Tehnologija
Sada čitate
Hakovan deo .rs domena

Današnji dan počeo je pričom kako je hakovan google.rs domen, a ispostavilo se da je došlo do hakerskog napada koji je sa Internet neba uklonio nekoliko desetina sajtova iz srpskog domen prostora koji se hostuju kod niškog provajdera NINET.

Kako se ispostavilo hakerska grupa iz Pakistana izvršila je napad takozvanim  trovanjem DNS keša (DNS Cache Poisoning Attack) što se u suštini svodi na to da napadač pokušava da „ubaci“ lažni adresni zapis za Internet domen unutar DNS (domain name server, odnosno server koji upravlja imanima domena). Ukoliko server prihvati lažni zapis (što se u ovom slučaju i desilo) keš postaje zatrovan i zahtev za određenom adresom na domenu se presreće adresom servera koji kontroliše napadač. Sve dok je lažni zapis keširan na serveru (a obično ti zapisi imaju period života od nekoliko sati) Internet pretraživač korisnika će automatski ići na adrese kompromitovanog DNS servera.

Najveći problem u ovoj priči je što se može desiti da korisnik misli da je na poznatom sajtu, a u stvari se nalazi na lažnom. Pri tome, za razliku od takozvanih phishing napada ovde se ne pojavljuje sumnjiva URL adresa u pretraživaču, već je svo vreme aktivna legitimna adresa. Uz ovakva vrsta napada jednim udarcem preusmerava hiljade korisnika na lažni sajt, a problem je tim veći što je domen popularniji. Otuda se na spisku adresa koje je ovo „trovanje“ našao i pomenuti google.rs.

U toku dana javnosti se obratio i Registar nacionalnog internet domena sledećim saopštenjem:

„Sinoć, 4. 12. 2012. godine, u periodu od 22:52 do 23:39 časa, izvršena je neovlašćena promena u bazi podataka adresa za 106 internet domena za koje je nadležan ovlašćeni registar „NINET Company d.o.o.“. Korisnici drugih ovlašćenih registara ni jednog trenutka nisu bili ugroženi zahvaljujući sistemu bezbednosti koji primenjuje RNIDS u svom radu. RNIDS je odmah po otkrivanju neovlašćenih promena blokirao pristup bazi od strane „NINET Company d.o.o.“. U toku je vraćanje ispravnih NS zapisa. Korišćenjem sigurnosnih propusta u sistemu „NINET Company d.o.o.“ i činjenice da je ovlašćeni registar mimo dogovora sa RNIDS-om omogućio neovlašćenu upotrebu softvera za registraciju .rs i .srb domena trećim licima, hakeri su izvršli promenu NS zapisa, uglavnom za nazive domena velikih svetskih kompanija registrovanih preko „NINET Company d.o.o.“.“

NINET, čiji je sajt u ovom trenutku (malo pre 19 časova) oboren zbog održavanja, objavio je nešto drugačiju informaciju u vezi sa celim slučajem:

„Danas 5.decembra u ranim jutarnjim časovima i pored najrigoriznijih mera zaštite došlo je do napada pakistanske grupe hakera na deo informacionog sistema firme Ninet Company ISP koji je ovlašćeni registar .rs domena. Hakerska grupa je tražila zvučna imena u .rs domenskom prostoru poput Google, Microsoft itd. Većina odgovarajućih .rs domena pripada jednom od reselera firme Ninet Company ISP, pa se hakerska grupa iz Pakistana fokusirala na preuzimanje kredencijala datog resellera kako bi uspesno izvršila napad i neovlašćeno izmenila DNS zapise. Brzom intervencijom administratora ovlašćenog registra Ninet Company DNS zapisi su vraćeni i svaka dalja neovlasćena promena je sprečena. S obzirom da je Ninet Company ISP jedan od vodećih ovlašćenih registara sa najvećim brojem inostranih resellera koji registruju vrlo primamljive .rs domene, samim tim je konstantno izložen raznim vrstama napada. NiNet Company će zbog ovog poslednjeg napada u nizu, primeniti još rigoroznije sigurnosne mere, prevashodno za resellere domena. Nijedan drugi deo DNS infrastrukture, korisničkih niti bilo kojih drugih podataka nije afektiran ovim kratkotrajnim napadom.“

O autoru
TajmLajn