În cursul dimineții de miercuri, 28 noiembrie, site-ul google.ro arăta ciudat, afișând o miră TV, similară cu cea pe care o vedeam prin anii ‘80 la televiziunea română. Scriitori celebri din online-ul autohton au sărit repede să anunțe că Google a fost spart și să creeze rapid trafic senzațional. Auleu, marele Google a fost spart.
Nu, nu a fost vorba de așa ceva. Doar o tehnică veche de vreo 20 de ani a dat roade în România – RoTLD, organizația care se ocupă la noi cu managementul DNS-urilor e cea mai în măsură să spună ce s-a întâmplat.
De fapt, nu server-ul Google a fost spart ci s-a reușit o modificare a înregistrărilor DNS (cele care spun browser-ului către ce adresă IP să redirecționeze un apel venit sub forma unei interogări www.nume.domeniu). Nu numai server-ele Google au fost ”rezolvate” greșit ci și cele Yahoo!, Microsoft și PayPal, accesate din România.
În spatele atacului se pare că este un individ din Algeria.
RoTLD
Ștefan Tănase, senior security researcher la Kaspersky Lab spune că pagina google modificată a fost posibilă în urma unui atac de tip DNS poisoning – server-ele publice DNS ale Google (8.8.8.8 și 8.8.4.4) folosite pe scară largă de utilizatori și companii în locul serviciilor DNS locale, date de ISP au redirectat cererile google.ro către site-ul modificat- adică unul din Olanda 95.128.3.172 (server1.joomlapartner.nl).
Se pare că problemele au apărut ca urmare a unei breșe de la RoTL – The Romanian Top Level Domain Registry prin care site-urile:
- google.ro
- yahoo.ro
- microsoft.ro
- paypal.ro
- kaspersky.ro
- windows.ro
- hotmail.ro
au putut fi redirecționate către adrese false.
Atacul de la noi survine celui similar din Irlanda realizat cu succes săptămânile trecute. O analiză interesantă, făcută în timp realde Ștefan se regăsește pe threatpost.