ux390_728x90_iip

Google.ro defaced – hackerii algerieni au fost pe fază (actualizat)

Google.ro nu a fost de fapt „spart de hackeri”, și nici nu a fost defaced, se pare că e vorba de manipularea DNS-urilor. Nu a fost schimbată pagina oficială cu una modificată de hackerii algerieni, cum credeam inițial. Evident, nu este un doodle oficial al Google. Imaginea a fost surprinsă de mai mulți utilizatori și postată pe Facebook. Nu am idee dacă A fost și pe pagina desktop, nu numai pe cea pentru telefoane mobile.
UPDATE: unii utilizatori spun că și Yahoo.ro a fost defaced de aceeași echipă.

Update 2: Vali spune că a fost DNS Poisoning. Ceea ce ar explica de ce se văd doar la unii..
Se pare că într-adevăr imaginea apare doar la unii utilizatori și are la bază schimbarea serverelor DNS. Că o fi poisoning sau hijacking, tot aia face.

Update 3, răspuns de la oficiali ai Google România (oferit pentru Computerblog.ro):

Oferta speciala pentru telefoanele Xiaomi din oferta eMAG ->>

„Serviciile Google din Romania nu au fost atacate. Pentru o perioadă scurtă de timp, unii utilizatori care vizitează www.google.ro și câteva alte adrese de web au fost redirecționate către un alt site web. Suntem în contact cu organizația responsabilă cu gestionarea numelor de domenii din România”

Update 4, Kaspersky ajunge la o concluzie similară, DNS hijacking:

The question which remains unanswered up until now is where exactly the DNS spoofing/poisoning attack has happened.There are several possible scenarios here:

RoTLD (the Romanian Top Level Domain Registrar) was hacked, allowing the attacker access to all .ro domains DNS settings. Not all .ro domains were affected, so this scenario is highly unlikely to have happened.
Google and Yahoo’s RoTLD accounts were compromised, allowing the attacker to just change their DNS settings. This scenario is also unlikely to have happened, as we’ve discovered that it’s not just Google and Yahoo websites, but also Paypal, Microsoft and others.
At the moment, our best guess is that an ISP-level DNS poisoning attack is happening in Romania. Some domains are redirected, others are not.

De aici. Mulțumiri lui Ștefan.

google.ro - defaced

google.ro – defaced

Eu am luat captura de la Roxana.

Sunt curios care vor fi explicațiile oficiale (dacă vor fi). Există și o discuție legată de faptul că problema ar putea fi la un anume ISP. Probabil e vorba de actualizări care nu au fost făcute la timp, iar vulnerabilitățile au fost exploatate din plin. Imaginea este semnată – By MCA-CRb, algerian hacker și care a fost ajutat de Mr-AdeL, i-HMx, Lagripe-DZ și membrii grupării Sec. Băieții promit „To be continued…”. Unii utilizatori spun că și yahoo.ro a fost temporar inaccesibil, având același mesaj. Din păcate în cazul yahoo.ro nu am print screen.

Acum trei zile, site-ul google.pk a fost spart de hackeri, dar în acel caz au avut o motivație politică.

O situație relativ similară a avut loc în Irlanda cu ceva vreme în urmă. Exact cu google.ie și cu yahoo.ie. Investigație IEDR (IE Domain Registry) a confirmat accesarea frauduloasă și modificarea datelor de DNS. De data asta semnătura era a unui hacker indonezian. Mulțumiri pentru informație celor de la APTI.

UPDATE 3 – am prima declarație de la Paypal:“Pagina localizata a PayPal pentru Romania este disponibila la adresa www.PayPal.com/ro. Pagina nu a fost afectata de atacul mentionat si a fost functionala tot timpul” – a declarat pentru Computerblog.ro Damien Perillat, Managing Director of PayPal in Central Eastern Europe.

UPDATE 4 – comunicat de presă oficial al ROTLD, via Mihai Voiculescu:

În noaptea de 27/28 noiembrie 2012 a avut loc un atac asupra server-ului de Administrare Domenii ro. Au fost modificate nameserver-ele la câteva domenii larg utilizate cum sunt google.ro, yahoo.ro, redirectându-le către o altă pagină de web. În interval de câteva ore a fost restabilită funcționarea domeniilor afectate.

În vederea analizării cauzelor incidentului a fost stabilită o comisie la nivelul institutului și au fost luate o serie de măsuri imediate, menite să diminueze posibilitatea unor incidente nedorite de acest gen.

În perioada imediat următoare rezultatele Comisiei de analiză vor fi făcute publice. Serverele DNS nu au fost afectate iar pe serverele RoTLD nu sunt stocate date despre tranzacțiile financiare.

Citeste


16 comentarii
  1. 1
    Marius says:

    Este si pe varianta de desktop:) acuma incercam eu sa vad care ii faza cu pagina asta ca nu intelegeam

  2. 2
    Miffy says:

    A fost valabila doar pentru google.ro cat si pentru yahoo.ro. Google.com functioneaza normal.

  3. 3
    Dan Dragomir says:

    Are cineva print screen cu Yahoo.ro defaced?

  4. 4
    Alex Blomkvist says:

    yahoo.ro pare ok de pe desktop in momentul de fata. google.ro e inca la fel, adica afiseaza imaginea cu pricina

  5. 5
    Dan Dragomir says:

    La mine se vad ok toate, o fi chestie de DNSuri

  6. 6
    Florin says:

    Am avut un proiect de terminat si am lucrat cu google.ro din zori pana mai inainte. A lucrat normal, nu a fost nici o problema. Problema a fost deci numai la unii….

  7. 7
    Alex C. says:

    Google nu a fost defaced, problema a fost de la rotld –> DNS Hijacking.

  8. 8
    Bogdan says:

    Si acum 1 luna Google.ie trimitea la un site infectat facut de un indonezian – atunci nameserverele de la domeniul .ie a fost atacat – vezi detalii la

  9. 9
    silviu says:

    Nu inteleg cum „Nu am idee dacă A fost și pe pagina desktop”. Tu ai facut postu asta din ciuperca ta magica ?

  10. 10
    Dan Dragomir says:

    Daca te uiti cu putina atentie, poate intelegi, textul a fost modificat, hai ca nu e greu…

  11. 11
    sorin says:

    La mine merge google.ro/com si orice alta terminatie :).

  12. 12
    Anonimvs says:

    http://www.google.ro is an alias for google.ro.
    google.ro has address 95.128.3.172

    http://www.google.ro has address 173.194.35.183
    http://www.google.ro has address 173.194.35.184
    http://www.google.ro has address 173.194.35.191

    http://www.google.ro has address 46.108.1.173
    http://www.google.ro has address 46.108.1.177
    http://www.google.ro has address 46.108.1.178
    http://www.google.ro has address 46.108.1.182
    http://www.google.ro has address 46.108.1.183
    http://www.google.ro has address 46.108.1.187
    http://www.google.ro has address 46.108.1.148
    http://www.google.ro has address 46.108.1.152
    http://www.google.ro has address 46.108.1.153
    http://www.google.ro has address 46.108.1.157
    http://www.google.ro has address 46.108.1.158
    http://www.google.ro has address 46.108.1.162
    http://www.google.ro has address 46.108.1.163
    http://www.google.ro has address 46.108.1.167
    http://www.google.ro has address 46.108.1.168
    http://www.google.ro has address 46.108.1.172

  13. 13
    Dan Dragomir says:

    Anonimvs, mersi, am prins ideea. De asemenea, link-ul spre securelist exista deja in text, mi l-au trimis chiar cei de la Kaspersky.

  14. 14
    Raul Opruta says:

    ISP-level DNS poisoning asta a fost de dimineata . Am un server care face dns recursiv si nu am avut probleme cu Google. Toti cei care fac forward in retelele locale la dns ISP au avut de suferit.

  15. 15
    Dan Dragomir says:

    Salut Raul,
    Din ce spune Kaspersky, doar DNS-urile Google au fost afectate, nu e problema de ISP.

  16. 16
    adi says:

    am banuit de dimineata ca rotld a fost spart si inca imi susitin ideea. ca si voi banuiesc, am urmarit cu interes post-urile lui Stefan de la Kaspersky.informatiile dns nu se replica simultan si nu in timp real. trebuie sa avem in vedere diferenta dintre caching nameservere si dns recursiv. ce nu inteleg eu, e timpul tardiv de reactie vizavi de relatia google-rotld, google fiind cel mai mediatizat..

Spune-ti parerea!

Adresa ta de email nu va fi publicată. Câmpurile obligatorii sunt marcate cu *