Atacul de ieri asupra infrastructurii DNS din Romania, inca neelucidat

Atacul de ieri asupra infrastructurii DNS din Romania, inca neelucidat

„Angry Birds” va deschide un al treilea parc de distractii – vezi unde
Top 20 scurtaturi din taste pentru Microsoft Windows
nu le asteptau. Pe lista domeniilor afectate s-au alaturat si paypal.ro, windows.ro, microsoft.ro, kaspersky.ro, hotmail.ro si altele. Dupa cum am explicat ieri dimineata, acesta atac nu a afectat in mod direct vreunul dintre serviciile atacate, ci indirect, prin impingerea catre serverele DNS a unor informatii false si directionarea traficului Web catre alte adrese IP decat cele reale.

Masurile de contracarare a efectelor atacului au inceput sa devina vizibile ieri in jurul pranzului, cand informatiile DNS corecte au fost impinse catre restul serverelor care au primit si servit mai departe clientilor lor aceste date gresite. Atacul poarta semnatura unui hacker de origine algeriana care mai are la activ vreo 5000 de ispravi similare. Pana la aceasta ora, nici Kaspersky si nici BitDefender nu au descoperit vreo amenintare virala care sa fi fost servita de pagina catre care utilizatorii au fost redirectionati.

Chiar daca aceasta ultima veste este buna, un viitor atac similar ar putea trimite utilizatorii catre pagini care pot contine troieni sau care pot impersona paginile legitime ale caror inregistrari DNS au fost modificate.  Iar daca vreti sa dati vina pe cineva, nici macar atat nu puteti face deoarece, dupa 24 de ore, inca nu este clar a cui a fost vina.

Conform scenariului Kaspersky, atacul s-a produs asupra serverelor DNS intretinute de Google, cunoscute si ca Google Public DNS. Este adevarat ca acestea au fost printre cele mai importante servere DNS care au fost „otravite” si ca acestea nu folosesc DNSSEC, o forma de verificare a autoritatii serverelor care fac actualizari DNS in scopul de a bloca exact genul de atac despre care vorbim, insa acest scenariu este posibil dar improbabil. Daca un atacator ar fi reusit sa treaca de securitatea serverelor Google, acesta nu s-ar fi multumit sa atace doar servere apartinand de domeniul .ro ci s-ar fi repezit catre mult mai suculente domenii .com. Google afirma ca nici unul dintre serviciile lor nu a fost atacat direct si tindem sa-i credem

BitDefender propune un scenariu mult mai plauzibil, si anume un atac asupra infrastructurii organizatiei nationale de inregistrare si administrate a domeniilor, RoTLD, care apartine de ICI. Prin atacarea acesteia, cel mai probabil printr-o clasica injectie SQL, atacatorul a obtinut acces la serviciile interne, inclusiv pretioasele inregistrari DNS.

In acest moment, aceasta este doar o supozitie, dar ea este intarita de faptul ca atacatorul s-a limitat strict la domenii .ro si ca RoTLD a resetat in ultimele 24 de ore parolele conturilor detinatorilor de domenii. Din pacate, organizatia nu a oferit nici o pozitie oficiala si nici nu si-a avertizat utilizatorii despre aparitia unei probleme, insa trecerea la o masura drastica precum resetarea parolelor este suficienta pentru a semnaliza o problema.

Romania nu a fot singura tara afectata in ultima vreme de astfel de atacuri In ultimele doua saptamani, atat Israelul cat si Pakistanul au suferit atacuri similare iar poarta de intrare a fost similara – cea a infrastructurii operatorului TLD national din cele doua tari.