Cine ia Zmerura de Aur pentru Domain Management?
Dacă ar concura pentru cea mai mare gafă din istoria web-ului românesc, probabil că RoTLD ar lua Zmeura de Aur cum laude.
Pentru cei din locațiile mai îndepărtate ale Terrei, care citesc botezatu.info în ediție print, miercurea asta google.ro
, yahoo.ro
, paypal.ro
și (surprise) kaspersky.ro
s-au trezit redirectate către un site din Olanda, care fusese spart la rândul lui.
Pentru prima parte a zilei, toți vizitatorii sus-numitelor site-uri au fost redirecționați la joomlapartners.nl
, unde îi așteptau o miră de control cu un mesaj în engleză. Foto mai sus.
Preludiu: M-am trezit pe la 7 în zgomot de manele de la telefonul de serviciu. Cică treaba era groasă și trebuia să investigăm. Am dat un DNS lookup să văd cum stă treaba și am văzut că anumite servere de NS, de la diverși provideri care acceptă query-uri DNS din exterior, arătau google.ro ca punctând spre 95.128.3.172
. Care IP era wrong on so many levels.
VODAFONE xnetdns.xnet.ro (IP: 193.230.161.3) 95.128.3.172
Aaaaaand action: Chiar dacă pe resolve, răspunsul autoritativ ducea IP-ul spre serverul Google, serverele de DNS cache ale ISP-iștilor aveau deja în memorate răspunsul inițial, otrăvit, și-l serveau mai departe. Inclusiv celebrul serviciu de NS moca al Google (8.8.8.8
și 8.8.4.4
). Bineînțeles, prima impresie a fost “bă, e futut RoTLD”. Apoi un “neah, n-are cum” general. Apoi, la o analiză mai detaliată, am văzut că name servere din rețele diferite au interpretări diferite pentru același query, chiar dacă singura legătură comună e serverul de NS autoritativ al RNC. Între timp, yahoo.ro
S își revenise, dar fusese deja cașat de google și la site description era meta-tag-ul introdus de hackeri. Maxim, păcat că eram ocupat cu altceva și n-am pus de screenshot.
Aaaaand cut: până spre seară treburile reveniseră deja la normal și totul rezolva cum trebuie. Din nou liniște totală, în ciuda insistențelor cu care am încercat să-i contactez pe băieții de la RoTLD să văd ce se întâmplă. Știu că într-o situație de criză te ocupi de lucrurile urgente în locul declarațiilor pe social media, dar, pentru numele lui Trompi, de-asta aveți secretare, că nu cred că le foloseați ca mână de ajutor calificat pentru tratat situația.
Au trecut mai bine de două zile de la incident și tot nu există un răspuns oficial la ce s-a întâmplat. Singurul indiciu că s-a petrecut ceva e în screenshoturi și în resetul de parole masiv pentru toate domeniile .ro înregistrate prin RoTLD. Mai umblă vorba prin cele colțuri de web că lista de usernames, passwords și ce alte date mai erau asociate era ținută în plain-text. Nu cred că ar fi cineva chiar într-atât de tâmpit încât să țină parole de control panel pentru web-ul românesc în plain text, așa că vă rog s-o luați cu titlu de zvon.
Dacă mai e cineva de la RoTLD pe net (ceea ce nu cred, deoarece ultimul lor tweet e din mai 2010), luați aminte de la Edomenii, care s-au descurcat excepțional în comunicare la un incident mult mai neînsemnat.
Și nu în ultimul caz, mă așteptam ca anumiți specialiști, care au fost afectați de incident, să știe din ce motiv site-ul lor e redirectat spre Olanda. Sau, cum se zice, help yourselves before you help me.
PS: Merită să citiți puțin și despre aspectul penal al incidentului, cum e bine punctat aici.