storz dă bani lui 000webhost, 0,007 USD. Noi tehnologii super eficiente, de la VIP Bitcoin Hosting la Slow Coin, ZeroAccess, Symantec Stop Yahoo Email.

DNS poisoning pacaleste marea parte a mass-mediei din Romania

Pentru ca probabil lumea s-a obisnuit deja cu stirile facute pe genunchi, astazi totusi avem o noua dovada a incompetentei jurnalistilor cand vine vorba de stiri. Atat Mediafax (care este sa zicem fluxul principal de stiri din Romania), cat si multe alte ziare si site-uri mari, sa amintim de exemplu Capital, Realitatea TV, Cotidianul si multe multe altele, au sarit ca arse ca google.ro a fost spart. Mass-media romaneasca astfel este responsabila pentru ca a pus la dispozitia celor care au facut acest atac cookie-urile tuturor celor care au vizitat site-urile afectate, dupa ce au auzit la televizor ca ele au fost sparte. Va dati seama ca fiind redirectati toti catre serverul din Olanda, acolo li se putea lua cookie-ul, parole, etc. Sa vedem cine o sa isi ceara scuze public.

Desigur, nu este o stire uzuala, pentru ca daca te gandeai putin... cam care erau sansele ca Google dupa ce a avut un server spart, sa il mentina si online asa spart cu orele (later edit: cu toate ca nu si-a curatat cacheul pe 8.8.8.8 timp de cateva ore, rusine Google!)... De aceea pentru ca am fost contactati de cativa cunoscuti am verificat si din pacate pentru berzele din mass-media care au scris stirea in cauza fara sa o verifice, Google nu a avut nici un server spart. A fost doar un atac de tip DNS poisoning.

Cum se manifesta acest tip de atac? Nu este un atac uzual, cu care vanatorii de "hackeri" din mass-media care fura bani de pe Ebay sunt obisnuiti. Probabil ca fiind prea tehnic, nici nu o sa il inteleaga prea curand. Pe scurt:
- calculatorul dvs. ca sa gaseasca un site pe internet, gen google.ro, trebuie sa stie adresa IP al google.ro, pentru ca nu se conecteaza la site-ul google.ro ci la serverul care are IP-ul alocat google.ro unde va cere site-ul pentru google.ro
- aceasta conversie intre IP si google.ro, este facuta de serverele DNS, mai simplu spus ele spun ca daca tu cauti google.ro il gasesti la 62.231.91.84 de exemplu
- pentru ca internetul este structurat ierarhic, majoritatea oamenilor folosesc serverele DNS ale providerului de internet, care la randul lui in general ori le foloseste pe ale providerului de internet superior ierarhic sau ia direct rezultatele din ROOT servere
- ROOT serverele, sunt autoritatea suprema cand e vorba de DNS, sunt servere foarte securizate, rapide, care proceseaza cantitati enorme de cereri. Ele sunt imprastiate pe tot globul, tocmai pentru a nu se bloca tot internetul daca de exemplu pica un meteorit pe unul din ele
- daca cineva reuseste ca intr-unul din aceste nameservere pana la ROOT servere sa configureze ca google.ro pointeaza catre un site din Algeria, toti clientii de internet care folosesc acel nameserver, o sa aiba surpriza sa ajunga pe serverul din Algeria

Din datele initiale exista doua versiuni. Ori hackerii in cauza au reusit sa sparga un root server (de exemplu ROTLD) sau sa ruteze traficul catre el in alta parte, ori au folosit o vulnerabilitate pentru DNS si au facut poisoning masiv la toate nameserverele vulnerabile care le-au gasit in Romania. Tinand cont insa ca serverul public al Google 8.8.8.8 raspundea cu IP-ul hackerului cand era cerut google.ro, lucrurile sunt foarte complexe. Daca nu a fost poisoned din cauza Google, a fost din cauza ROTLD sau altui ROOT server de unde Google a facut resolve.

Solutia pentru clienti: daca aveti deja in cache-ul calculatorului site-ul din Algeria, nu aveti ce face decat sa asteptati pana expira DNS caching-ul.

Va mai pot ajuta si urmatoarele:
- restart la router/modem
- apoi restart la calculator, sau inchideti toate aplicatiile ce folosesc internet-ul si dati click pe Start, Run si comanda "ipconfig /flushdns" (desigur fara ghilimele)
- daca in continuare va apare site-ul din Algeria, inseamna ca serverul DNS pe care il folositi la provider are in cache intrarea cu Algeria si nu aveti ce sa faceti decat sa ii sunati sa ii dea un flush sau sa asteptati (24-48 ore)

Si pentru ca ieri mass-media ne-a intoxicat cu "hackerii" care fura bani de pe carduri, ii anuntam printre picaturi ca in general furtul de bani de pe carduri prin mijloace electronice se cheama carding. Iar in jargon, cei care se ocupa de carding in Romania, se numesc "carderi". Daca obtin datele printr-o pagina falsa, care de exemplu seamana cu Ebay, se cheama phishing. Iar daca acele carduri sunt obtinute din bazele de date ale vre-unui server pe care l-au spart, abia atunci poti sa zici ca ai hackeri care se ocupa cu carding.

(insa pentru a evita polemicile, probabil alta data discutam si despre ce inseamna hacker, cracker, blackhat, social-engineering etc)