Incidentul de miercuri, cand site-ul google.ro nu a functionat cateva ore, userii fiind redirectionati catre un mesaj al unui hacker algerian, nu s-a petrecut din vina Google ale carui servicii au fost functionale, a spus pentru HotNews.ro Dan Bulucea, seful Google Romania. El adauga ca Google nu cere deschiderea unei anchete, dar precizeaza ca incidentul este un semnal pentru viitor in legatura cu modul in care securitatea informatica trebuie tratata. Administratorul de domenii .ro, Institutul National de Cercetare in Informatica -ICI -, nu a dat nici pana acum o reactie, desi companiile de securitate informatica arata cu degetul spre sistemul ROTLD.

Incidentul a afectat site-uri precum yahoo.ro, microsoft.ro, hotmail.ro, windows.ro, kaspersky.ro si paypal.ro, iar problema a tinut de faptul ca un timp userii nu au putut intra pe ele, fiind redirectionati catre alte adrese IP decat cele reale, din cauza actiunii unui hacker algerian care mai are la activ cateva mii de atacuri.

Cel mai mare rasunet l-a avut insa faptul ca google.ro nu a putut fi accesat de multi useri intre orele 8 si 13 si, chiar daca google.com si serviciile companiei au functionat normal, subiectul a fost amplu tratat nu doar la noi, ci si in presa internationala de specialitate

"Incidentul de ieri n-are nimic de-a face cu noi (...) Noi si multe alte site-uri am avut de suferit pe partea de imagine", a spus pentru HotNews.ro seful Google Romania, intr-un scurt interviu la evenimentul la care compania a anuntat cine a castigat concursul pentru doodle-ul de 1 decembrie.

"Suntem intr-o legatura constanta cu autoritatea care se ocupa de domenii si pe undeva trebuie sa vedem in ce masura aceste brese de securitate pot fi evitate pe viitor", a spus Dan Bulucea, intrebat ce face Google in legatura cu incidentele de securitate informatica petrecute miercuri.

Administratorul de domenii .ro,- Institutul National de Cercetare in Informatica -ICI -, nu a dat nici la aproape 36 de ore o reactie, desi companiile de securitate informatica arata cu degetul spre sistemul ROTLD.

"Site-ul nostru n-a fost o clipa jos, serviciile noastre au fost complet functionale pentru multi utilizatori. Depindea si de ISP-ul care era utilizat. Nu a fost serviciul afectat in masura atat de mare incat sa discutam de asa ceva", a spus Dan Bulucea, intrebat daca Google va sesiza autoritatile sau daca va cere o ancheta in legatura cu cele intamplate. "Nu avem nicio discutie in legatura cu astfel de masuri, deocamdata suntem in faza in care incercam sa vedem ce s-a intamplat"

"Mai degraba l-as lua ca un semnal pentru viitor in legatura cu astfel de atacuri, fiindca securitatea pe internet trebuie tratata cu maxima seriozitate", mai spune el.

"Cred ca la noi a fost o frenezie, aproape o avalansa, de la o concluzie trasa gresit initial", a mai spus Bulucea, referindu-se la articolele in care s-a scris ca site-ul Google a fost "spart".

Incidentul a fost comentat de Kaspersky si Bitdefender, companiile de securitate venind cu o serie de scenarii posibile.

Kaspersky

"Cand am aflat despre acest incident, am fost destul de sceptici cu privire la atac,￯ a declarat Stefan Tanase de la Kaspersky Lab Romania. ￯Un site atat de mare cum este Google poate fi spart, in teorie, dar este foarte putin probabil. Apoi, am observat ca ambele domenii ajung la o adresa IP situata in Olanda: 95.128.3.172 (server1.joomlapartner.nl) " asa ca pare mai degraba un atac de tip DNS poisoning, spunea Stefan Tanase, specialist la Kaspersky.

Compania analizeaza situatia si da cateva scenarii posibile.

Unul ar fi ca RoTLD (Romanian Top Level Domain Registrar) ar fi fost "spart", astfel incat hackerii au avut acces la toate setarile DNS ale domeniilor .ro. Scenariul este insa putin probabil, fiindca nu toate domeniile .ro au fost afectate, spun cei de la Kaspersky.

O alta ipoteza ar fi ca au fost compromise conturile Google si Yahoo!, iar hackerii au schimbat setarile DNS. Nici acest scenariu nu este foarte posibil, din moment ce nu doar Google si Yahoo au avut de suferit, ci si cele ale Microsoft si PayPal.

Cel mai probabil este ca atacul de tip DNS poisoning se intampla la nivelul ISP-urilor in Romania, iar unele domenii sunt redirectionate, iar altele, nu, mai spun cei de la Kaspersky.

Compania mai spune ca lucrurile puteau sta mult mai rau daca atacatorii nu ar fi dorit doar sa posteze un mesaj, ci ar fi ales sa redirectioneze userii catre o pagina de phishing, existand pericolul ca multe conturi sa fie compromise.

Bitdefender

"Atacul, revendicat de gruparea Algerian Hacker, a reusit sa afecteze serverele de DNS locale ale furnizorilor de internet, inclusiv serviciul de DNS gratuit al Google. Se pare ca IP-ul folosit in atac a fost modificat in sistemul furnizorului de domenii de internet RoTLD DNS si astfel propagat catre toate serverele DNS ale furnizorilor de servicii de internet.

Foarte important este ca IP-ul a fost propagat si in serviciul DNS al Google (8.8.8.8 si 8.8.4.4). O parte dintre furnizorii de servicii de internet si-au reimprospatat rezolutiile locale pentru google.ro, in timp ce altii inca mai folosesc rezultatele furnizate in timpul atacului.

Se pare ca un grup organizat tinteste, de asemenea, sistemele nationale TLD, din moment ce atacul din Romania este al patrulea incident dupa Irlanda, Pakistan si Israel. Toate incidentele au avut loc in doar o luna de zile.

Gruparea Algerian Hacker Group reuneste 200 de echipe mai mici de hackeri si presupunem ca incidentul de astazi a fost provocat de una dintre ele. Tarile vizate pana acum sunt Pakistan, Irlanda si Romania, iar atacurile au tintit aceleasi domenii in toate aceste tari.

Intrebarea care se pune este de ce si-au pierdut timpul doar cu atat, cand ar putea face mult mai multe, ca de exemplu sa transmita malware. Aceste website-uri sunt foarte populare si e foarte usor de remarcat daca ceva este in neregula cu ele. E posibil sa fie si altele alterate pentru a provoca daune, iar ceea ce s-a vazut pana acum sa reprezinte doar o momeala" spunea Catalin Cosoi, Chief Security Strategist, Bitdefender.

UPDATE: Ca reactia la faptul ca in articol a fost mentionat si paypal.ro in randul site-urilor afectate de atac, reprezentantii companiei au spus pentru HotNews ca site-ul PayPal Romania a fost functional tot timpul.