S-a spart ROTLD? A câta oară?

Glumim, râdem, dar mizeria de ieri continuă şi azi. Ieri un hacker alegerian a pătruns în sistemul informatic al ROTLD şi a schimbat pe acolo nişte chestii, astfel încât la accesarea unor domenii, utilizatorul să fie redirectat în altă parte decât ar fi fost normal. Operaţiunea poartă numele de DNS Poisoning, iar titlul “google.ro a fost spart” e incorect şi induce în eroare.

Problema a persistat în cursul zilei de ieri. Azi au apărut detalii noi:

  1. Unul ar fi că baza de date cu domeniile a fost compromisă. Lucru care n-ar fi neapărat rău (sunt doar 600.000 adrese de email), dacă parolele pentru domenii n-ar fi stocate în clar. Adică acum băiatul ăla care a luat baza de date poate obţine controlul asupra oricărui domeniu doreşte. 
  2. Altul că nici după 24 de ore ROTLD nu a reparat problema şi au preferat să reseteze parolele unor utilizatori. Eu am schimbat de ieri nameserverele unui domeniu, dar acestea nu s-au propagat încă, semn că problema nu e rezolvată.
  3. ROTLD face ce ştie mai bine: tace şi speră să nu observe nimeni. Şi dacă observă oricum nu se întâmplă nimic, pentru că Eugenie Stăicuţ, inginerul care conduce ROTLD, are spate politic. Trebuie să fii naiv să nu presupui că cel puţin jumătate din cele 18 milioane de euro (600.000 domenii ori 30€) s-au dus pe taxa de protecţie necesară rămânerii în post. Că în mod sigur nu s-au dus pe infrastructură sau pe un whois modern.

Detalii pe tema asta pe SecureList, la Costin şi la Bogdan.

On a side note, în astfel de momente devine evident cât de puţini oameni pregătiţi în domeniul ăsta avem. Din zecile de mii de bloguri şi siteuri de IT abia 5-6 oameni pot înţelege ce se întâmplă. Majoritatea pur şi simplu nu au cunoştinţele necesare pentru aşa ceva şi au nevoie de băieţii de la Kaspersky sau de mine ca să le explice situaţia.

kidding

Mulțumesc că ai citit acest articol.
Dacă vrei să susții acest blog, cumpără un abonament de 5$

61 comentarii

  1. Totuși, eu nu văd images.zoso.ro. RDS Bucuresti, cu DNS-urile RDS.

    00
  2. Mie imi place de evanghelista de la Bit Defender, e tare :)

    00
  3. Stii foarte bine de cand e ICI si cat e de „la curent” cu modernismul, te mai mira?

    00
  4. Ai vrut sa zici 18.000.000 EUR nu?

    00
  5. Nu la asta ma refeream, dar bun info :P

    00
  6. Este posibil ca informatiile despre clienti si cele de ns sa fie stocate pe servere diferite ( repet, este posibil ).

    Oricum este bataie mare de joc la ROTLD, se cere de foarte mult timp implementarea unui sisitem de plata a domeniului pe an ( nu este normal sa ai tone de domenii bune blocate din diverse cauze – persoane decedate, firme desfiintate sau cumparatori care au uitat ce domenii au )
    Nu este normal ca in 2012 modificarile de la dns sa dureze minim 24 de ore …
    Sunt atatea de spus despre incompetenta ROTLD si cum ar putea produce multi mai multi bani … dar cine ne baga pe noi muritorii de rand in seama ?

    00
  7. Păcat că zoso.com e luat. Cumpăram domeniul şi i-l vindeam lui Mircea Badea pe bani grei. :))

    00
  8. O arhitectura simpla al unui TLD (gen ROTLD) arata asa:
    1 – unul sau mai multe servere ce tin datele persistent (zonele dns; etc); aceste servere nu sunt accesibile din internet
    2 – mai multe servere de „caching” ce comunica cu serverele de la pct 1; ideal interogarile cu serverele de la pct 1 se realizeaza printr-un protocol securizat (DNSSEC)
    Serverele de caching sunt publice. Adica orice interogare DNS catre TLD-ul respectiv ajunge pe unul din serverele de caching.

    DNS spoofing (sau poisoning – inseamna ca un atacator, folosind o vulnerabilitate a software-urilor de pe serverele de caching, a reusit sa trimita inregistrari DNS catre serverele de caching iar serverele de caching intr-un anumit mod in care acestea au recunoscut aceste inregistrari DNS ca venind de la o sursa de incredere si le folosesc pentru a raspunde la interogari.

    Algerienii sigur au facut DNS spooing la ROTLD. Daca le-au penetrat securitatea si au avut acces pe masinile cu bazele de date nu se stie. E posibil ca resetat parole sa le faca ei din precautie (desi nu cred asta).

    In mod normal ROTLD ar trebuie: sa afle exact ce s-a intamplat, sa anunte clientii ce ar putea fi afectari imediat, sa-si rezolve problemele si dupa aia sa vina cu un comunicat in care explica ce s-a intamplat si ce au facut sa nu se mai intample. Dar la noi nu e nimic normal deci ROTLD o sa mearga pe burta pana o sa le taie ICANN macaroana :)

    00
  9. @pi: e varza rotld-ul. Am cumparat in turcia un domeniu pt un client la un moment dat si crede-ma ca nu se compara procesul de achizitie cu ce e la noi. Si administrarea e eleganta, site-ul arata la nivelul anului 2012… Si turcii nici nu sunt in UE macar.

    00
  10. Vali, nici eu nu-ti vad imaginile pe blog.

    00
  11. Mda… si eu am toate parolele schimbate de la toate cele 30 de domenii.

    00
  12. parola mea a fost deja schimbata cu „CoBeyofUnU62”

    00
  13. Incercati sa faceti o plata online cu card la ROTLD, s-ar putea sa va pufneasca rasul.

    00
  14. Sincer nici nu ma mai obosesc sa schimb parolele. La ce jalnici sunt aia de la roTLD azi le schimb maine pot fi sparte iara. Teoretic parolele le schimbi cand esti sigur ca „gaura” a fost astupata. La roTLD de prin 2004 nu s-a schimbat nimic si nici n-o sa se schimbe in urmatorii 10 ani probabil asa ca e mai sigur sa platesti la popi sa se roage pentru domeniile tale decat sa schimbi parole la roTLD.

    00
  15. Mi-am schimbat si eu parolele, insa nu-mi miroase a bine sistemul lor.

    00
  16. Eu cred că o să le fac o plângere la ANPC.

    00
  17. @Ionut: ANPC n-o sa rezolve absolut nimic. In cel mai fericit caz o sa dea o amenda si cam atat.
    Nimeni din ANPC nu stie cu ce se mananca Internetul, exceptie facand facebook si messenger. Plangerea ta o sa fie citita de zeci de oameni care nu stiu ce o sa scrii tu acolo si nici care e treaba cu domeniile si parolele.
    Schimbarea de parole e inutila, plangerile sunt la fel fiindca roTLD are in primul rand nevoie de alti oameni in posturile cheie si abia apoi de o schimbare de infrastructura care sa evite astfel de cazuri. Ma indoiesc de faptul ca se va schimba ceva in viitorul apropiat …

    00
  18. Cei de la rotld au dezactivat acum sistemul de modificari de domenii de pe site, doar via fax se mai poate…

    00
  19. Aparent toate parolele de la rotld au fost resetate. Să zicem că n-ar fi mare bai.
    Însă ei nu s-au sinchisit nici să dea un email, să anunțe utilizatorii : „bă, vezi că io ți-am resetat parola. ghinion”. Asta nu-i faza cea mai mișto, ci faptul că au primit un mail în care i-am întrebat care-i faza, și la care au răspuns:

    „Va recomandam sa recuperati parolele folosind procedura de recuperare a parolei de la http://www.rotld.ro – administrare domenii – online.
    Nu este exclusa posibilitatea ca adresa de e-mail a detinatorului domeniilor sa fi fost accesata si de altcineva.”

    Adică după ce că au pățit-o, nici nu recunosc și mai bagă și paranoia-n mine…Zic că-i cazul de ploaie cu plângeri.

    00
  20. una din sursele citate de tine iti infirma supozitia.

    There are several possible scenarios here:
    RoTLD (the Romanian Top Level Domain Registrar) was hacked, allowing the attacker access to all .ro domains DNS settings. Not all .ro domains were affected, so this scenario is highly unlikely to have happened.

    Google and Yahoo’s RoTLD accounts were compromised, allowing the attacker to just change their DNS settings. This scenario is also unlikely to have happened, as we’ve discovered that it’s not just Google and Yahoo websites, but also Paypal, Microsoft and others.

    At the moment, our best guess is that an ISP-level DNS poisoning attack is happening in Romania. Some domains are redirected, others are not.

    00
    • @mihai: hai să o luăm logic. de ce aş vrea sa schimb toate domeniile .ro? ca să ce? nu mai bien fur baza de date şi o vând?

  21. Tipic romanesc, de ce sa simplificam cand putem complica?

    00
  22. ieri la orele 10:00 whois-ul la paypal.ro arata asa:

    whois paypal.ro
    Domain Name: paypal.ro
    Registrar: ICI – ROTLD
    Whois Server:
    Referral URL: https://www.rotld.ro/home/
    Name Server: ns1.joomlapartner.nl
    Name Server: ns2.joomlapartner.nl

    iar asta da de gandit…

    00
  23. @Cristi: de ce sa le taie ICANN „macaroana”?

    00
  24. te-au ajuns blestemele stimabile :)

    00
  25. Incercati sa intrati in pagina de login prin harta site.

    00
  26. @Doru: Eu am zis-o mai in gluma. E putin probabil sa se intample asta. Totusi daca se mai intampla multe DNS hijacking la nivel de TLD .ro probabil ca or sa se implice si ICANN-ul cumva.

    00
  27. Rds, Timisoara, fara poze.

    Misto registrarul nostru :)

    00
  28. Stii ca intreabam acum vreo luna despre cum e posibil ca datele de WHOIS sa fie ‘citite’ si de altii, in conditiile in care nici eu, detinatorul domeniului nu le pot afla decat daca intru pe cont.

    Povestea pentru cei care nu o stiu:

    Am inregistrat un domeniu acum 2 luni. unul despre care stiam eu, barbatu’ si cam atat. L-am lasat la ‘dospit’ niste saptamani, ca oricum, cu toate birocratia, am stat inca o luna si mai bine sa rezolvam firma, acreditarile pentru obiectul lui de activitate etc.

    La nici 2 saptamani de la cumpararea domeniului, ne trezim cu un email de la un lache de la nus’s ce firma de ‘web design’ (ghilimelele sunt cu un scop), care-i ofera servicii pentru situl in cauza.

    Trecem peste faptul ca eu fac treburi din astea si ca nu ne obosiseram cu designul, daca tot nu era nimic facut. Interesant era insa ca stiau CUM IL CHEAMA (numele complet) si aveau adresa lui de email, folosita pentru inregistrarea domeniului. Chestie foarte ciudata, in conditiile in care in mod teoretic nu poti vedea detaliile astea. Si ceva le-a ‘mirosit’ pentru ca isi incepeau emailul cu ceva de genul „stim ca ati deschis recent situl” etc.

    Normal, am contactat RoTLD sa ii intrebam cum de stie o terta parte datele noastre de whois, pe care nici macar noi nu le vedem decat daca suntem in contul respectiv. Si mai interesant, cum primeste firma respectiva ‘notificari’ ca sunt domenii nou aparute.

    Asa cum mi-ati raspuns voi la email, asa mi-au raspuns si ei.

    Acum 2 zile am primit insa pe posta o scrisoare de la ei (deh, in 2012 tot cu porumbeii facem conversatie) in care spun ca nu divulga asemenea informatii. Dar tot nu am aflat cum de se pot accesa datele noastre private, cand situl NU era activ, nu stia nimeni de el si nici macar un link nu dadusem catre el.

    Asa ca .. zau daca ma mai mira ceva ..

    Daca as putea lua .ro de pe namecheap, mi-as baga picioarele complet in orice inseamna domain name registrar in romania.

  29. @mihai,
    sursa din care citezi tu a pierdut din vedere câteva mici chestiuni. A nu se înțelege că neg experiența celui de la kaspersky însă am urmărit toată ziua de ieri problema iar concluziile trase până pe la ora 2 nu erau tocmai corecte.
    Să le luăm pe rând.
    1. Presupunerea cum că ar fi fost vorba de nameserverele ISP-ilor din RO nu prea stătea în picioare pentru că și nameserverele open de la google aveau aceeași problemă. Și cele de la google nu se bazează în nici într-un caz pe nameserverele ISP-ilor din RO.
    2. La un moment dat presupunea (în mod greșit ) că de fapt au fost afectate cele 2 NS-uri google (8.8.8.8 și 8.8.4.4). Am spus și ieri, improbabil având în vedere că cele 2 ns-uri NU sunt folosite numai în RO și nu văd motivul pentru care un eventual hacker, dacă ar avea posibilitatea să facă treaba asta, n-ar afecta si alte domenii (.com-uri etc. ).
    Tot împotriva teoriei cu cele 2 NS-uri vine și timpul lent de răspuns în rezolvarea problemei. Dacă ar fi fost o problemă la NS-urile de la google ar fi fost rezolvată mult mai eficient.

    Și acum dovada în sprijinul teoriei că e buba la rotld vine chiar din acțiunea lor de azi cu resetarea tuturor parolelor. Și din lipsa lor de comunicare. Pentru că dacă nu s-ar fi întâmplat nimic la ei și n-ar fi cu musca pe căciulă ar ieși rapid în public să protesteze.

    00
  30. Mda, nici mie nu imi mai merge parola. Si tocmai am inregistrat un domeniu nou, nu stiam nimic de faza asta, ca nu-s in tara.

    00
  31. Confirm… si mie mi-a fost resetata parola… mi se pare chiar nesimti- errr… romaneasca solutia asta a lor de a nu spune oamenilor ce s-a intamplat.

    00
  32. Vorba unui amic din State: sunt fericit că am un singur domeniu pe .ro, restul pe .com
    A spus-o acum câţiva ani, tot cu ocazia unor măgării legate de rotld.

    00
  33. Nu pot sa intru pe Administrare Domeni -> On-Line pe rotld. Am incercat sa intru sa imi schimb parolele dar imi da eroare de Apache.

    00
  34. Dacă au spart RoTLD atunci n-a fost DNS poisoning. A fost doar o mică reconfigurare a unor zone DNS.

    00
  35. @Victor: si mie imi merge, mi-am schimbat parola.

    00
  36. @Victor – la mine merge (chiar acum am incercat).

    00
  37. @nobody: ai dreptate. Se pare ca merge pe Chrome si nu pe FF. Eu incercasem pe FF.

    00
  38. Nici la mine nu merge (din Olanda):

    The requested URL /manage/index.html was not found on this server.

    00
  39. Oricum, parolele sunt stocate in continuare in clear-text :)

    Poate ii trage cineva de maneca cu stocarea parolelor si mecanismul de recuperare parole…

    00
  40. Bogdan Manolea zice acelasi lucru. Am tirmis mail catre rotld pentru ca am si eu un .ro si tare as fi curios sa vad ce raspuns dau. Ar trebui stransi nitel de gat : https://legi-internet.ro/blogs/index.php/incidentul-de-securitate-de-ieri-cu-google-ro-stati-linistiti-nimeni-nu-este-vinovat-si-nimic-nu-s-a-intamplat

    00
  41. Victor, păi tu eşti de vină, nu ştii că sectorul bugetofag din România + Microsoft = love??? Data viitoare intră direct de pe IE :) Dacă se poate versiunea 6, să fii sigur că merge :D

    00
  42. Mda… interesant ceea ce se intampla la Rotld. Din pacate nu si pentru noi clientii lor care chiar ne pasa ce se intampla cu site-urile pe care le avem la ei inregistrate. Daca ei sunt atat de slabi pe partea de securitate e grav, asta inseamna lipsa de investitii si nepasare. Tipic Ro.

    00
  43. @pi
    Da, exista firme desfiintate cu domenii interesante. Dar daca cineva chiar vrea sa obtina acele domenii, se rezolva si acum cu Monitorul Oficial si cu o spaga unde trebuie, ca sa se faca inregistrarea inainte ca domeniul sa fie disponibil pentru primul venit. Am patit-o si eu (din nostalgie, voiam domeniul unei firme unde am fost admin, cand m-am prins ca altcineva incepuse demersurile sa fie sters). In fine, aia au cotizat mai mult si unde trebuie.

    00
  44. Daca a fost SQLInjection cel mai probabil nu au ajuns la baza de date sa o poata copia, ci doar au reusit sa modifice datele de acces pentru domeniile afectate. Tocmai de asta s-au modificat doar domenii mare care puteau oferi mai multa expunere.

    In RDS a fost ok pentru ca de obicei serverele lor DNS-caching raspund ceva mai greu la modificari… La fel, am vazut o idee pe undeva ca alti provideri ar fi afectati pentru ca folosesc serverele google (8.8.8.8 si 8.8.4.4), dar in situatia in care este afectat TLD-ul nu mai conteaza ce server folosesti pentru ca a fost schimbata zona.

    Faptul ca au fost resetate toate parolele nu cred ca a fost o masura a ROTLD, e penibil sa faci asta atata timp cat stii ce zone au fost afectate – repari ce e de reparat apoi stai la panda sa vezi cine si de unde vrea sa faca o magarie. Cel mai probabil cand testau posibilitatea de a folosi sqlinjection au rezolvat si asta – diferenta intre interogarile pentru toate adresele respectiv una singura e o conditie (set pass = x vs. set pass =x where domeniu = y).

    00
  45. @Mike, cred că-i prima oară când aud un comentariu pozitiv legat de latența modificărilor de pe serverele DNS de la RDS :D

    00
  46. daca nu sparg facebook-ul degeaba

    00
  47. @Mike: și cum îți dai seama care sunt domeniile compromise? Nu cred că rotld are competențele necesare pentru a le afla, asta dacă e și posibil în primul rând.

    00
  48. Meekuu, nu ştiu cât de pozitivă este afirmaţia legată de RDS. Mie de abia astăzi au început să-mi apară thumbnail-urile de pe prima pagina de la zoso.ro
    Imaginile din articole încă nu-mi apar. Sunt pe RDS.

    00
  49. suntem buni la spart severe din alte tari dar nu suntem in stare sa ni le protejam pe ale noastre……….cum dreaku vine asta?????????

    00
  50. Zoso, ăia de la Kaspersky nu se băteau cu pumnul în piept că 8.8.8.8-ul lui Gogu a fost otrăvit și au propagat NS-urile rogue mai departe? Ăștia de la Bitdefender au fost singurii care au zis de la început că e frecat ceva la RoTLD. Rușii de la Kaspersky și-au luat țeapă și nici măcar nu știau ce i-a lovit pe ei înșiși, erau prea ocupați să scrie blogposturi despre incident ca să vadă că NS-urile lor erau redirecționate către alt IP. Cum ar zice cineva: najpa.

    00
  51. vorbim de kaspersky aici :)

  52. @Ăla rău, modul în care funcționează DNS-ul face destul de dificilă diagnosticarea unei probleme de genul ăsta.
    Da, și eu am comentat în privat încă de dimineață că-i buba la rotld. Dar nu puteam să bag mâna în foc și nu-mi place să acuz public pe cineva fără dovezi clare.
    Dar de comentat am comentat că ăia de la kaspersky au mers pe o variantă extrem de improbabilă având în vedere faptul că au fost afectate doar .ro-uri.

    00
  53. @dojo se pot afla datele persoanelor fizice ce au domeniile inregistrate la rotld prin trimiterea unei solicitari si declaratii scrise , prin posta, la rotld. Au , sau cel putin aveau, pe site o sectiune cu pasii necesari pentru a afla datele de contact ale detinatorului unui domeniu

    00
  54. @razvan: ma indoiesc ca iti ofera mai mult de ceva date de contact, chiar si pentru persoanele fizice. E deranj mare cu datele personale in ziua de astazi.

    @Meeku: nu e greu daca e vorba de un simplu site, dar google are mai multe servere cache la noi (de 2 stiu eu, sunt mai multe in mod sigur). La ceva de genul asta (defacing) prima idee e ceva de genul „ba’, au spart aia serverul X”, iar daca iti spune cineva ca google.ro are o problema si cand verifici tu la tine constati ca merge ideea urmatoare ar fi ca e o problema cu cache-ul respectiv… In al doilea rand e greu sa tragi o concluzie din numele nameserverelor, respectiv reverse-ul inregistrat pentru IP-urile care raspund – am vazut reverse-ul cu joomla, dar atata timp cat stiam ca google are X zone de caching chiar ma gandeam ca ala ar fi legitim prin cinestiece datacenter din Olanda, si mai mult ca sigur la fel au gandit multi.

    Da, poate daca interogam ROTLD si vedeam ca e inregistrat ns-ul cu joomlapartner intram la banuieli… In rest modul cum functioneaza DNS e destul de simplu, zona PARINTE ar trebui sa raspunda corect in permanenta.

    00
  55. @mike – in urma solicitarii la rotld, primesti nume, prenume, adresa, telefon, email, nu mai imi aduc aminte, dar cred ca si cnp-ul. Suficicent si fara cnp oricum.

    Pana la urma, trebuie sa existe o modalitate de contact a posesorului unui domeniu, de catre o terta persoana.

    00
  56. @razvan: Conform ROTLD: „Conform „Legii nr. 677/2001 pentru protectia persoanelor cu privire la prelucrarea datelor cu caracter personal si libera circulatie a acestor date”, datele cu caracter personal ale persoanelor fizice nu se publica.”

    In momentul in care ROTLD raspunde la solicitarea cuiva (scris, email, fax, etc.) cu datele personale e ca si cum le-ar face publice, pentru ca nu poti controla cum foloseste acel „cuiva” datele respective.

    PS: suntem off-topic. In plus daca nu vii cu un argument care sa sustina afirmatia ta vorbim degeaba, cred. :)

    00
  57. Cei de la rotld au iesit sa recunoasca (cam sec, dupa parerea mea) ca au fost sparti… nici un cuvant despre schimbarea parolelor de administrare pentru TOTI utilizatorii

    https://rotld.ro/portal/news/ro/38/index.html/

    „Comunicat

    În noaptea de 27/28 noiembrie 2012 a avut loc un atac asupra server-ului de Administrare Domenii ro. Au fost modificate nameserver-ele la câteva domenii larg utilizate cum sunt google.ro, yahoo.ro, redirectându-le către o altă pagină de web. În interval de câteva ore a fost restabilită funcționarea domeniilor afectate.

    În vederea analizării cauzelor incidentului a fost stabilită o comisie la nivelul institutului și au fost luate o serie de măsuri imediate, menite să diminueze posibilitatea unor incidente nedorite de acest gen.

    În perioada imediat următoare rezultatele Comisiei de analiză vor fi făcute publice. Serverele DNS nu au fost afectate iar pe serverele RoTLD nu sunt stocate date despre tranzacțiile financiare.”

    00

Adaugă un comentariu

Câmpurile marcate cu * sunt obligatorii! Adresa de email nu va fi publicată.

1. Linkurile utile în context sunt binevenite.
2. Comentariile asumate fac bine la blăniță.
3. Șterg comentariile care îmi strică buna dispoziție.
4. Nu fiți proști, agramați sau agresivi la primele 50 comentarii aici.

Susținere

Susține acest blog cumpărând de la eMAG sau de la Finestore.