UPDATE (joi, 31 mai) Specialiștii Centrului Național de Raspuns la Incidente de Securitate Cibernetica (CERT-RO) au declarat pentru HotNews.ro că în prezent sunt în discuții cu oficialii Ministerului Educației pentru identificarea cauzelor incidentului. Site-ul www.edu.ro este găzduit pe serverele Institutului Național de Cercetare în Informatică (ICI).

"edu.ro afișează mesajul: AdGuard has detected an attempt by this website tu use your browser as a crypto-currency miner. It can create significant CPU load. Press "Cancel" to prevent it."









În codul sursă al paginii Ministerului Educației se fac trimiteri către site-uri cu escorte din Turcia





Mai mult, dacă verifici codul sursă al paginii www.edu.ro, se poate observa că acesta conține linkuri către site-uri de escorte din Turcia. De ce? Vom solicita Ministerului Educației o explicație pentru toate aceste probleme ale site-ului web și vom reveni cu răspunsuri imediat ce le vom primi.





Specialistii CERT-RO (Centrul National de Raspuns la Incidente de Securitate Cibernetica) au avertizat în luna ianuarie a acestui an că au avertizat în luna ianuarie a acestui an că pe aproximativ 150 de domenii de internet .ro este folosit un cod care genereaza criptomoneda Monero, încetinind funcționarea dispozitivelor utilizatorilor.





Redam mai jos integral comunicatul din ianuarie 2018 al CERT-RO cu privire la domeniile de internet .ro pe care este folosit codul CoinHive pentru minat Monero:

minerit (mining),

care implica utilizarea procesorului dintr-un dispozitiv, pentru a rezolva probleme complicate de matematica, rezultatul acestora generand monede.

No Coin (Google Chrome | Mozilla Firefox | Opera)

minerBlock (Google Chrome)

ScriptSafe (Google Chrome)

NoScript Security Suite (Mozilla Firefox)

Coin-Hive Blocker (Google Chrome)

Ghostery (Safari | Microsoft Edge) etc.

Dacă ai instalată, la accesarea paginii web a Ministerului Educației se afișează următorul avertisment:Nu doar această aplicație dă în prezent acest avertisment.la accesarea site-ului Ministerului Educației, precizând că a blocat un fișier folosit în minarea de criptomonede.Dacă dezactivezi aplicația AdGuard și te duci în Task Manager pentru a vedea performanța PC-ului, vei observa cum la accesarea site-ului www.edu.ro, procesorul (CPU) sare brusc la 100% grad de folosire, lucru care ar fi imposibil dacă în spatele site-ului nu s-ar afla un script care să folosească resursele dispozitivului de pe care este accesat site-ul."In ultima perioada, o serie de site-uri romanesti, dar nu numai, au fost compromise prin inserarea unor script-uri care utilizeaza puterea de procesare a dispozitivelor utilizatorilor pentru minarea de criptomonede.este o moneda digitala, virtuala si poate fi utilizata ca mijloc de plata. Folosirea prefixului 'cripto' arata ca acest mijloc de plata utilizeaza criptografia, ceea ce face aproape imposibila falsificarea acesteia. Prin folosirea tehnologiilor descentralizate, se permite utilizatorilor efectuarea unor plati sigure si anonimizate. Utilizatorul nu mai este obligat sa se identifice ca in cazul utilizarii serviciilor bancare. Moneda virtuala ruleaza pe un registru public numit blockchain.Utilizatorii pot cumpara monedele de la brokeri, apoi le pot stoca sau cheltui folosind portofelele criptografice. Cele mai cunoscute exemple de criptomoneda ar fi Bitcoin, Ethereum, Ripple sau Litecoin.Recent, un utilizator al retelei sociale Reddit a publicat capturi de ecran prin care afisa faptul ca in codul sursa al unui cunoscut site de stiri din Romania este inserat un script activ care foloseste CoinHive, pentru a mina criptomoneda Monero.Coinhive functioneaza prin furnizarea detinatorilor de site-uri web unui cod Javascript pe care il pot incorpora in site-ul lor. Acest cod utilizeaza puterea de procesare a vizitatorilor site-ului pentru a mina Monero.Sigur, este o situatie avantajoasa pentru ambele parti, deoarece Coinhive pastreaza o parte din suma minata, in timp ce proprietarul site-ului pastreaza restul. Din nefericire insa, vizitatorii acestor site-uri nu sunt intotdeauna notificati cu privire la faptul ca procesorul lor este utilizat la o anumita capacitate, fara acordul lor. Coinhive in sine este o companie legitima. Cu toate acestea, actorii implicati in aceste operatiuni nu fac intotdeauna ca acest proces sa fie transparent.In urma postului de pe Reddit, specialisti din domeniul securitatii cibernetice din Romania au identificat o lista de peste 100 de site-uri pe care exista ruleaza acest script CoinHive. Din nefericire pentru utilizatorii care vizitau acele site-uri, procesorul era incarcat la capacitate maxima pentru o astfel de activitate de minare a Monero, ceea ce ducea in cele din urma la blocarea dispozitivului.Ulterior, echipa CERT-RO a identificat in spatiul virtual romanesc aproximativ 150 de domenii .ro pe care este folosit cod CoinHive pentru minat Monero. Totodata, expertii CERT-RO au observat faptul ca pentru toate aceste domenii au fost folosite 48 de conturi de CoinHive. Mai mult, prin folosirea portalului publicwww.com am descoperit la nivel global aproximativ 2400 de site-uri care folosesc aceleasi conturi de CoinHive ca domeniile romanesti.Utilizarea programelor anti malwareMajoritatea programelor antivirus blocheaza in momentul de fata executia scripturilor care mineaza monede virtuale.ￂￂ Singura deficienta ar fi faptul ca aceasta caracteristica poate fi disponibila indeosebi pentru programele cu licenta si nu pentru cele gratuite. Malwarebytes este doar un exemplu din multitudinea de solutii existente pe piata care permit blocarea acestor scripturi pentru Windows si Mac, astfel nefiind necesare alte setari suplimentare din partea utilizatorului.Utilizarea extensiilor pentru browserLa nivel de browser, exista o suita intreaga de extensii care pot fi instalate atat in browserele utilizate pentru PC, cat si pentru platformele mobile (smartphone, tableta), dezvoltate pentru a preveni executia unor astfel de scripturi fara acordul utilizatorului final. Exemple de astfel de extensii sunt:



Blocarea manuala a domeniilor



In cazul in care sunt cunoscute domeniile utilizate pentru descarcarea sau distribuirea unor astfel de scripturi, acestea pot fi blocate manual cu ajutorul unei extensii de browser asa cum este AdBlock. Spre exemplu, pentru a bloca domeniul https[:]//coin-hive.com/lib/coinhive.min.js, acesta se adauga in campul de la optiunea Customize > Block an ad by its URL.



Dezactivarea JavaScript



Dezactivarea rularii JavaScript in browser poate fi o optiune, cu mentiunea ca poate afecta toate site-urile care folosesc JavaScript, acestea fiind destul de multe. De aceea, utilizarea unei aplicatii pentru blocarea continutului poate fi o varianta de preferat. Spre exemplu, 1Blocker este o astfel de aplicatie care poata fi instalata pe dispozitivele iPhone si iPad.



Actualizarea sistemului de operare si aplicatiilor instalate



De asemenea, pentru minimizarea riscului in ceea ce priveste securitatea aplicatiilor web, echipa CERT-RO va propune parcurgerea urmatoarelor ghiduri:



Ghid pentru securizarea aplicațiilor și serviciilor web

OWASP Top 10 - 2017