Administratorul de domenii .ro admite la abia cinci zile dupa incident ca a avut loc un atac informatic asupra server-elor sale

de Vlad Barza     HotNews.ro
Luni, 3 decembrie 2012, 19:36 Economie | IT


Institutul National de Cercetare in Informatica -ICI - care administreaza serviciul RoTLD, a admis abia la cinci zile dupa atacul informatic ce a afectat functionarea google.ro si yahoo.ro ca server-ele sale au fost atacate. Institutul spune ca a stabilit o comisie de analiza care-si va publica rezultatele in curand. HotNews a cerut o opinie de la ICI inca din 28 noiembrie, insa nu a primit niciun raspuns.

ICI a publicat pe site-ul sau un comunicat in care admite ca a fost victima unui atac si spune ca o comisie analizeaza cele intamplate.

"In noaptea de 27/28 noiembrie 2012 a avut loc un atac asupra server-ului de Administrare Domenii ro. Au fost modificate nameserver-ele la cateva domenii larg utilizate cum sunt google.ro, yahoo.ro, redirectandu-le catre o alta pagina de web. In interval de cateva ore a fost restabilita functionarea domeniilor afectate.

In vederea analizarii cauzelor incidentului a fost stabilita o comisie la nivelul institutului si au fost luate o serie de masuri imediate, menite sa diminueze posibilitatea unor incidente nedorite de acest gen.

In perioada imediat urmatoare rezultatele Comisiei de analiza vor fi facute publice. Serverele DNS nu au fost afectate iar pe serverele RoTLD nu sunt stocate date despre tranzactiile financiare",
se spune in comunicatul de pe rotld.ro.

Incidentul a afectat site-uri precum yahoo.ro, microsoft.ro, hotmail.ro, windows.ro si kaspersky.ro si, iar problema a tinut de faptul ca un timp userii nu au putut intra pe ele, fiind redirectionati catre alte adrese IP decat cele reale, din cauza actiunii unui hacker algerian care mai are la activ cateva mii de atacuri.

Cel mai mare rasunet l-a avut insa faptul ca google.ro nu a putut fi accesat de multi useri intre orele 8 si 13 si, chiar daca google.com si  serviciile companiei au functionat normal, subiectul a fost amplu tratat nu doar la noi, ci si in presa internationala de specialitate

"Incidentul de ieri n-are nimic de-a face cu noi (...) Noi si multe alte site-uri am avut de suferit pe partea de imagine", a spus pentru HotNews.ro seful Google Romania, Dan Bulucea care a precizat ca Google nu va depune plangere.

Incidentul a fost comentat de Kaspersky si Bitdefender, companiile de securitate venind cu o serie de scenarii posibile.

Kaspersky

"Cand am aflat despre acest incident, am fost destul de sceptici cu privire la atac,￯ a declarat Stefan Tanase de la Kaspersky Lab Romania. ￯Un site atat de mare cum este Google poate fi spart, in teorie, dar este foarte putin probabil. Apoi, am observat ca ambele domenii ajung la o adresa IP situata in Olanda: 95.128.3.172 (server1.joomlapartner.nl) " asa ca pare mai degraba un atac de tip DNS poisoning, spunea Stefan Tanase, specialist la Kaspersky.

Compania analizeaza situatia si da cateva scenarii posibile.

Unul ar fi ca RoTLD (Romanian Top Level Domain Registrar) ar fi fost "spart", astfel incat hackerii au avut acces la toate setarile DNS ale domeniilor .ro. Scenariul este insa putin probabil, fiindca nu toate domeniile .ro au fost afectate, spun cei de la Kaspersky.

O alta ipoteza ar fi ca au fost compromise conturile Google si Yahoo!, iar hackerii au schimbat setarile DNS. Nici acest scenariu nu este foarte posibil, din moment ce nu doar Google si Yahoo au avut de suferit, ci si cele ale Microsoft si PayPal.

Cel mai probabil este ca atacul de tip DNS poisoning se intampla la nivelul ISP-urilor in Romania, iar unele domenii sunt redirectionate, iar altele, nu, mai spun cei de la Kaspersky.

Compania mai spune ca lucrurile puteau sta mult mai rau daca atacatorii nu ar fi dorit doar sa posteze un mesaj, ci ar fi ales sa redirectioneze userii catre o pagina de phishing, existand pericolul ca multe conturi sa fie compromise.

Bitdefender

"Atacul, revendicat de gruparea Algerian Hacker, a reusit sa afecteze serverele de DNS locale ale furnizorilor de internet, inclusiv serviciul de DNS gratuit al Google. Se pare ca IP-ul folosit in atac a fost modificat in sistemul furnizorului de domenii de internet RoTLD DNS si astfel propagat catre toate serverele DNS ale furnizorilor de servicii de internet.

Foarte important este ca IP-ul a fost propagat si in serviciul DNS al Google (8.8.8.8 si 8.8.4.4). O parte dintre furnizorii de servicii de internet si-au reimprospatat rezolutiile locale pentru google.ro, in timp ce altii inca mai folosesc rezultatele furnizate in timpul atacului.

Se pare ca un grup organizat tinteste, de asemenea, sistemele nationale TLD, din moment ce atacul din Romania este al patrulea incident dupa Irlanda, Pakistan si Israel. Toate incidentele au avut loc in doar o luna de zile.
 
Gruparea Algerian Hacker Group reuneste 200 de echipe mai mici de hackeri si presupunem ca incidentul de astazi a fost provocat de una dintre ele. Tarile vizate pana acum sunt Pakistan, Irlanda si Romania, iar atacurile au tintit aceleasi domenii in toate aceste tari.

Intrebarea care se pune este de ce si-au pierdut timpul doar cu atat, cand ar putea face mult mai multe, ca de exemplu sa transmita malware. Aceste website-uri sunt foarte populare si e foarte usor de remarcat daca ceva este in neregula cu ele. E posibil sa fie si altele alterate pentru a provoca daune, iar ceea ce s-a vazut pana acum sa reprezinte doar o momeala" spunea Catalin Cosoi, Chief Security Strategist, Bitdefender.






Citeste doar ceea ce merita. Urmareste-ne si pe Facebook si Instagram.





3971 vizualizari

  • -4 (4 voturi)    
    :) (Luni, 3 decembrie 2012, 19:53)

    Analfabet [utilizator]

    Intrebarea din final ridica suspiciuni cu privirea la competenta celui de la BitDefender. Poate nu e datoria lui sa cunoasca aceste lucruri, dar acel hacker cu siguranta nu a vrut sa provoace pagube, ci doar sa-si arate abilitatile, sa trimita un mesaj. Nu e vorba de nicio momeala. Marea problema a fost ca software-ul instalat pe acele servere nu a fost actualizat in timp util si s-a profitat de acea gaura de securitate.
    • +3 (3 voturi)    
      la bulău cu ei (Luni, 3 decembrie 2012, 21:34)

      Trabucodonosor [utilizator] i-a raspuns lui Analfabet

      Eu sunt căpşunar, iar casele din cartier nu au garduri. De ce? Pentru că nu există infracţionalitate. Proprietarii au pechinezi, yorkshire şi pisici. Nu garduri de beton, cu ţepuşe şi sârmă ghimpată, nu rotweilleri, nu dobermani, nu pitbulli ca la tine-n "zonă". Nu trăieşte nimeni cu stress-ul "dacă-mi sparge cineva casa", banii care la time se duc pe alarme, garduri, câini de luptă, pază, aici se duc pe florile plantate pe străzi, pe curăţenie.

      Pe "abili" d-ăştia de te dau pe tine pe spate de admiraţie, eu i-aş băga la bulău pe două'j de ani, la regim sever 2m x 2m cu becul aprins noaptea şi dormit pe podeaua de ciment, cu buda sub nas.
  • +5 (5 voturi)    
    mda (Luni, 3 decembrie 2012, 20:14)

    I [utilizator]

    inca o institutie de stat plina cu incompetenti.
    • +5 (5 voturi)    
      Aşa-i (Luni, 3 decembrie 2012, 20:40)

      EmanuelGug [anonim] i-a raspuns lui I

      Aici e paradoxul.
      Avem o ţară plină de informaticieni pricepuţi, exportăm programatori şi ingineri de sistem în cantităţi industriale, şi nu suntem în stare să protejăm un amărât de DNS.

      Păi cu banii pe care i-au încasat anul trecut (milioane de euro), puteau da 500 € la o firmă specializată să le configureze serverele cum trebuie.
      • +1 (1 vot)    
        Paradox sau nu (Marţi, 4 decembrie 2012, 11:05)

        aqualung [utilizator] i-a raspuns lui EmanuelGug

        Nu e niciun paradox. Informaticienii pricepuți se găsesc în *mediul privat*. Ei sunt cei cu o carte de vizită bună în străinătate: cei cărora li se evaluează competențele, sunt încurajați să se dezvolte în beneficiul comun al angajatorului și al angajatului; sau care lucrează pe cont propriu, ca freelanceri, bazându-se doar pe propria competență.

        roTLD este administrat de o instituție a statului, plină de absolvenți de informatică de la Spiru Haret, angajați pe pile. Este motivul pentru care de vreo 7 ani refuz să-mi înregistrez un domeniu .ro, când mă bazez mai degrabă pe servicii de înregistrare serioase din TLD-urile .com, .info, .net.

        PS: ca detaliu, după povestea asta a cam ieșit la iveală public (în mod evident, că se cam știa deja) faptul că la roTLD parolele și datele financiare ale celor care plătesc cu cardul se țin în clar într-o bază de date.
  • +4 (4 voturi)    
    mda si cu comisia... (Luni, 3 decembrie 2012, 20:42)

    ciubex [utilizator]

    Daca e sa ingropi ceva in Romania, faci rost de o comisie :)
    Cu siguranta comisia va rezolva problema, inainte de sfarsitul lumii ... de pe 21 decembrie.
    Ah, am uitat... noi suntem in urma cu vreo cateva zeci de ani, deci mai e pana la noi. :)
  • +1 (1 vot)    
    DNSSEC rotld.ro (Luni, 3 decembrie 2012, 23:39)

    xtraiq [anonim]

    Bine bucur ca s-a intamplat acum, ca e vremea bugetarii si poate se bugeteaza putin DNSSEC si alte securitati pe la ROTLD in curte. De ce sa aiba doar scandinavii, germanii, austriecii, .eu sau cehii. De mai multa securitate informationala nu avem bani, ca nu se vede. Dac-ar fi umblat putin la mx-uri poate aveam si ceva mail-uri poshtite gresit, sa fi vazut atunci distractie.....


Abonare la comentarii cu RSS

ESRI

Întâlniri on-line | #deladistanță

Top 10 articole cele mai ...



Hotnews
Agenţii de ştiri

Siteul Hotnews.ro foloseste cookie-uri. Cookie-urile ne ajută să imbunatatim serviciile noastre. Mai multe detalii, aici.



powered by
developed by