S-a spart ROTLD? A câta oară?

Glumim, râdem, dar mizeria de ieri continuă şi azi. Ieri un hacker alegerian a pătruns în sistemul informatic al ROTLD şi a schimbat pe acolo nişte chestii, astfel încât la accesarea unor domenii, utilizatorul să fie redirectat în altă parte decât ar fi fost normal. Operaţiunea poartă numele de DNS Poisoning, iar titlul “google.ro a fost spart” e incorect şi induce în eroare.

Problema a persistat în cursul zilei de ieri. Azi au apărut detalii noi:

  1. Unul ar fi că baza de date cu domeniile a fost compromisă. Lucru care n-ar fi neapărat rău (sunt doar 600.000 adrese de email), dacă parolele pentru domenii n-ar fi stocate în clar. Adică acum băiatul ăla care a luat baza de date poate obţine controlul asupra oricărui domeniu doreşte. 
  2. Altul că nici după 24 de ore ROTLD nu a reparat problema şi au preferat să reseteze parolele unor utilizatori. Eu am schimbat de ieri nameserverele unui domeniu, dar acestea nu s-au propagat încă, semn că problema nu e rezolvată.
  3. ROTLD face ce ştie mai bine: tace şi speră să nu observe nimeni. Şi dacă observă oricum nu se întâmplă nimic, pentru că Eugenie Stăicuţ, inginerul care conduce ROTLD, are spate politic. Trebuie să fii naiv să nu presupui că cel puţin jumătate din cele 18 milioane de euro (600.000 domenii ori 30€) s-au dus pe taxa de protecţie necesară rămânerii în post. Că în mod sigur nu s-au dus pe infrastructură sau pe un whois modern.

Detalii pe tema asta pe SecureList, la Costin şi la Bogdan.

On a side note, în astfel de momente devine evident cât de puţini oameni pregătiţi în domeniul ăsta avem. Din zecile de mii de bloguri şi siteuri de IT abia 5-6 oameni pot înţelege ce se întâmplă. Majoritatea pur şi simplu nu au cunoştinţele necesare pentru aşa ceva şi au nevoie de băieţii de la Kaspersky sau de mine ca să le explice situaţia.

kidding

61 comentarii

  1. Totuși, eu nu văd images.zoso.ro. RDS Bucuresti, cu DNS-urile RDS.

    Thumb up 0 Thumb down 0
  2. Este posibil ca informatiile despre clienti si cele de ns sa fie stocate pe servere diferite ( repet, este posibil ).

    Oricum este bataie mare de joc la ROTLD, se cere de foarte mult timp implementarea unui sisitem de plata a domeniului pe an ( nu este normal sa ai tone de domenii bune blocate din diverse cauze – persoane decedate, firme desfiintate sau cumparatori care au uitat ce domenii au )
    Nu este normal ca in 2012 modificarile de la dns sa dureze minim 24 de ore …
    Sunt atatea de spus despre incompetenta ROTLD si cum ar putea produce multi mai multi bani … dar cine ne baga pe noi muritorii de rand in seama ?

    Thumb up 0 Thumb down 0
  3. Mie imi place de evanghelista de la Bit Defender, e tare :)

    Thumb up 0 Thumb down 0
  4. Stii foarte bine de cand e ICI si cat e de „la curent” cu modernismul, te mai mira?

    Thumb up 0 Thumb down 0
  5. Ai vrut sa zici 18.000.000 EUR nu?

    Thumb up 0 Thumb down 0
  6. Nu la asta ma refeream, dar bun info :P

    Thumb up 0 Thumb down 0
  7. Păcat că zoso.com e luat. Cumpăram domeniul şi i-l vindeam lui Mircea Badea pe bani grei. :))

    Thumb up 1 Thumb down 0
  8. @pi: e varza rotld-ul. Am cumparat in turcia un domeniu pt un client la un moment dat si crede-ma ca nu se compara procesul de achizitie cu ce e la noi. Si administrarea e eleganta, site-ul arata la nivelul anului 2012… Si turcii nici nu sunt in UE macar.

    Thumb up 0 Thumb down 0
  9. Mda… si eu am toate parolele schimbate de la toate cele 30 de domenii.

    Thumb up 0 Thumb down 0
  10. ieri la orele 10:00 whois-ul la paypal.ro arata asa:

    > whois paypal.ro
    Domain Name: paypal.ro
    Registrar: ICI – ROTLD
    Whois Server:
    Referral URL: http://www.rotld.ro
    Name Server: ns1.joomlapartner.nl
    Name Server: ns2.joomlapartner.nl

    iar asta da de gandit…

    Thumb up 0 Thumb down 0
  11. parola mea a fost deja schimbata cu „CoBeyofUnU62”

    Thumb up 0 Thumb down 0
  12. Incercati sa faceti o plata online cu card la ROTLD, s-ar putea sa va pufneasca rasul.

    Thumb up 0 Thumb down 0
  13. Sincer nici nu ma mai obosesc sa schimb parolele. La ce jalnici sunt aia de la roTLD azi le schimb maine pot fi sparte iara. Teoretic parolele le schimbi cand esti sigur ca „gaura” a fost astupata. La roTLD de prin 2004 nu s-a schimbat nimic si nici n-o sa se schimbe in urmatorii 10 ani probabil asa ca e mai sigur sa platesti la popi sa se roage pentru domeniile tale decat sa schimbi parole la roTLD.

    Thumb up 0 Thumb down 0
  14. Mi-am schimbat si eu parolele, insa nu-mi miroase a bine sistemul lor.

    Thumb up 0 Thumb down 0
  15. Eu cred că o să le fac o plângere la ANPC.

    Thumb up 0 Thumb down 0
  16. @Ionut: ANPC n-o sa rezolve absolut nimic. In cel mai fericit caz o sa dea o amenda si cam atat.
    Nimeni din ANPC nu stie cu ce se mananca Internetul, exceptie facand facebook si messenger. Plangerea ta o sa fie citita de zeci de oameni care nu stiu ce o sa scrii tu acolo si nici care e treaba cu domeniile si parolele.
    Schimbarea de parole e inutila, plangerile sunt la fel fiindca roTLD are in primul rand nevoie de alti oameni in posturile cheie si abia apoi de o schimbare de infrastructura care sa evite astfel de cazuri. Ma indoiesc de faptul ca se va schimba ceva in viitorul apropiat …

    Thumb up 0 Thumb down 0
  17. Cei de la rotld au dezactivat acum sistemul de modificari de domenii de pe site, doar via fax se mai poate…

    Thumb up 0 Thumb down 0
  18. Aparent toate parolele de la rotld au fost resetate. Să zicem că n-ar fi mare bai.
    Însă ei nu s-au sinchisit nici să dea un email, să anunțe utilizatorii : „bă, vezi că io ți-am resetat parola. ghinion”. Asta nu-i faza cea mai mișto, ci faptul că au primit un mail în care i-am întrebat care-i faza, și la care au răspuns:

    „Va recomandam sa recuperati parolele folosind procedura de recuperare a parolei de la http://www.rotld.ro – administrare domenii – online.
    Nu este exclusa posibilitatea ca adresa de e-mail a detinatorului domeniilor sa fi fost accesata si de altcineva.”

    Adică după ce că au pățit-o, nici nu recunosc și mai bagă și paranoia-n mine…Zic că-i cazul de ploaie cu plângeri.

    Thumb up 0 Thumb down 0
  19. una din sursele citate de tine iti infirma supozitia.

    There are several possible scenarios here:
    RoTLD (the Romanian Top Level Domain Registrar) was hacked, allowing the attacker access to all .ro domains DNS settings. Not all .ro domains were affected, so this scenario is highly unlikely to have happened.

    Google and Yahoo’s RoTLD accounts were compromised, allowing the attacker to just change their DNS settings. This scenario is also unlikely to have happened, as we’ve discovered that it’s not just Google and Yahoo websites, but also Paypal, Microsoft and others.

    At the moment, our best guess is that an ISP-level DNS poisoning attack is happening in Romania. Some domains are redirected, others are not.

    Thumb up 0 Thumb down 0
  20. Tipic romanesc, de ce sa simplificam cand putem complica?

    Thumb up 0 Thumb down 0
  21. O arhitectura simpla al unui TLD (gen ROTLD) arata asa:
    1 – unul sau mai multe servere ce tin datele persistent (zonele dns; etc); aceste servere nu sunt accesibile din internet
    2 – mai multe servere de „caching” ce comunica cu serverele de la pct 1; ideal interogarile cu serverele de la pct 1 se realizeaza printr-un protocol securizat (DNSSEC)
    Serverele de caching sunt publice. Adica orice interogare DNS catre TLD-ul respectiv ajunge pe unul din serverele de caching.

    DNS spoofing (sau poisoning – http://en.wikipedia.org/wiki/DNS_spoofing) inseamna ca un atacator, folosind o vulnerabilitate a software-urilor de pe serverele de caching, a reusit sa trimita inregistrari DNS catre serverele de caching iar serverele de caching intr-un anumit mod in care acestea au recunoscut aceste inregistrari DNS ca venind de la o sursa de incredere si le folosesc pentru a raspunde la interogari.

    Algerienii sigur au facut DNS spooing la ROTLD. Daca le-au penetrat securitatea si au avut acces pe masinile cu bazele de date nu se stie. E posibil ca resetat parole sa le faca ei din precautie (desi nu cred asta).

    In mod normal ROTLD ar trebuie: sa afle exact ce s-a intamplat, sa anunte clientii ce ar putea fi afectari imediat, sa-si rezolve problemele si dupa aia sa vina cu un comunicat in care explica ce s-a intamplat si ce au facut sa nu se mai intample. Dar la noi nu e nimic normal deci ROTLD o sa mearga pe burta pana o sa le taie ICANN macaroana :)

    Thumb up 0 Thumb down 0
  22. Vali, nici eu nu-ti vad imaginile pe blog.

    Thumb up 0 Thumb down 0
  23. @Cristi: de ce sa le taie ICANN „macaroana”?

    Thumb up 0 Thumb down 0
  24. te-au ajuns blestemele stimabile :)

    Thumb up 0 Thumb down 0
  25. Incercati sa intrati in pagina de login prin harta site.

    Thumb up 0 Thumb down 0
  26. @Doru: Eu am zis-o mai in gluma. E putin probabil sa se intample asta. Totusi daca se mai intampla multe DNS hijacking la nivel de TLD .ro probabil ca or sa se implice si ICANN-ul cumva.

    Thumb up 0 Thumb down 0
  27. Rds, Timisoara, fara poze.

    Misto registrarul nostru :)

    Thumb up 0 Thumb down 0
  28. Stii ca intreabam acum vreo luna despre cum e posibil ca datele de WHOIS sa fie ‘citite’ si de altii, in conditiile in care nici eu, detinatorul domeniului nu le pot afla decat daca intru pe cont.

    Povestea pentru cei care nu o stiu:

    Am inregistrat un domeniu acum 2 luni. unul despre care stiam eu, barbatu’ si cam atat. L-am lasat la ‘dospit’ niste saptamani, ca oricum, cu toate birocratia, am stat inca o luna si mai bine sa rezolvam firma, acreditarile pentru obiectul lui de activitate etc.

    La nici 2 saptamani de la cumpararea domeniului, ne trezim cu un email de la un lache de la nus’s ce firma de ‘web design’ (ghilimelele sunt cu un scop), care-i ofera servicii pentru situl in cauza.

    Trecem peste faptul ca eu fac treburi din astea si ca nu ne obosiseram cu designul, daca tot nu era nimic facut. Interesant era insa ca stiau CUM IL CHEAMA (numele complet) si aveau adresa lui de email, folosita pentru inregistrarea domeniului. Chestie foarte ciudata, in conditiile in care in mod teoretic nu poti vedea detaliile astea. Si ceva le-a ‘mirosit’ pentru ca isi incepeau emailul cu ceva de genul „stim ca ati deschis recent situl” etc.

    Normal, am contactat RoTLD sa ii intrebam cum de stie o terta parte datele noastre de whois, pe care nici macar noi nu le vedem decat daca suntem in contul respectiv. Si mai interesant, cum primeste firma respectiva ‘notificari’ ca sunt domenii nou aparute.

    Asa cum mi-ati raspuns voi la email, asa mi-au raspuns si ei.

    Acum 2 zile am primit insa pe posta o scrisoare de la ei (deh, in 2012 tot cu porumbeii facem conversatie) in care spun ca nu divulga asemenea informatii. Dar tot nu am aflat cum de se pot accesa datele noastre private, cand situl NU era activ, nu stia nimeni de el si nici macar un link nu dadusem catre el.

    Asa ca .. zau daca ma mai mira ceva ..

    Daca as putea lua .ro de pe namecheap, mi-as baga picioarele complet in orice inseamna domain name registrar in romania.

    Thumb up 0 Thumb down 0
  29. @mihai,
    sursa din care citezi tu a pierdut din vedere câteva mici chestiuni. A nu se înțelege că neg experiența celui de la kaspersky însă am urmărit toată ziua de ieri problema iar concluziile trase până pe la ora 2 nu erau tocmai corecte.
    Să le luăm pe rând.
    1. Presupunerea cum că ar fi fost vorba de nameserverele ISP-ilor din RO nu prea stătea în picioare pentru că și nameserverele open de la google aveau aceeași problemă. Și cele de la google nu se bazează în nici într-un caz pe nameserverele ISP-ilor din RO.
    2. La un moment dat presupunea (în mod greșit ) că de fapt au fost afectate cele 2 NS-uri google (8.8.8.8 și 8.8.4.4). Am spus și ieri, improbabil având în vedere că cele 2 ns-uri NU sunt folosite numai în RO și nu văd motivul pentru care un eventual hacker, dacă ar avea posibilitatea să facă treaba asta, n-ar afecta si alte domenii (.com-uri etc. ).
    Tot împotriva teoriei cu cele 2 NS-uri vine și timpul lent de răspuns în rezolvarea problemei. Dacă ar fi fost o problemă la NS-urile de la google ar fi fost rezolvată mult mai eficient.

    Și acum dovada în sprijinul teoriei că e buba la rotld vine chiar din acțiunea lor de azi cu resetarea tuturor parolelor. Și din lipsa lor de comunicare. Pentru că dacă nu s-ar fi întâmplat nimic la ei și n-ar fi cu musca pe căciulă ar ieși rapid în public să protesteze.

    Thumb up 0 Thumb down 0
  30. Mda, nici mie nu imi mai merge parola. Si tocmai am inregistrat un domeniu nou, nu stiam nimic de faza asta, ca nu-s in tara.

    Thumb up 0 Thumb down 0
  31. Confirm… si mie mi-a fost resetata parola… mi se pare chiar nesimti- errr… romaneasca solutia asta a lor de a nu spune oamenilor ce s-a intamplat.

    Thumb up 0 Thumb down 0
  32. Vorba unui amic din State: sunt fericit că am un singur domeniu pe .ro, restul pe .com
    A spus-o acum câţiva ani, tot cu ocazia unor măgării legate de rotld.

    Thumb up 0 Thumb down 0
  33. Nu pot sa intru pe Administrare Domeni -> On-Line pe rotld. Am incercat sa intru sa imi schimb parolele dar imi da eroare de Apache.

    Thumb up 0 Thumb down 0
  34. Dacă au spart RoTLD atunci n-a fost DNS poisoning. A fost doar o mică reconfigurare a unor zone DNS.

    Thumb up 0 Thumb down 0
  35. @Victor: si mie imi merge, mi-am schimbat parola.

    Thumb up 0 Thumb down 0
  36. @Victor – la mine merge (chiar acum am incercat).

    Thumb up 0 Thumb down 0
  37. @nobody: ai dreptate. Se pare ca merge pe Chrome si nu pe FF. Eu incercasem pe FF.

    Thumb up 0 Thumb down 0
  38. Bogdan Manolea zice acelasi lucru. Am tirmis mail catre rotld pentru ca am si eu un .ro si tare as fi curios sa vad ce raspuns dau. Ar trebui stransi nitel de gat : http://legi-internet.ro/blogs/index.php/incidentul-de-securitate-de-ieri-cu-google-ro-stati-linistiti-nimeni-nu-este-vinovat-si-nimic-nu-s-a-intamplat

    Thumb up 0 Thumb down 0
  39. Nici la mine nu merge (din Olanda):

    The requested URL /manage/index.html was not found on this server.

    Thumb up 0 Thumb down 0
  40. Oricum, parolele sunt stocate in continuare in clear-text :)

    Poate ii trage cineva de maneca cu stocarea parolelor si mecanismul de recuperare parole…

    Thumb up 0 Thumb down 0
  41. Victor, păi tu eşti de vină, nu ştii că sectorul bugetofag din România + Microsoft = love??? Data viitoare intră direct de pe IE :) Dacă se poate versiunea 6, să fii sigur că merge :D

    Thumb up 0 Thumb down 0
  42. Mda… interesant ceea ce se intampla la Rotld. Din pacate nu si pentru noi clientii lor care chiar ne pasa ce se intampla cu site-urile pe care le avem la ei inregistrate. Daca ei sunt atat de slabi pe partea de securitate e grav, asta inseamna lipsa de investitii si nepasare. Tipic Ro.

    Thumb up 0 Thumb down 0
  43. @pi
    Da, exista firme desfiintate cu domenii interesante. Dar daca cineva chiar vrea sa obtina acele domenii, se rezolva si acum cu Monitorul Oficial si cu o spaga unde trebuie, ca sa se faca inregistrarea inainte ca domeniul sa fie disponibil pentru primul venit. Am patit-o si eu (din nostalgie, voiam domeniul unei firme unde am fost admin, cand m-am prins ca altcineva incepuse demersurile sa fie sters). In fine, aia au cotizat mai mult si unde trebuie.

    Thumb up 0 Thumb down 0
  44. Daca a fost SQLInjection cel mai probabil nu au ajuns la baza de date sa o poata copia, ci doar au reusit sa modifice datele de acces pentru domeniile afectate. Tocmai de asta s-au modificat doar domenii mare care puteau oferi mai multa expunere.

    In RDS a fost ok pentru ca de obicei serverele lor DNS-caching raspund ceva mai greu la modificari… La fel, am vazut o idee pe undeva ca alti provideri ar fi afectati pentru ca folosesc serverele google (8.8.8.8 si 8.8.4.4), dar in situatia in care este afectat TLD-ul nu mai conteaza ce server folosesti pentru ca a fost schimbata zona.

    Faptul ca au fost resetate toate parolele nu cred ca a fost o masura a ROTLD, e penibil sa faci asta atata timp cat stii ce zone au fost afectate – repari ce e de reparat apoi stai la panda sa vezi cine si de unde vrea sa faca o magarie. Cel mai probabil cand testau posibilitatea de a folosi sqlinjection au rezolvat si asta – diferenta intre interogarile pentru toate adresele respectiv una singura e o conditie (set pass = x vs. set pass =x where domeniu = y).

    Thumb up 0 Thumb down 0
  45. @Mike, cred că-i prima oară când aud un comentariu pozitiv legat de latența modificărilor de pe serverele DNS de la RDS :D

    Thumb up 0 Thumb down 0
  46. daca nu sparg facebook-ul degeaba

    Thumb up 0 Thumb down 0
  47. @Mike: și cum îți dai seama care sunt domeniile compromise? Nu cred că rotld are competențele necesare pentru a le afla, asta dacă e și posibil în primul rând.

    Thumb up 0 Thumb down 0
  48. Meekuu, nu ştiu cât de pozitivă este afirmaţia legată de RDS. Mie de abia astăzi au început să-mi apară thumbnail-urile de pe prima pagina de la zoso.ro
    Imaginile din articole încă nu-mi apar. Sunt pe RDS.

    Thumb up 0 Thumb down 0
  49. suntem buni la spart severe din alte tari dar nu suntem in stare sa ni le protejam pe ale noastre……….cum dreaku vine asta?????????

    Thumb up 0 Thumb down 0
  50. Zoso, ăia de la Kaspersky nu se băteau cu pumnul în piept că 8.8.8.8-ul lui Gogu a fost otrăvit și au propagat NS-urile rogue mai departe? Ăștia de la Bitdefender au fost singurii care au zis de la început că e frecat ceva la RoTLD. Rușii de la Kaspersky și-au luat țeapă și nici măcar nu știau ce i-a lovit pe ei înșiși, erau prea ocupați să scrie blogposturi despre incident ca să vadă că NS-urile lor erau redirecționate către alt IP. Cum ar zice cineva: najpa.

    Thumb up 0 Thumb down 0
  51. @Ăla rău, modul în care funcționează DNS-ul face destul de dificilă diagnosticarea unei probleme de genul ăsta.
    Da, și eu am comentat în privat încă de dimineață că-i buba la rotld. Dar nu puteam să bag mâna în foc și nu-mi place să acuz public pe cineva fără dovezi clare.
    Dar de comentat am comentat că ăia de la kaspersky au mers pe o variantă extrem de improbabilă având în vedere faptul că au fost afectate doar .ro-uri.

    Thumb up 0 Thumb down 0
  52. @dojo se pot afla datele persoanelor fizice ce au domeniile inregistrate la rotld prin trimiterea unei solicitari si declaratii scrise , prin posta, la rotld. Au , sau cel putin aveau, pe site o sectiune cu pasii necesari pentru a afla datele de contact ale detinatorului unui domeniu

    Thumb up 0 Thumb down 0
  53. @razvan: ma indoiesc ca iti ofera mai mult de ceva date de contact, chiar si pentru persoanele fizice. E deranj mare cu datele personale in ziua de astazi.

    @Meeku: nu e greu daca e vorba de un simplu site, dar google are mai multe servere cache la noi (de 2 stiu eu, sunt mai multe in mod sigur). La ceva de genul asta (defacing) prima idee e ceva de genul „ba’, au spart aia serverul X”, iar daca iti spune cineva ca google.ro are o problema si cand verifici tu la tine constati ca merge ideea urmatoare ar fi ca e o problema cu cache-ul respectiv… In al doilea rand e greu sa tragi o concluzie din numele nameserverelor, respectiv reverse-ul inregistrat pentru IP-urile care raspund – am vazut reverse-ul cu joomla, dar atata timp cat stiam ca google are X zone de caching chiar ma gandeam ca ala ar fi legitim prin cinestiece datacenter din Olanda, si mai mult ca sigur la fel au gandit multi.

    Da, poate daca interogam ROTLD si vedeam ca e inregistrat ns-ul cu joomlapartner intram la banuieli… In rest modul cum functioneaza DNS e destul de simplu, zona PARINTE ar trebui sa raspunda corect in permanenta.

    Thumb up 0 Thumb down 0
  54. @mike – in urma solicitarii la rotld, primesti nume, prenume, adresa, telefon, email, nu mai imi aduc aminte, dar cred ca si cnp-ul. Suficicent si fara cnp oricum.

    Pana la urma, trebuie sa existe o modalitate de contact a posesorului unui domeniu, de catre o terta persoana.

    Thumb up 0 Thumb down 0
  55. @razvan: Conform ROTLD: „Conform „Legii nr. 677/2001 pentru protectia persoanelor cu privire la prelucrarea datelor cu caracter personal si libera circulatie a acestor date”, datele cu caracter personal ale persoanelor fizice nu se publica.”

    In momentul in care ROTLD raspunde la solicitarea cuiva (scris, email, fax, etc.) cu datele personale e ca si cum le-ar face publice, pentru ca nu poti controla cum foloseste acel „cuiva” datele respective.

    PS: suntem off-topic. In plus daca nu vii cu un argument care sa sustina afirmatia ta vorbim degeaba, cred. :)

    Thumb up 0 Thumb down 0
  56. Cei de la rotld au iesit sa recunoasca (cam sec, dupa parerea mea) ca au fost sparti… nici un cuvant despre schimbarea parolelor de administrare pentru TOTI utilizatorii

    http://rotld.ro/portal/news/ro/38/index.html

    „Comunicat

    În noaptea de 27/28 noiembrie 2012 a avut loc un atac asupra server-ului de Administrare Domenii ro. Au fost modificate nameserver-ele la câteva domenii larg utilizate cum sunt google.ro, yahoo.ro, redirectându-le către o altă pagină de web. În interval de câteva ore a fost restabilită funcționarea domeniilor afectate.

    În vederea analizării cauzelor incidentului a fost stabilită o comisie la nivelul institutului și au fost luate o serie de măsuri imediate, menite să diminueze posibilitatea unor incidente nedorite de acest gen.

    În perioada imediat următoare rezultatele Comisiei de analiză vor fi făcute publice. Serverele DNS nu au fost afectate iar pe serverele RoTLD nu sunt stocate date despre tranzacțiile financiare.”

    Thumb up 0 Thumb down 0

Adaugă un comentariu

Câmpurile marcate cu * sunt obligatorii! Adresa de email nu va fi publicată.

1. Linkurile utile în context sunt binevenite.
2. Comentariile asumate fac bine la blăniță.
3. Șterg comentariile care îmi strică buna dispoziție.