Recientemente nos habíamos enterado que el Ejército Electrónico Sirio, SEA por su sigla en inglés, había atacado el sitio web del New York Times provocando un corte de servicio durante algunos momentos, lo que se vio seguido por una intrusión en Twitter que ocasionó otra clase de daños menores y no logró escalar en términos de gravedad.
Ya sabíamos que el grupo de hackers había intervenido los servidores del DNS para la dirección twitter.com, sin embargo, no se cambiaron las direcciones IP a las que redirige el dominio y por lo tanto, no hubo daño concreto que medir aparte de la evidente brecha de seguridad, ya que por momentos el registro incluso estuvo a nombre del SEA.
Aparte de aquello, los hackers obtuvieron acceso profundo a los servidores donde se alojan las imágenes que forman parte de Twitter (twimg.com), resultando en que por momentos varios usuarios reportasen un cambio involuntario en su imagen de fondo para el perfil en la web, reemplazándose por otras que aludían al conflicto en Siria.
La problemática duró cerca de dos horas el día martes 27 de agosto, hasta que Twitter en un comunicado oficial aclaró que todo esto efectivamente ocurrió, pero que ya había sido puesto bajo control.
El origen del problema
Todavía no se sabe cómo los atacantes lograron actualizar los nombres de los servidores de estas empresas sin autorización. Según una investigación de CloudFlare, los hackers obtuvieron acceso al panel de control de la empresa que administra los dominios del NYTimes, Twitter, el Huffington Post y otros sitios afectados por lo mismo. La compañía, MelbourneIT, no ha entregado mayores detalles aún.
De esta forma, los registros modificados fueron ingresados por los hackers a través de MelbourneIT, que a su vez envió la información cambiada al registro Verisign, que administra los dominios .com.
Una vez conocido el problema, Verisign revirtió los cambios a los nombres de servidores e instaló un “candado” al registro NYTimes.com, para evitar que se realicen cambios incluso por la empresa que gestiona su dominio.
El candado explica por qué Twitter.com no fue redirigido como ocurrió con NYTimes.com – si bien otros dominios derivados fueron afectados, Twitter había instalado un candado en su registro principal.
El sitio al que estaba siendo redirigida la web del periódico contenía malware, y una rápida acción de OpenDNS y el equipo de DNS de Google permitió limitar la exposición de las personas a este virus, pero existe un porcentaje que sí se vio afectado.
El hackeo revela el daño que puede provocar redirigir el DNS de un sitio – los DNS está en el núcleo de Internet, no sólo para surfear la web, sino que también se utiliza para enrutar e-mails para que vayan a los servidores correctos, por ejemplo.
Link: The Verge