UPDATE Site-ul google.ro nu a putut fi accesat mai multe ore/ Google: Serviciile din Romania nu au avut de suferit

de I.Rosca, V. Barza     HotNews.ro
Miercuri, 28 noiembrie 2012, 9:05 Economie | IT

Mesaj de la hackeri pe google.ro
Foto: captura ecran
Site-ul google.ro nu a functionat timp de cateva ore pentru mai multi utilizatori intre orele 8 si 13, iar pe pagina a aparut pentru o perioada de timp un mesaj al unui "hacker algerian", mesaj care se incheia cu cuvintele "va urma".Cei de la Google spun ca serviciile lor din Romania nu au avut de suferit si adauga ca sunt in contact cu organizatia responsabila cu gestionarea numelor de domenii din Romania (ICI). Si site-ul yahoo.ro a fost "picat", insa mult mai putin timp. Analizand situatia, compania de securitate Kaspersky spune ca este posibil sa avem de-a face cu un atac de tipul DNS poisoning la nivelul ISP-istilor din Romania.

UPDATE 4:

In jurul orei 16 si BitDefender a venit cu o analiza legata de atacurile informatice

"Atacul, revendicat de gruparea Algerian Hacker, a reusit sa afecteze serverele de DNS locale ale furnizorilor de internet, inclusiv serviciul de DNS gratuit al Google. Se pare ca IP-ul folosit in atac a fost modificat in sistemul furnizorului de domenii de internet RoTLD DNS si astfel propagat catre toate serverele DNS ale furnizorilor de servicii de internet.

Foarte important este ca IP-ul a fost propagat si in serviciul DNS al Google (8.8.8.8 si 8.8.4.4). O parte dintre furnizorii de servicii de internet si-au reimprospatat rezolutiile locale pentru google.ro, in timp ce altii inca mai folosesc rezultatele furnizate in timpul atacului.

Se pare ca un grup organizat tinteste, de asemenea, sistemele nationale TLD, din moment ce atacul din Romania este al patrulea incident dupa Irlanda, Pakistan si Israel. Toate incidentele au avut loc in doar o luna de zile.
 
Gruparea Algerian Hacker Group reuneste 200 de echipe mai mici de hackeri si presupunem ca incidentul de astazi a fost provocat de una dintre ele. Tarile vizate pana acum sunt Pakistan, Irlanda si Romania, iar atacurile au tintit aceleasi domenii in toate aceste tari.

Intrebarea care se pune este de ce si-au pierdut timpul doar cu atat, cand ar putea face mult mai multe, ca de exemplu sa transmita malware. Aceste website-uri sunt foarte populare si e foarte usor de remarcat daca ceva este in neregula cu ele. E posibil sa fie si altele alterate pentru a provoca daune, iar ceea ce s-a vazut pana acum sa reprezinte doar o momeala" spune Catalin Cosoi, Chief Security Strategist, Bitdefender.

UPDATE 3:

 Dupa 13.00 google.ro poate fi accesat fara probleme. Ceii de la Kaspersky spun ca problema de DNS-urile Google s-a rezolvat la 13.03.

"Cand am aflat despre acest incident, am fost destul de sceptici cu privire la atac,￯ a declarat Stefan Tanase de la Kaspersky Lab Romania. ￯Un site atat de mare cum este Google poate fi spart, in teorie, dar este foarte putin probabil. Apoi, am observat ca ambele domenii ajung la o adresa IP situata in Olanda: 95.128.3.172 (server1.joomlapartner.nl) " asa ca pare mai degraba un atac de tip DNS poisoning￯
, spune Stefan Tanase, specialist la Kaspersky.

La ora 11:15 google.ro tot nu putea fi accesat de catre unii utilizatori, problemele sunt de cel putin trei ore. Google.com merge fara probleme. La ora 12.45 Google.ro pare sa mearga pentru tot mai mult useri. Subiectul este tratat si de site-uri internationale cunsocute, cum ar fi TechCrunch.

UPDATE 2: Site-ul Softpedia scrie, in articolul in care anunta problemele Google si Yahoo!, ca hackerul algerian MCA-CRB are, conform profilului de pe www.zone-h.org la activ peste 5.000 de atacuri "5,530 of which 1,176 single ip and 4,354 mass defacements"

Softpedia mai noteaza ca astfel de redirectionari nu sunt rare, chiar saptamana trecuta site-uri ale Google, Yahoo!, Microsoft, PayPal, eBay, HP si Apple din Pakistan fiind victimele unui atac similar.

"Serviciile Google din Romania nu au fost atacate. Pentru o perioada scurta de timp, unii utilizatori care viziteaza www.google.ro si cateva alte adrese de web au fost redirectionati catre un alt site web. Am fost in contact cu organizatia responsabila cu gestionarea numelor de domenii din Romania", spun oficialii Google Romania.

HotNews.ro nu a putut lua legatura cu reprezentantii ICI.

Problema nu este generala, google.ro putand fi accesat de catre unii utilizatori, atat de pe calculatoare cat si de pe smartphone-uri.

Potrivit go4it.ro, citat de Mediafax, si site-ul yahoo.ro a fost afectat de atac.

UPDATE
: Pe securelist, blogul furnizorului de solutii de securitate antivirus Kaspersky, un articol analizeaza situatia si da cateva scenarii posibile.

Unul ar fi ca RoTLD (Romanian Top Level Domain Registrar) ar fi fost "spart", astfel incat hackerii au avut acces la toate setarile DNS ale domeniilor .ro. Scenariul este insa putin probabil, fiindca nu toate domeniile .ro au fost afectate, spun cei de la Kaspersky.

O alta ipoteza ar fi ca au fost compromise conturile Google si Yahoo!, iar hackerii au schimbat setarile DNS. Nici acest scenariu nu este foarte posibil, din moment ce nu doar Google si Yahoo au avut de suferit, ci si cele ale Microsoft si PayPal.

Cel mai probabil este ca atacul de tip DNS poisoning se intampla la nivelul ISP-urilor in Romania, iar unele domenii sunt redirectionate, iar altele, nu, mai spun cei de la Kaspersky.

Grafic al situatiei atacurilor DNS poisoning asupra Google.ro
Foto: Kaspersky
Compania mai spune ca lucrurile puteau sta mult mai rau daca atacatorii nu ar fi dorit doar sa posteze un mesaj, ci ar fi ales sa redirectioneze userii catre o pagina de phishing, existand pericolul ca multe conturi sa fie compromise. Intr-un update al postarii de pe blog, ceii de la Kaspersky spun ca problema de DNS-urile Google s-a rezolvat la 13.03.

Despre atacuri si despre hackerii algerieni

Trebuyie spus ca hackerii algerieni sunt cunsocuti pentru atacurile sale si, alaturi de alti hackeri din tari precum Maroc si Tunisia au atacat in ultimele luni mai multe site-uri guvernamentale din tari precum Israel, India si Pakistan.

Acest atac nu este unul direct asupra paginilor si continutului real, ci un atac asupra serverelor DNS, care interpreteaza adresele Web cerute si le directioneaza catre adresele IP reale. Printr-un atac de tip DNS poisoning, in care sunt livrate informatii false catre celelalte servere DNS si care se propaga astfel catre utilizator, atacatorii pot redirectiona traficul catre un server rulat de ei. In cazul de fata, redirectionarea se face catre niste servere stocate in datacenter-ul EMango din Olanda.

Utilizatorii trebuie sa fie atenti la paginile vizitate deoarece atacatorii pot livra fisiere malware sau pretinde date de autentificare. Fiecare browser afiseaza, intr-o forma sau alta, certificatele de securitate ale paginii vizitate iar acestea trebuie sa fie valide.




Citeste mai multe despre   












[P] Camera Consultantilor Fiscali organizeaza examen de atribuire a calitatii de consultant fiscal sau de consultant fiscal asistent in Bucuresti, in data de 4 noiembrie 2017

Camera Consultantilor Fiscali este organizatia profesionala de utilitate publica care coordoneaza activitatea de consultanta fiscala din Romania si are in evidenta peste 5.500 de membri la nivel national. Inscrierile la examen se fac in perioada 2 octombrie 2017 - 20 octombrie 2017 pe site-ul http://www.ccfiscali.ro/.

85423 vizualizari

  • +20 (20 voturi)    
    Nu a fost spart Google (Miercuri, 28 noiembrie 2012, 9:15)

    AlexEftimie [anonim]

    Ci ROTLD :)
    • +5 (7 voturi)    
      și (Miercuri, 28 noiembrie 2012, 9:23)

      methylique [utilizator] i-a raspuns lui AlexEftimie

      și la această ora (9:23) google.ro funcționează.
      • -9 (13 voturi)    
        tzucalarul de zukenberg (Miercuri, 28 noiembrie 2012, 9:59)

        snowflake [utilizator] i-a raspuns lui methylique

        tzucalarul de zukenberg ar trebui sa le dea un premiu echipei: Mr-AdeL & i-Hmx & Lagripe-Dz All Members Sec
    • -15 (19 voturi)    
      ciudat (Miercuri, 28 noiembrie 2012, 11:31)

      Vladutz_Anton [utilizator] i-a raspuns lui AlexEftimie

      pagina e penibila, si cred ca e o facatura ieftina. Google sa nu fie in stare sa inlocuiasca pagina aia de cacao in atatea ore??? Come on.. scoteau serverele din priza decat sa se umple de maron.
      Mai degraba cred ca se vrea un motiv bun pentru o mai mare cenzura si control pe internet, sau un alt scop pe care nu-l vad eu acum.
      • +6 (8 voturi)    
        mai bine taci (Miercuri, 28 noiembrie 2012, 12:11)

        greezly [utilizator] i-a raspuns lui Vladutz_Anton

        Din comentariul tau se vede ca nu ai nici cele mai elementare cunostinte de cum functioneaza DNS-ul, TTL, Refresh interval
        • -11 (13 voturi)    
          cand lucram eu cu astea tu te incaltai cu fesu (Miercuri, 28 noiembrie 2012, 12:30)

          Vladutz_Anton [utilizator] i-a raspuns lui greezly

          Veniti cu tot felu de sofisme ieftine si scenarii fanteziste legate de DNS spoofing fara a vedea the big picture. Treaba se prelungeste total nejustificat pentru o asemenea problema de 2 lei. Sigur ca pentru orice chestie tehnica se gasesc cate unii inteligenti wanna be care nu stiu decat sa dea cu sapa la ei pe tarla si care gasesc o explicatie pentru orice, cum se intampla si-n situatia de fata.
          • +5 (5 voturi)    
            chiar lucrez cu "de astea" si stiu ce vorbesc (Miercuri, 28 noiembrie 2012, 12:38)

            greezly [utilizator] i-a raspuns lui Vladutz_Anton

            intamplator chiar asta este unul din lucrurile pe care le fac destul de des; in momentul in care ai un IP gresit pentru o anumita inregistrare, spune-mi te rog cum il propagi imediat dupa ce l-ai schimbat, cum golesti cache-urile tutoror resolver-elor DNS? tot ce poti sa faci e sa astepti, de-asta fac schimbari de IP-uri la ore cu foarte putin trafic (3-4 dimineata);
            Dar inainte de asta micsorez si TTL-ul pentru o propagare mai rapida, dar ce te faci cand TTL-ul e cel default (care in general e mare)? Degeaba il schimbi in momentul in care faci modificarea, tot va dura ceva pana se va propaga
            • -4 (4 voturi)    
              e corect ce zici (Miercuri, 28 noiembrie 2012, 13:20)

              Vladutz_Anton [utilizator] i-a raspuns lui greezly

              dar e paralel cu tema data si nu e cauza problemei. Daca a fost spart rotld de ce au mers celelalte site-uri .ro? Daca pe unele resolvere TTL-ul e default mare de ce totusi google.ro nu a mers nicaieri ? Sau cache-ul functioneaza doar cand trebuie reparata problema, nu si cand ea apare ?
              • 0 (0 voturi)    
                Nu fiti fraieri si va certati.. (Joi, 29 noiembrie 2012, 1:15)

                Ellias [utilizator] i-a raspuns lui Vladutz_Anton

                Scopul era altul: sa poata pune /scoate de pe google toate postarile incriminatorii ale "viitorilor alesi"...nu pricepeti ca acum cu Google, toti pot intra si afla cine ce a facut in "tinerete"...asta e scopul, nu hackerii. :))
          • +2 (6 voturi)    
            stai jos (Miercuri, 28 noiembrie 2012, 12:48)

            aricipogonici [utilizator] i-a raspuns lui Vladutz_Anton

            te faci de cacao
          • +2 (2 voturi)    
            stai... (Miercuri, 28 noiembrie 2012, 12:56)

            B.Dan [utilizator] i-a raspuns lui Vladutz_Anton

            Omule, linisteste-te! De ce sa scoata serverele din priza cand de fapt nu de acolo e problema? Siteul google putea fi accesat direct cu IPul insa problema era cu domeniul (google.ro) care redirectiona in alta parte. Mecanismul de baza e simplu... un site se afla pe un server care are un IP (basic). Acel site poate fi accesat introducand acel IP, insa nu este deloc prietenos sa accesezi un site dupa o insiruire aparent aleatoare de cifre (sau litere in unele cazuri). Astfel au aparut domeniile (.ro, .com si multe altele... chiar si personalizabile) care practic fac legatura unui IP cu un nume frumos (precum google.ro). Toate aceste legaturi se afla intr-o baza de date a unui top level domain (cele .ro la rotld) iar daca cineva intra si schimba legaturile pe acolo poate iesi ceva asemanator cu ce a fost azi. In plus, aceste schimbari nu se fac instant, ci exista o intarziere din momentul in care faci schimbarea si momentul in care schimbarea intra in vigoare. Succes!
            • -5 (5 voturi)    
              merci mult (Miercuri, 28 noiembrie 2012, 13:33)

              Vladutz_Anton [utilizator] i-a raspuns lui B.Dan

              emani inteligenta atat pe cablu cat si wireless. De ce celelalte site-uri .ro au mers daca a fost spart rotld ?
              Treburile sunt dinamice si se schimba rapid, si sunt curios care a fost problema initiala. Ca acum pare o problema locala de DNS asta nu inseamna ca e aceeasi cu problema initiala.
              • +3 (3 voturi)    
                n-ai cu cine... (Miercuri, 28 noiembrie 2012, 14:27)

                B.Dan [utilizator] i-a raspuns lui Vladutz_Anton

                Eu nu te-am jignit prin ironii si nici nu ti-am vorbit urat, dar cand esti la fel de destept precum o bucata de lemn tinzi sa o iei pe aratura. In fine...
                Celelalte siteuri .ro au mers pentru ca au fost vizate numai unele dintre ele. D-aia nu mai poate algerianu' ca nu-ti merge tie gsp.ro sau altele asemanatoare. Ei au vrut sa demonstreze ceva... Nu ma intreba ce, ca nu stiu si nici nu ma intereseaza.
                Mie mi-a mers google.ro pe tot parcursul zilei (chiar si la aparitia stirei). De aici iti dai seama ca a fost o problema cu un singur DNS (sau mai multe, dar clar nu toate)...
                • +1 (1 vot)    
                  lasa-l in pace (Miercuri, 28 noiembrie 2012, 15:30)

                  greezly [utilizator] i-a raspuns lui B.Dan

                  nu are rost!
          • 0 (0 voturi)    
            hahahaha (Miercuri, 28 noiembrie 2012, 18:49)

            gigel123 [utilizator] i-a raspuns lui Vladutz_Anton

            ....caraghiosule.

            Eu zic sa taci pana nu te umplii complet de ridicol cu a ta "the big picture"
  • +3 (3 voturi)    
    corectie (Miercuri, 28 noiembrie 2012, 9:26)

    -Ovidiu- [utilizator]

    A-ul pentru 8.8.8.8 a fost spart
    8.8.4.4 e ok.
    • +3 (9 voturi)    
      nasol (Miercuri, 28 noiembrie 2012, 9:45)

      eem [utilizator] i-a raspuns lui -Ovidiu-

      Eu am setat 8.8.8.8 ca si primary dns in router ( cel de la provider cadea de 3 ori pe zi). Acum nu sunt sigur ca postez pe hotnews.ro sau pe o clona setata de hacker :(
      • +3 (3 voturi)    
        loool (Miercuri, 28 noiembrie 2012, 10:29)

        Dr.Mythnick [utilizator] i-a raspuns lui eem

        nu fi crizat...
    • +1 (1 vot)    
      in ce sens? (Miercuri, 28 noiembrie 2012, 11:05)

      cco [utilizator] i-a raspuns lui -Ovidiu-

      dns hijacking? poisoning? chiar a "spart" vreun
      server de dns (nu m-as mira pt. ca bind-ul colcaie de bug-uri)

      exista vreun articol care documenteaza atacul?
      • +1 (1 vot)    
        Nu ruleaza bind (Miercuri, 28 noiembrie 2012, 12:06)

        -Ovidiu- [utilizator] i-a raspuns lui cco

        Google nu ruleaza bind ci chestii inhouse :)

        https://developers.google.com/speed/public-dns/faq#bind
        • +1 (1 vot)    
          google nu, dar top levelul .ro ?? (Miercuri, 28 noiembrie 2012, 18:07)

          cco [utilizator] i-a raspuns lui -Ovidiu-

          oricum acum in era postmoderna a script kiddies, lucrurile sunt mai usoare.
          ati citit asta:

          http://www.iedr.ie/docs/IEDR_Statement_F_issued_9_November_2012.pdf

          care documenteaza un atac similar?
  • +2 (2 voturi)    
    GOOGLE.ro "spart" de MCA-CRB - Algerian Hacker (Miercuri, 28 noiembrie 2012, 9:39)

    cainesony [utilizator]

    Cine este MCA - CRB ?
    vezi:
    CRB 2- MCA 4-شباب بلوزداد 2-4-مولودية الجزائر
    http://www.youtube.com/watch?v=4Mhk3ckesHQ
    vezi imaginea pe:
    http://www.scribd.com/doc/114716921/GOOGLE-ro-spart-by-MCA-CRB-Algerian-Hacker
  • +2 (4 voturi)    
    eu pun banii (Miercuri, 28 noiembrie 2012, 9:51)

    rakkone [utilizator]

    Pe spargerea unuia dintre ns1.google.com ... ns4.google.com care sunt autoritative pentru google.ro , pe ele a fost modificat A-ul google.ro. A fost redirectat cu TTL mare catre un IP (sunt bou, l-am sters) unde era pagina cu pricina, pagina cu pricina statica (astfel incat si proxyurile/caching web sunt date peste cap si otravite, servesc tot pagina eronata chiar daca intre timp pb s-a rezolvat) .
    Solutii:
    - Daca gestionati servere DNS, clear cache pe ele, apoi clientii ipconfig /flushdns sau restart. Daca aveti doar PC local, fie restart fie ipconfig /flushdns. Rezolvati astfel pb DNSului
    - Daca aveti proxyuri, sters cache si reintializat DNS client. Altfel, la PCul local sterse Temp files.
  • +6 (6 voturi)    
    DNS injector (Miercuri, 28 noiembrie 2012, 9:57)

    leeloo2 [utilizator]

    Nu mai sariti tot timpul cu spargeri, hackeri si dinastea, in general este lucratura pe DNS pentru ca e un serviciu vulnerabil din oficiu nu este problema serverului/cache-ului site-ului.
  • +2 (2 voturi)    
    DNS poisoning (Miercuri, 28 noiembrie 2012, 11:33)

    Khyan [utilizator]

    Kaspersky: "our best guess is that an ISP-level DNS poisoning attack is happening in Romania" http://www.securelist.com/en/blog/208194028/Google_ro_and_other_RO_domains_victims_of_a_possible_DNS_hijacking_attack
    • +3 (3 voturi)    
      a (Miercuri, 28 noiembrie 2012, 12:07)

      -Ovidiu- [utilizator] i-a raspuns lui Khyan

      Destul de posibil. Romtelecom, RDS si UPC au fost cu totii otraviti.

      Oricum nu e nimica grav, interesant era daca livrau malware.
      • +2 (2 voturi)    
        RDS pare sa mearga (Miercuri, 28 noiembrie 2012, 12:48)

        break_noon [utilizator] i-a raspuns lui -Ovidiu-

        sunt pe RDS si nu am vazut probleme cu google.ro

        nici acum nu sunt, nici mai devreme.

        poate depinde si de oras
  • -9 (9 voturi)    
    pai, (Miercuri, 28 noiembrie 2012, 11:34)

    Cezy [utilizator]

    si eu am avut ceva probleme cu Firefox....
  • +1 (1 vot)    
    a fost la nivel DNS (Miercuri, 28 noiembrie 2012, 13:19)

    iMadalin [anonim]

    Varianta cu modificarea ip-urilor prin DNS la nivelul de ISP e cea adevărată.

    De mult timp am setate pe toate conexiunile la internet cele 2 ip-uri publice de DNS de la Google (8.8.8.8 și 8.8.4.4) și nu am fost afectat la nici unul din cazurile menționate, inclusiv pentru alte domenii ce au fost afectate.

    Toată dimineața mi-au mers toate site-urile ok.
  • 0 (0 voturi)    
    RoTLD DNS (Miercuri, 28 noiembrie 2012, 20:28)

    Khyan [utilizator]

    Kaspersky a ajuns la aceiasi concluzie - cel mai probabil scenariu. Sunt curios daca RoTLD isi va face timp sa dea un comunicat sau va tace malc ca pana acum.
  • -1 (1 vot)    
    Frumoasa limba romana (Joi, 29 noiembrie 2012, 8:24)

    dan0779 [utilizator]

    "Trebuyie spus ca hackerii algerieni sunt cunsocuti pentru atacurile sale si..."

    Frumos scris! Nu stiu cine le da voie sa publice asa ceva. Nu ma refer la greseala de redactare de la inceput, ci ma refer la "hakerii si atacurile sale".:))
  • +1 (1 vot)    
    comunicat ici/rotld?? (Joi, 29 noiembrie 2012, 10:31)

    cco [utilizator]

    incredibil ca nu au dat inca nici un comunicat...
    merg pe burta.
  • 0 (0 voturi)    
    hackerii ne dau noua lectii de hackereala :) (Sâmbătă, 1 decembrie 2012, 10:19)

    Gmer [utilizator]

    Nu stiu ce sa spun despre hackeri algerieni cert e ca cei romani sunt net superiori la acest capitol si in general la Informatica si programare , cat depre google.ro , cei care au o antivirus buni nu au fost redirectionati sau infectati daca au intrat pe google in acele minute .......mai bine spargeau servrele d la Voxility si providerul care serveste Realitatea TV care de fiecare data cand intru pe acel site sa mai citesc o stire , antivirusul meu Malwarebytes blockeaza un ip care cica este infectat ......Deci ar fi mai bine sa va face-ti Curat in propria Curte si apoi sa cautati nod in papura !!!! Kaspersky sunt cei mai tari nota 10 + pentru ei cele mai bune softuri sunt de la ei si merita banii pe Licenta la antivirus pe viitor imi iau si eu o licenta de la ei :D


Abonare la comentarii cu RSS

Top 5 articole cele mai ...



Hotnews
Agenţii de ştiri

Siteul Hotnews.ro foloseste cookie-uri. Cookie-urile ne ajută să imbunatatim serviciile noastre. Mai multe detalii, aici.
hosted by
powered by
developed by
mobile version