Password RoTLDset

Un anunţ aparent benign, postat pe siteul RoTLD, administratorul domeniilor .ro, confirmă resetarea parolelor tuturor celor peste 640.000 de adrese din administrarea sa, subliniind în mod indirect amploarea atacului MCA-CRB Algerian Hacker. Un exerciţiu de caz.

Ilustrație: John Coulter/Behance

 

 

Ce s-a întâmplat?

 

28 noiembrie 2012, vizitatorii google.ro au fost redirecţionaţi vreme de câteva ore către către o pagină de internet cu o miră tv şi mesajul: “By MCA-CRB. Algerian Hacker. S thanks = Mr-Adel & Hmx & Lagripe-Dz. All members Sec. To Be Continued ….”. Atacul a vizat şi alte site-uri din .ro: yahoo.ro, microsoft.ro, paypal.ro, kaspersky.ro, windows.ro şi hotmail.ro.

 

“Cei care au încercat să acceseze în această dimineaţă google.ro au fost redirecţionaţi către alte domenii. Practic, serviciul nu a fost atacat sau hackuit. Nu este vorba despre o vulnerabilitate a Google pe care ar fi urmat să o rezolvăm. (…) Suntem în contact cu organizaţia responsabilă cu gestionarea numelor de domenii din România”, explica în aceeaşi zi Gabriela Chiorean, director de comunicare Google România.

 

“Când am aflat despre acest incident, am fost destul de sceptici cu privire la atac. Un site atât de mare cum este Google poate fi spart, în teorie, dar este foarte puţin probabil. Apoi, am observat că ambele domenii ajung la o adresă IP situată în Olanda: 95.128.3.172, aşa că pare mai degrabă un atac de tip DNS poisoning” , spunea şi Ştefan Tănase, senior regional researcher, EEMEA, Global Research and Analysis Team în cadrul Kaspersky Lab.

 

Pentru cei obsedaţi de detalii tehnice, Tănase a postat o analiză a atacului.

 

Ce s-a întâmplat de fapt?

 

Scenariile au început imediat să curgă, inclusiv acela că atacul ar fi vizat de fapt baza de date a  RoTLD (Romanian Top Level Domain Registrar) – unul puţin probabil,  fiindcă nu toate domeniile .ro au fost afectate, era opinia de atunci a specialiştilor Kaspersky. 

 

După cinci zile de tăcere, în secţiunea “Ştiri Recente” a RoTLD era postat un comunicat laconic prin care se recunoştea că:În noaptea de 27/28 noiembrie 2012 a avut loc un atac asupra server-ului de Administrare Domenii ro. Au fost modificate nameserver-ele la câteva domenii larg utilizate cum sunt google.ro, yahoo.ro, redirectându-le către o altă pagină de web. (…) Serverele DNS nu au fost afectate iar pe serverele RoTLD nu sunt stocate date despre tranzacțiile financiare”.

”În noaptea de 27/28 noiembrie 2012 a avut loc un atac asupra server-ului de Administrare Domenii ro”

 

Din această perspectivă, e  greu de precizat câte alte site-uri au fost de fapt afectate, iar o listă completă a lor ar putea veni doar de la RoTLD.

 

O a doua şi ultimă informaţie oficială RoTLD vine sub forma unei note de subsol din secţiunea Administrare Domenii, prin care se anunţă că “în data de 28 noiembrie 2012 ROTLD a resetat din motive de securitate parolele de administrare a domeniilor. Pentru acces la interfața de administrare domenii este necesar să urmați procedura de recuperare parolă. (…)”.

 

Ce înseamnă asta pentru utilizatori?

 

Resetarea parolelor a fost o măsură preventivă bună, dar lasă câteva semne de întrebare cu privire la măsurile de securitate implementate de către RoTLD – nu este clar câte domenii au fost afectate şi în ce măsură au fost compromise datele personale ale utilizatorilor, cei care dețin un domeniu .ro.

 

În cazul în care adresa de e-mail pe care aţi folosit-o pentru înregistrarea domeniului nu mai este valabilă, nu veţi putea recupera parola până când nu trimiteţi un fax (da, un fax!) cu datele personale (formular, copie CI pentru persoane fizice; în plus copie certificat RegCom pentru firme).

 

Ce ar fi putut face atacatorii domeniului meu?

 

Aceeaşi modificare pe care au făcut-o pe google.ro, respectiv schimbarea name server-elor, astfel încât vizitatorii site-ului să fie redirecţionaţi către altă pagină.

 

De ce sunt importante name server-ele?

 

Name server-ele (cunoscute şi sub numele de DNS) fac legătura între adresa scrisă în browser şi adresa IP a server-ului care găzduieşte site-ul. Dacă acestea nu ar exista, pentru a accesa google.ro, de exemplu, ar trebui să tastaţi în browser “74.125.224.184”.

 

Ce măsuri ar trebui să iau?

 

Recuperarea parolei şi schimbarea imediată a ei.

 

Verificarea corectitudinii informaţiilor asociate name server-elor şi datelor de contact.

 

Schimbarea parolelor tuturor conturilor pentru care aţi folosit aceeaşi parolă ca la RoTLD (mai ales dacă este vorba de furnizorul de servicii de hosting).

 

Cine sunt atacatorii?

 

Algerian Hacker Group este formată din aproximativ 200 de hack teams, iar atacul din România vine după alte trei, din Pakistan, Irlanda şi Israel, care au vizat aceleaşi domenii. hackmageddon.com a realizat o listă completă a cyberatacurilor din intervalul 16-30 noiembrie.

Alte articole