Google.ro nu a fost de fapt “spart de hackeri”, și nici nu a fost defaced, se pare că e vorba de manipularea DNS-urilor. Nu a fost schimbată pagina oficială cu una modificată de hackerii algerieni, cum credeam inițial. Evident, nu este un doodle oficial al Google. Imaginea a fost surprinsă de mai mulți utilizatori și postată pe Facebook. Nu am idee dacă A fost și pe pagina desktop, nu numai pe cea pentru telefoane mobile.
UPDATE: unii utilizatori spun că și Yahoo.ro a fost defaced de aceeași echipă.
Update 2: Vali spune că a fost DNS Poisoning. Ceea ce ar explica de ce se văd doar la unii..
Se pare că într-adevăr imaginea apare doar la unii utilizatori și are la bază schimbarea serverelor DNS. Că o fi poisoning sau hijacking, tot aia face.
Update 3, răspuns de la oficiali ai Google România (oferit pentru Computerblog.ro):
“Serviciile Google din Romania nu au fost atacate. Pentru o perioadă scurtă de timp, unii utilizatori care vizitează www.google.ro și câteva alte adrese de web au fost redirecționate către un alt site web. Suntem în contact cu organizația responsabilă cu gestionarea numelor de domenii din România”
Update 4, Kaspersky ajunge la o concluzie similară, DNS hijacking:
The question which remains unanswered up until now is where exactly the DNS spoofing/poisoning attack has happened.There are several possible scenarios here:
RoTLD (the Romanian Top Level Domain Registrar) was hacked, allowing the attacker access to all .ro domains DNS settings. Not all .ro domains were affected, so this scenario is highly unlikely to have happened.
Google and Yahoo’s RoTLD accounts were compromised, allowing the attacker to just change their DNS settings. This scenario is also unlikely to have happened, as we’ve discovered that it’s not just Google and Yahoo websites, but also Paypal, Microsoft and others.
At the moment, our best guess is that an ISP-level DNS poisoning attack is happening in Romania. Some domains are redirected, others are not.
De aici. Mulțumiri lui Ștefan.
Eu am luat captura de la Roxana.
Sunt curios care vor fi explicațiile oficiale (dacă vor fi). Există și o discuție legată de faptul că problema ar putea fi la un anume ISP. Probabil e vorba de actualizări care nu au fost făcute la timp, iar vulnerabilitățile au fost exploatate din plin. Imaginea este semnată – By MCA-CRb, algerian hacker și care a fost ajutat de Mr-AdeL, i-HMx, Lagripe-DZ și membrii grupării Sec. Băieții promit “To be continued…”. Unii utilizatori spun că și yahoo.ro a fost temporar inaccesibil, având același mesaj. Din păcate în cazul yahoo.ro nu am print screen.
Acum trei zile, site-ul google.pk a fost spart de hackeri, dar în acel caz au avut o motivație politică.
O situație relativ similară a avut loc în Irlanda cu ceva vreme în urmă. Exact cu google.ie și cu yahoo.ie. Investigație IEDR (IE Domain Registry) a confirmat accesarea frauduloasă și modificarea datelor de DNS. De data asta semnătura era a unui hacker indonezian. Mulțumiri pentru informație celor de la APTI.
UPDATE 3 – am prima declarație de la Paypal:“Pagina localizata a PayPal pentru Romania este disponibila la adresa www.PayPal.com/ro. Pagina nu a fost afectata de atacul mentionat si a fost functionala tot timpul” – a declarat pentru Computerblog.ro Damien Perillat, Managing Director of PayPal in Central Eastern Europe.
UPDATE 4 – comunicat de presă oficial al ROTLD, via Mihai Voiculescu:
În noaptea de 27/28 noiembrie 2012 a avut loc un atac asupra server-ului de Administrare Domenii ro. Au fost modificate nameserver-ele la câteva domenii larg utilizate cum sunt google.ro, yahoo.ro, redirectându-le către o altă pagină de web. În interval de câteva ore a fost restabilită funcționarea domeniilor afectate.
În vederea analizării cauzelor incidentului a fost stabilită o comisie la nivelul institutului și au fost luate o serie de măsuri imediate, menite să diminueze posibilitatea unor incidente nedorite de acest gen.
În perioada imediat următoare rezultatele Comisiei de analiză vor fi făcute publice. Serverele DNS nu au fost afectate iar pe serverele RoTLD nu sunt stocate date despre tranzacțiile financiare.
Este si pe varianta de desktop:) acuma incercam eu sa vad care ii faza cu pagina asta ca nu intelegeam
 
A fost valabila doar pentru google.ro cat si pentru yahoo.ro. Google.com functioneaza normal.
 
Are cineva print screen cu Yahoo.ro defaced?
 
yahoo.ro pare ok de pe desktop in momentul de fata. google.ro e inca la fel, adica afiseaza imaginea cu pricina
 
La mine se vad ok toate, o fi chestie de DNSuri
 
Am avut un proiect de terminat si am lucrat cu google.ro din zori pana mai inainte. A lucrat normal, nu a fost nici o problema. Problema a fost deci numai la unii….
 
Google nu a fost defaced, problema a fost de la rotld –> DNS Hijacking.
 
Si acum 1 luna Google.ie trimitea la un site infectat facut de un indonezian – atunci nameserverele de la domeniul .ie a fost atacat – vezi detalii la
 
Nu inteleg cum “Nu am idee dacă A fost și pe pagina desktop”. Tu ai facut postu asta din ciuperca ta magica ?
 
Daca te uiti cu putina atentie, poate intelegi, textul a fost modificat, hai ca nu e greu…
 
La mine merge google.ro/com si orice alta terminatie :).
 
http://www.google.ro is an alias for google.ro.
google.ro has address 95.128.3.172
http://www.google.ro has address 173.194.35.183
http://www.google.ro has address 173.194.35.184
http://www.google.ro has address 173.194.35.191
http://www.google.ro has address 46.108.1.173
http://www.google.ro has address 46.108.1.177
http://www.google.ro has address 46.108.1.178
http://www.google.ro has address 46.108.1.182
http://www.google.ro has address 46.108.1.183
http://www.google.ro has address 46.108.1.187
http://www.google.ro has address 46.108.1.148
http://www.google.ro has address 46.108.1.152
http://www.google.ro has address 46.108.1.153
http://www.google.ro has address 46.108.1.157
http://www.google.ro has address 46.108.1.158
http://www.google.ro has address 46.108.1.162
http://www.google.ro has address 46.108.1.163
http://www.google.ro has address 46.108.1.167
http://www.google.ro has address 46.108.1.168
http://www.google.ro has address 46.108.1.172
 
Anonimvs, mersi, am prins ideea. De asemenea, link-ul spre securelist exista deja in text, mi l-au trimis chiar cei de la Kaspersky.
 
ISP-level DNS poisoning asta a fost de dimineata . Am un server care face dns recursiv si nu am avut probleme cu Google. Toti cei care fac forward in retelele locale la dns ISP au avut de suferit.
 
Salut Raul,
Din ce spune Kaspersky, doar DNS-urile Google au fost afectate, nu e problema de ISP.
 
am banuit de dimineata ca rotld a fost spart si inca imi susitin ideea. ca si voi banuiesc, am urmarit cu interes post-urile lui Stefan de la Kaspersky.informatiile dns nu se replica simultan si nu in timp real. trebuie sa avem in vedere diferenta dintre caching nameservere si dns recursiv. ce nu inteleg eu, e timpul tardiv de reactie vizavi de relatia google-rotld, google fiind cel mai mediatizat..