офсайте Spartak.com, в самом верху страницы находится кнопка авторизации. Даже беглый осмотр её работы, скажем честно – повергает в шок. Всё дело в том, что пароль, логин с формы авторизации на сайте передаётся на сервер… в открытом текстовом виде без шифрования!
Поясню для тех, кто не совсем понимает о чём речь: когда вы входите в свою почту, например, на mail.ru, или оплачиваете нечто в Интернете по карте – вы видите вверху браузера либо «замочек», либо и вовсе зелёную плашку.
Пример: оплата интернет-провайдера yota с банковской картыЭто означает что ваше соединение с сайтом зашифровано. А значит – ваш логин, пароль, номер пластиковой карты нельзя перехватить классической атакой «Человек посередине».
К примеру, на Чемпионат.Ком, наверное, понимали что делают?Если же вы видите статус, как он отображается на официальном сайте «Спартака» - это значит что на любом Интернет-подключении ваши данные авторизации можно перехватить, прочитать, ну и так далее.
Если вы не знаете что такое атака "Человек посередине", она же "Man in the Middle", она же "Атака посредника", то схематично выглядит оно примерно так:
Схема атаки "Man in the middle". Инфографика: comodo.comМы не будем (всё-таки мы не stackoverflow, и не сайт по безопасности) расписывать тут подробности осуществления подобной деятельности, но лишь упомянем о том, что осуществить её довольно несложно. Например, почитайте об этом на том-же habr.com: Атака «Man In The Middle» (MITM) в Wi-Fi сети
Теперь давайте подумаем вот о чём: работа руководителя пресс-службы «Спартака» связана с постоянными разъездами с командой по стране. И нужно постоянно заходить на сайт, и, например, публиковать там новости. Удобнее всего это делать, например, на стадионе где проходит матч. Как журналист с большим стажем заявлю честно, что как-минимум на стадионах всех топовых команд доступ в Интернет для журналистов и работников клубов есть всегда, и обычно – довольно неплохой.
И естественно понимать, что наверняка и Трахтенбергу, и его команде работников наверняка много раз приходилось по мере работы заходить на сайт из самых разных уголков России (да и Европы). Это бы не было проблемой, если бы не одно НО: по всей видимости люди, что занимаются администрированием официального сайта ФК «Спартак» Москва, до сих пор, даже несмотря на то, что на всех конференциях по развитию и разработке «онлайн-приложений» вот уже много лет как буквально кричат во все, пардон матюгальники:
все данные пользователей, передаваемые на сайт должны быть зашифрованы! Сайты должны, обязаны работать через шифрование!
И что мы, пардон, видим, на официальном сайте московского «Спартака»? Форма для передачи данных по нешифрованному каналу, с логином и паролем открытым текстом. Если вы не совсем понимаете что это означает – это выглядит примерно так:
Спасибо, ребята! Молодцы! Просто блестящая работа! По http, обычным текстом, без какой либо защиты - логин и пароль!
При этом поясню: по внешнему виду и архитектуре сайта всё выглядит так, что вполне вероятна ситуация, когда на сайте существует единая точка входа, а доступ (или не доступ) к тем или иным разделам регулируется внутренними правилами. Перевожу: скорее всего пресс-служба авторизируется на сайте через эту же самую форму.
Кстати, что придаёт «особой пикантности» в этой ситуации – это то, что для перехвата логина и пароля Леонида Трахтенберга даже не нужно быть системным администратором какого-либо стадиона. Например, лично мне для осуществления подобной атаки хватило бы следующего:
- сесть рядом с Трахтенбергом, когда он работает с сайтом,
- мобильный телефон и связанный с ним ноутбук, и…
- пара прочитанных статей на том-же habrahabr!
Если вас интересуют подробности – достаточно просто поднять на смартфоне точку доступа с аналогичными названием и паролем на стадионе, и за счёт близкого расположения – сделать так, чтобы мощность сигнала от твоего телефона оказалась выше, нежели от WiFi стадиона. А на ноутбуке – просто поднять любой из «снифферов пакетов».
Простите, но это - далеко не самая сложная задача. И осуществить её может... практически любой.
Есть ли способы защиты? Да! И они уже применяются на... если не ошибаюсь - почти 80% сайтов в рунете. Называется это - SSL шифрование. И стоит он - от 1 000 и до 4 000 рублей в год.
Таким образом можно утверждать однозначно:
Первое.
Нешифрованное соединение с сайтом где есть форма для авторизации, и хоть какие-либо зарегистрированные пользователи (а ещё и имеющие доступ к административной части сайта!) – при условии, что к этому сайту люди получают авторизованный доступ через публичные WiFi сети – это словно огромная дыра во лбу. Это, простите, каменный век!
Второе.
Возможности для атаки для получения доступа (при нешифрованном соединении с сайтом – а оно таково, по всей видимости и есть) с «реквизитами» лично Трахтенберга могли быть у сотен, если не у тысяч людей. Да, господа – это словно дыра во лбу, размером с московский Метрополитен….
Третье.
Гугл и Яндекс давно говорят, что все сайты должны иметь шифрование. Сайты, у которых, его – шифрования нет, вот уже несколько лет как понижаются в результатах поиска как ненадёжные. Отсутствие шифрования на официальном сайте ФК «Спартак» Москва – это просто, простите, непростительно для современного мира.
Четвёртое.
Настройка шифрования на сайте – довольно несложная задача. Достаточно лишь купить подписанный сертификат (как, например, сделал Чемпионат.ком или Спорт-Экспресс), или… даже можно воспользоваться бесплатной сертификацией от компании Let’s encrypt. Плюс – довольно несложная настройка на сервере. К примеру, мы на русфутболе сделали это своими руками за 1 день вот уже несколько лет назад как!
Таким образом на сегодня можно утверждать однозначно: проблема с официальным сайтом ФК "Спартак" Москва настолько серьёзная, что никаких оснований тут не ожидать взлома было слишком уж наивно. И вероятность того, что Трахтенберга "перехватили", простите - гораздо выше, нежели что он после 50 лет в журналистике написал бы в статье слово «высеры».
При этом отметим: Леонид Трахтенберг - журналист. Он может не знать что такое протокол https, шифрование TLS1.3 и так далее. Более того, он, наверняка и не должен этого знать. Но it-отдел не может, просто не имеет права этого не знать и не понимать!
Так что да - даже беглый осмотр сайта ФК "Спартак" Москва приводит к заключению, что им вполне себе "реально могли вставить". Впрочем, если it-отдел организации всё ещё верит что весь Мир состоит сплошь из розовых пони...
P.S. Поясню - на самом то деле задача с перехватом доступа может оказаться и несколько (несильно) сложнее - например, нужно будет перехватывать не пароль, а авторизационную cookie. Но всё это лишь вопрос техники. А подобный подход на официальном сайте крупной организации в XXI веке - это просто недопустимая халатность.
И да, например на офсайте ФК "Зенит" уже давно настроено и применяется шифрование:
На официальном сайте ФК "Зенит", например, по странному стечению обстоятельств шифрование работает. И подобный перехват "на коленке" практически невозможен.
Теперь им срочно и категорически необходимо: а) немедленно установить сертификат шифрования на сайт, б) заставить всех пользователей сайта придумать себе новые пароли.
Данную статью написал и опубликовал технический редактор портала Rusfootball.info,
Владислав Щеколдин.
P.P.S. Выяснилось, что на офсайте "Спартака" шифрование всё-таки есть! Но не является обязательным. То есть - оно существует, но формально. Де-факто же сайт доступен про шифрованному, и нешифрованному соединению. А при вводе адреса spartak.com в браузер - открывается именно что незащищённая версия сайта. То есть фактически ничего в описанном выше не изменяется. Нет, шифрование формально есть, но по факту нормально оно не работает. Что - не менее недопустимая ошибка, ибо требует изменения буквально 3-4 строк конфигурации nginx.
Например на Русфутболе это сделано примерно так:
Всю ответственность за данную публикацию и её последствия я, технический редактор портала Владислав Щеколдин, - полностью беру на себя.
