20 comments
Hai sa vorbim un pic si de faptul ca parolele sunt pastrate in clar in baza de date ROTLD. Dovada: atunci cand ceri resetarea parolei de mai multe ori primesti aceeasi secventa de caractere.
Este o problema fundamentala de securitate si motivul pentru care toti detinatorii de domenii .ro au acum parolele resetate la ROTLD.
Dar dac-am folosit parola aceea si la alt cont (pentru hosting de exemplu)? Problema mea, nu?
Este trist. Si inadmisibil.
PS Nu re-folosesc parolele (vezi http://bit.ly/SvAxdp ) dar sunt multi oameni care practica.
Comment from: bogdan
Dap, vad ca si Zoso zice ca baza de date (cu tot cu parole) a fost compromisa.
Deci colac peste pupaza avem si o problema majora de securitate a datelor personale.
Va dati seama ce ar fi fost ca hackerul ala sa fi modificat toate domeniile .ro ?!?! LOL
Hai sa ne bucuram ca inca merg unele!
Comment from: Stefaniu Criste
O reactie exista si la ROTLD: pagina de administrare online a domeniilor nu mai exista.
Asta da securitate!
Aveti si mai jos detaliile de ieri:
http://www.hosting-web.ro/DNS%20poisoning%20si%20Google-224.htm
(teorii care au fost facute inainte de Bitdefender si restul, exact cand s-a intamplat)
Grav (si credeti-ma ca am latrat pe multe canale) nu este numai ca nu au anuntat. Ci ca toti vizitatorii care au accesat acele site-uri, si-au lasat cookie-urile acolo!
Ganditi-va putin. Site-ul acela cu mira algeriana a functionat impecabil. In conditiile in care va puteti imagina cam cat trafic are google.ro/yahoo.ro/sicinestieceamaifost.ro
Ati vazut ca emag si restul nu fost in stare sa tina un magazin online (si se asteptau la trafic), apai sa tii traficul generat catre google.ro, yahoo.ro etc.
Deci, tinand cont de chirurgia cu care a fost facut atacul, eu zic ca 99% acolo pe serverul din Olanda s-au colectat cookies masiv si alte date. Media a amplificat acest lucru, anuntand pe o gramada de fluxuri “uitati, google.ro spart!". Normal, toti au sarit sa vada pagina sparta, fara sa stie ca defapt si-au lasat cookie-urile acolo. Ati vazut pe cineva sa isi ceara scuze din mass-media ulterior? Nu. Mai exact azi dimineata vorbind cu mai multi, nici macar nu au inteles ce au facut. M-am si lasat pagubas sa le explic…
Google pe de alta parte, iese cu o declaratie de marketing(sau asa a fost prezentata de mass-media), in loc (culmea) sa isi fixeze propriul server 8.8.8.8 unde erau inca la pranz inregistrarile DNS false catre site-ul spart in cache, servindu-le intr-o veselie la romani. Eh, asta din pacate depaseste limitele profesionalismului si nu au nici o scuza.
Ati vazut cumva vre-un anunt catre toata tara (in afara de al meu) cum sa isi schimbe toti urgent parolele pe site-urile pe care le-au accesat si au vazut mira algeriana? NU.
Deci, comparat cu actiunea FBI/EBAY/blabla in care super-hackerii care fura bani de pe carduri au fost luati pe sus, atacul de ieri a fost de o clasa net superioara si chirurgicala. Atat de superioara, ca puteai seara sa numeri pe degete persoanele din Romania care si-au dat seama ca e o problema de securitate nationala si ce s-a intamplat defapt.
Va dati seama ca puteau face orice cu orice domeniu .RO, nu? Ca puteau redirectiona banci, sri, sts, gov, pagini transparente, TOT. Probabil au si facut-o… Puteau sa va opreasca toate domenii .RO, ceea ce facea haos in Romania zile intregi pana se propagau din nou nameserverele. Puteau sa va puna un curs BNR pe un site fals, sa trimite/confirme email-uri in numele unora… deci chestii f.f.f.f. grave si complexe.
Pe scurt, si scuze de wall-text, dar sunt printre putinii care stiu exact ce efecte a avut ce a fost ieri si mai ales ce efecte putea sa aiba(de aceea am tot latrat:))), ce s-a intamplat ieri a fost de departe mai grav decat toate actiunile pe care le-au facut hackerii romani adunate gramada.
Nu ma apuc sa judec ROTLD, acolo sunt si oameni ok. Dar lectia de ieri este clara:
- cand vedeti stiri despre hackeri in mass-media, nu sunt despre hackeri pentru ca au putut sa inteleaga ce au facut
- cand un hacker face ceva intr-adevar de calitate, toti isi fac cruce si nu inteleg nimic
- nimeni nu trebuie sa aiba putere absoluta asupra multor lucruri. Aviz Google & co
- reglementarile in domeniu sunt inutile, standarde, tot. Vezi Sony.
- atata timp cat faci ceva online/eletronic, poti fi sigur ca cineva isi poate baga nasul in el anytime/anywhere.
Comment from: bogdan
@Stefaniu Criste - ok, deci toate parolele au fost resetate - alta stire absolut neimportanta de comunicat.
@Emil - nu stim daca s-a colectat ceva pe site-ul respectiv la fel si daca ar fi putut folosi cumva acele date.
Cum de fapt nu stim si cam citi utilizatori au fost afectati (eu am vazut OK toata ziua google.ro de exemplu).
Dar daca se puteau folosi - atunci ar fi trebuit inca de ieri anuntul public.
BTW - in cazul de la .ie - hacherilor din Indonesia le-a picat serverul rapid. Deci sau astia au avut un server beton, sau au fost destul de putini afectati.
In general nu se asigura nici un hacker sa mentina cu asa ferocitate o pagina defaced online, cum au facut-o ei. De aceea cred ca scopul a fost colectarea de date de la site-urile importante (paypal, google, yahoo etc), de unde puteau face check-out la bani usor, avea acces la email-uri, documente etc.
Altfel, cei care fac deface la un site, publica pe internet pentru fame pe diverse mirrors, apoi nu ii intereseaza chiar dau mail la sysadmin etc. In nici un caz nu pun atatea resurse sa mentina o mira algeriana la trafic masiv. (deci un server normal, nu avea cum sa tina atata trafic, iti trebuie cloud/load balancing si un hosting bullet proof unde sa fii sigur ca nu dispare site-ul la primul telefon de abuse). Deci a fost chirurgie ce au facut, o chestie foarte sofisticata si tehnica:)
E nasol pentru cei ce au domenii .RO, pe langa faptul ca toti ar trebui sa verifice ca nu si-au pierdut domeniile, multi nici nu mai au adresa de email valida la ROTLD… Noroc ca nu au stiut algerienii ca pe 1 decembrie era ROTLD in vacanta, ca sa vezi atunci distractie cu google.ro defaced…
Comment from: sucku
@Dico - mda, iti trebuie tehnologie nasa sa ti un server web cu cativa giga de ram ca sa serveasca o imagine statica :)),iar cookie-urile se trimit de server si se stocheaza la client.
Scri mult, dar degeaba.
Comment from: Ionel
@Dico si @sucku - eu stiam ca daca de exemplu primesti un mail sau intri pe un site,forum etc unde ai efectuat o logare si dai pe un link de genu cookie stealer iti fura “placintuta” cu datele de logare de pe acel site.Intrand pe siteul cu acea mira algeriana nu vad ce cookie sa fure daca nu a existat logare.Sau poate fura toate cookie din pc?Si ma gandesc ca astfel de practici sunt valabile doar pentru Internet Explorer si nu prea functioneaza pe Opera,FF sau Chrome.Poate spun prostii,dac e cineva in masura il rog sa ma corecteze.
Comment from: adi
un apache lasat configurat by default, nu tine. in plus, omiti ce e mai important. banda. sau bandwith. revenind la limba romana, pentru determinarea corecta a nEumarului de i dintr-un cuvint, iti recomand, fara ironie, articularea substantivului magar.
@sucku trebuie sa te gandesti ca nu s-au redirectionat 10-100 de vizitatori constant, ci toti vizitatorii care accesau site-urile de top din Romania + refreshurile de rigoare, scripturi, plus ce a trimis mass-media in prostia ei mediatizand etc. Gandeste-te cam cate procese trebuie sa spawn ca sa sustii acel trafic si banda. Probabil asa s-au gandit si cei cu bac-ul cand tot le picau serverele, emag etc :p Calculele nu sunt simple, gen inmultesti marimea pozei cu vizitatorii, pentru ca in mod sigur site-ul in cauza a avut si flood-uri in cap intre timp si alte nebunii. Iar viteza cu care raspundea constant + contextul, arata chirurgie. Eu iti spun din experienta, avand la activ load-balancing-uri complexe si trafic masiv.
(plus ca nu te lasa nici un provider de gazduire sa ai trafic milioane de vizitatori pe zi, pe un server, toti au filtre anti-flood, daca nu era un server bullet-proof, era blocat in cateva minute la traficul generat, cautati pe net ce inseamna bullet-proof hosting, ca sa nu mai insir aici)
@ionel si @sucku cookie-urile se stocheaza pe calculatorul tau. Insa cand te conectezi la un server, browserul tau trimite acele cookies de pe calculatorul tau catre server, daca nu ii interzici in mod special asta, 99.99% dintre browsere fac asta. Mai exact daca vhost-ul de pe serverul in cauza era configurat cu google.ro, browserul tau crede ca este chiar google.ro si ii trimite cookie-urile. Este metoda prin care un site stie ca esti tot tu cand dai click pe un link si schimbi pagina, sau ca esti tot tu cand ai de exemplu IP sursa dinamic.
Nu, nu se trimit toate cookie-urile din PC, ci doar cele care apartin domeniului pe care il vizitezi. Si asta legit, deci fara exploit-uri etc. Asa functioneaza cookie-urile. (ma rog, un exemplu simplu). Ulterior, persoana care ti-a luat cookie-urile, le foloseste si intra in contul tau fara nici o autentificare daca nu ai dat logout intre timp de pe acel site si nu ti s-a sters sesiunea.
Stiu ca pare complicat, insa am dat exemple usoare care speram ca pot fi intelese. In cazul de fata, algerienii in cauza puteau sa faca niste atacuri de o complexitate extrema, interceptari transparente de date, recuperari de parole de pe alte site-uri, sa ia parolele de la diverse site-uri din Romania, ftp, email, sql, sa injecteze cod in paginile altora si f.f.f multe chestii. Cred ca si daca as face o conferinta o zi intreaga dedicata pentru asta nu as putea sa acopar tot ce puteau face, si algerienii stiau foarte bine ce pot face daca au reusit acest atac dpdv tehnic. Ganditi-va doar daca aparea pagina BNR cu cursul euro fals o zi intreaga ce se intampla, daca pe paginile guvernamentale apareau mesaje rasiste, muuuulte exemple…
Iar daca nu voiau sa colecteze date, nu redirectionau paypal.ro, exista site-uri cu trafic mai mare ca paypal.ro daca voiau doar fame. Puteau de exemplu sa redirectioneze ziarele.
Insa faptul ca Romania a dat-o in bara la acest atac informatic, iar f.f. putini si-au dat seama ce s-a intamplat si cei responsabili tac malc, stiind ca cei care se pricep nu ies in mass-media, este cel mai grav lucru. Media a latrat ani de zile basme cu “hackeri” imaginari pe care i-a exagerat pentru rating, care erau doar incepatori, si cand in sfarsit s-a interactionat cu un hacking profesionist, nu a inteles nimeni nimic. Cam asta e puterea “legendara” despre care ati auzit ca o au hackerii, de aceea sunt temuti de FBI si altii, si nu pentru ca fura banii de pe carduri. Pot face lucruri devastatoare, greu de inteles, rapid, cu resurse infime.
Scuze de greseli, dar nu corectez ce scriu, si de spam-post, sper sa ma tolereze Bogdan, dar incerc sa va explic. Si mi-am permis sa explic aici, pentru ca Bogdan a fost unul dintre putinii chiar si-au dat seama (desigur pe partea legala) de gravitatea faptului, iar pentru ca aici este un loc unde gasiti lucruri de calitate si nu trash/copy/paste ca pe alte site-uri, mi-am permis sa completez postul lui dpdv tehnic/securitate.
Hai mai nu mai fiti rai, ca au recunoscut pana la urma, astptam acum toti cu interes rezultatele comisiei de analiza:)
Comment from: adi
Emil, eu personal iti multumesc pentru post. Ma bucura sa aud de oameni care chiar au inteles ce s-a intimplat si gravitatea faptului.
Sint curios sa iti aflu parerea despre securelist ce a fost primul site care a banuit si a postat ceva despre …DNS si rotld. Si mai sint curios de ceva. Poate face cineva macar o estimare asupra “pagubelor” ? Astept cu interes acel raport, chiar daca e facut doar de o comisie interna..
Toate bune tuturor.
Comment from: adi
@emil
afirmatia mea ca securelist e primul care a postat despre subiect, e o presupunere.
Nu stiu daca a fost primul, e mai putin important, dar a fost printre primele intr-adevar, dupa care au venit toti cu update-uri. Au fost in paralel cu mass-media care anunta de zor sa se duca lumea sa vada google.ro si yahoo.ro sparte.
Oricum, de exemplu Costin Raiu care l-ai vazut probabil raspunzand acolo, este cel care a facut RAV, primul antivirus romanesc prin 1990siceva, pe vremea cand exista Onehalf si floppy-disk-urile erau la moda (in acea perioada eu aveam cateva honeypots in Romania etc).
Cat timp ROTLD tace malc referitor la ce a fost la ei (si sigur nu o sa dea detalii tehnice) si nu se stie ce s-a intamplat pe serverele unde a fost gazduita mira algeriana din Olanda, nu se poate estima nimic. Poti cu riscurile de rigoare sa iti dai seama de behaviour-ul hackerului din activitatea/urmele pe care le-a lasat pe serverele in cauza. Daca are cunostinte de asm/kernel/etc si atacul a fost sofisticat, cel mai probabil e bagat prin toate serverele pe care a putut sa intre la nivel de kernel, ascuns bine si are destule date/backdoor-uri/puncte de start cat sa intre iar + ca si-a sters de mult o parte din urme. Ai nevoie de change-everything/reinstall/reconfig, sau unul la fel de specialist ca sa cotrobaie dupa el. Repet, cu riscul de a rata acea secunda/punct de intrare prin care intra din nou si infecteaza iar in cateva secunde ce te-ai chinuit sa fixezi/schimbi ore/zile. Este f. complicat sa ii scoti din ecuatie pe hackeri o data intrati cand se pricep si sa mentii si servicii/servere online.
Eu personal le-am recomandat celor de la ROTLD, specificand ca nu trebuie sa imi dea vre-un reply, sa anunte impreuna cu mass-media (mai ales ca mass-media poarta o mare bucata din vina), utilizatorii care au vazut mira algeriana sa schimbe parolele de la site-urile pe care au intrat cand au vazut acea mira. Macar atat trebuiau sa faca. Utilizatorii erau cei mai importanti. Acum, nu o sa ii mai pese nimanui daca maine apare Xulescu si zice ca i-au disparut banii din Paypal, sau ca Yulescu zice ca site-ul lui se manifesta ciudat si si-a gasit nameserverele schimbate, sau Wulescu tocmai a constatat ca datele lui personale au ajuns la cucurigu in Rusia la spammeri etc.
(iar am scris mult, sorry;)))
Comment from: Skello
@Emil
Google.ro din cate stiu are HTTPS by default, ceea ce inseamna ca cookie-urile de sesiune (autentificate) au flagul Secure si HttpOnly, adica nu pot fi citite decat de domeniul google.ro peste HTTPS.
Prin urmare nu puteau sa fure cookie-urile de utilizatorii Google decat daca foloseau o conexiune HTTPS pe serverul unde au directionat google.ro. Pentru asta trebuiau sa aiba si un certificat valid SSL pentru google.ro, ceea ce e foarte foarte foarte greu de obtinut si ar fi fost o problema mult mai mare decat atacul asta in sine.
De asta toate site-urile importante ar trebui sa forteze HTTPS default sau cel putin de la pagina de autentificare mai departe pentru durata sesiunii si cu flag Secure la cookies.
Comment from: Stefaniu Criste
Bun, sa zicem ca au trecut toate.
La ROTLD, parolele domeniilor insa, sunt stocate in continuare in text clar (ia solicitati de doua-trei ori regenerarea parolei la un domeniu .ro, o sa primiti aceeasi parola de fiecare data).
Oricâte ziduri ar avea ROTLD, asta e o gaură de securitate majoră.
Bonus: dacă situația la ROTLD a fost atât de gravă pe cât ne-am imaginat-o (ex: bnr.ro in loc de google.ro), nu era cazul ca CSAT sa se autosesizeze si sa ia problmea in brate ?
@Skello dupa cum am zis de cand s-a facut atacul in cauza, Google are prea multe aplicatii etc sa tii cont de toate cookie-urile etc. De aceea am si spus ca cel mai bine era daca apareau cei de la Google si ziceau ceva in paralel cu ROTLD, dar si ei au tacut malc.
Nu am incercat sa inregistrez un wildcard google.ro sa vad daca merge, dar la automatizarea din ziua de azi nu ar fi exclus, din cate stiu a aparut de cativa ani ca parte din phishing folosirea de certificate (selfsigned ce dau warning etc), personal nu am vazut semnate, dar nu inseamna ca nu exista:)
http://www.theregister.co.uk/2013/01/04/turkish_fake_google_site_certificate/
Google and other browser vendors have taken steps to block an unauthorized digital certificate for the ” *.google.com” domain that fraudsters could have used to impersonate the search giant’s online services.
According to a blog post by software engineer Adam Langley, Google’s Chrome team first discovered a site using the fraudulent certificate on Christmas Eve. Upon investigation, they were able to trace the phony credential back to Turkish certificate authority Turktrust, which quickly owned up to the problem.
It seems that in August 2011, Turktrust mistakenly issued two intermediate certificates to one of its customers, instead of the ordinary SSL certificates it should have issued. It was one of these more trusted certificates that allowed the customer to generate the fake ” *.google.com” certificate, unbeknownst to Turktrust or Google.
Comment from: ionela
nu ma pot conecta la google: imi spune security warning -there are problems with the security for this site desi acum 3 zile a mers.
multumesc
Comment from: Marcos
Am un prieten care a avut site-ul primul la cautare pe google…ieri s-a trezit cu acesta pe pagina nr 6, defapt acesta nu mai este site-ul in sine, ci doar notificari…ce se intampla??unde putem apela pentru remedierea situatiei?