Intră tot poporu’ pe net de dimineață și în loc de google.ro vede o pagină neagră cu mesajul unui albanez algerian. “Pfuaaai ! Știre !!!” – Urlă jurnalistu’ din ei. Și se apucă voios de scris începând cu magicele “Google a fost spart !”.

Da’ ia hai să ne documentăm noi puțin înainte de-a mânca răhățel. Întâi și întâi ar trebui să cunoaștem metodele prin care un astfel de mesaj ar putea să apară pe o pagină de net. Primul care vă vine în minte este într-adevăr deface-ul. Adică spart serverul pe care e găzduită pagina și înlocuită pagina respectivă cu un mesaj.

Dar în cazul ăsta vorbim despre Google. De câte ori am văzut noi Google spart și mai ales de către un algerian albanez (doar știm o grămadă de bancuri cu albanezi… ). Hai să mergem mai departe de deface. Cum mai putem înlocui un mesaj care apare pe domeniu.ro ? Păi dacă am reuși să avem acces la serverele dns am putea înlocui răspunsul la cererea de dns pentru domeniu.ro și am redirecta utilizatorii către un alt IP din cu totul altă parte.

Serverul companiei rămâne neatins dar utilizatorii (care folosesc nume de domenii nu adrese IP) sunt redirectați pe un alt server pe care atacatorul are acces. Asta se cheamă DNS Hijacking. Și cam asta s-a întâmplat azi.

Partea foarte frumoasă este că asta se întâmplă de obicei pe serverele dns ale companiilor. Însă aici se pare că s-a întâmplat direct pe tld (adică pe .ro) și ceva a mers prost direct la rotld. (Acum da, pot să fiu 90% sigur c-a fost buba pe la rotld).

La interogare cu nslookup apare următorul IP- 95.128.3.172. Despre care aflăm în urma unui whois că este de prin Olanda și nu are absolut nicio legătură cu Google.

În mod normal ar fi trebuit să apară fie IP-uri de google (173.194.35.x) fie cache-uri locale de pe la noi (46.108.1.x – adnet telecom) unde poți să vezi în reverse că e cache google.

Dar deja nu mai e atât de funny și o știre despre cum a fost spart Google se transformă într-o știre în cât de incompetenți sunt românii. Și asta doare…

Na c-o pățesc și eu. Da’ măcar eu am scuza că nu câștig o pâine din asta. Răspunsurile primite de la 8.8.4.4 sunt în continuare primite cu 95.128.3.172 în timp ce de la 8.8.8.8 răspunsurile sunt ok. Pentru google.ro. Ce s-a întâmplat exact nu pot să spun însă ce e clar este că nu e nici un deface.

Update: Să mai comentăm nițel ce se speculează. Umblă vorba cum că cele 2 DNS-uri publice de la google ar fi fost cele afectate. Nu zic că e 100% imposibil spun doar că este improbabil. Și sunt 2 motive principale care susțin lucrul ăsta :

1. Nu returnează tot timpul adresa IP a serverului din Olanda ci doar din când în când (deci este servită de undeva din altă parte).

2. Dacă într-adevăr ar fi fost sparte cele 2 DNS-uri, DNS-uri care sunt folosite nu numai la noi în țară ci cam peste tot, nu văd de ce un hacker n-ar redirecta și cererile pentru alte domenii, nu numai pentru domeniile .ro.

Update2 : Cum putea fi investigat mai în amănunt ce s-a întâmplat ? Păi, ce încercam eu să fac acum de exemplu era să interoghez nameserverele pentru .ro (e o listă de vreo 5 servere) pentru domeniile afectate. Și să văd dacă nu cumva unul din ele îmi servește niște servere authoritative aiurea. Din câte văd la ora asta nu mai este cazul însă este posibil să fi stat altfel lucrurile dimineață. La ora asta problema pare să se fi rezolvat cam peste tot (8.8.4.4 încă îmi servește IP greșit pentru paypal.ro dar este posibil să fie de prin cache-uri). Restul funcționează ok. Chiar aștept explicațiile oficiale pentru că e interesant ce s-a întâmplat.