El experto en seguridad Eric Fortis tuvo la amabilidad en el día de ayer de enviarme via correo electrónico su apreciación de qué método pudieron haber usado los hackers que vandalizaron el dominio de Google para Puerto Rico, y no solamente  Google, sino a una serie de páginas con dominio local.  La explicación técnica que da Fortis es la siguiente:

“Estos hackers el martes hicieron lo mismo en New Zeland pero llevando un mensaje de parar la guerra, otros de burlas de Bill Gates, entre otros. Alli nunca llegaron a google.com.nz, lo hicieron a cocacola, microsoft, f-secure… y buscando la convergencia de todos los sitios se encuentra que pertenecen a domainz.net y que el grupo de hackers pudo haber entrado bajo SQL Injection y cambiar los records.

Encuentro que es una asunción bastante inocente meter que fue por SQL Injection dado que poco probable que los sistemas puedan alterar los records mediante una aplicación web y se comunique con la db que mantiene los datos en el DNS.

Para DNS desde hace tiempo de está hablando de formas para hackearlo y varias en teoría pero realistas.

Ahora yo entiendo que es más probable que hayan encontrado alguna vulnerabilidad en los  DNS regionales y vayan atacando poco a poco. Lo extraño del asunto es entender pq llegó a .com.pr el grupo de hackers si lo que hicieron con yahoo.com.pr y microsoft.com.pr… no aplica pq a pesar de que existen y estan vivos esos servers no hacen nada con el trafico en PR, aparte de google.com.pr que si habilitaba el defacing.

Mi primera impresión que es habian llegado a OneLink y encontraron una vulnerabilidad y le hicieron Poisoning al DNS, pq yo estoy con Liberty y no veia el problema (cosa que pudo haber sido el mismo cache de mi maquina que no hizo el DNS requesto).

Ahora viendo un poco mejor el perfil de los hackers es probable que si esten haciendole poisoning a los regionales.

Lo único que estoy seguro es que esta mañana google tenia 4 nameservers para .com.pr y ahora tienen 3 y no son los mismos ips, so que esto es un día biien largo para google.”

“y si efectivamente entraron por SQL Injection al control panel de Domainz.net que es el registrar de todas esas compañías.”

Ahora la explicación de forma más sencilla:

“Bueno en palabras sencillas uno compra un website y le dice a la compañía q lo vendió a que computadora debe apuntar el nombre que recién compraste. En esta situación los hackers entraron directamente a la computadora que contiene esos records que enlazan el nombre comprado
e.g.
www.google.com.pr =  74.125.67.99

y pusieron que
www.google.com.pr =  66.66.66.66

Entonces los usuarios escriben en el browser la dirección en letras y por obligación tienen que pedir un servicio que provea la dirección de IP y en esta situación los hackers cambiaron esa dirección en la computadoras que provee el servicio a todos los usuarios y que pagó quien registró el dominio.”

Esta es la lista de los dominios que fueron atacados con “defacing”:

blogsearch.google.com.pr
live.com.pr
translate.google.com.pr
nokia.pr
dell.com.pr
hsbc.com.pr
pcworld.com.pr
www.coca-cola.com.pr
nike.com.pr
nike.pr
norton.com.pr
www.norton.pr
www.paypal.com.pr
www.fanta.net.pr
www.fanta.com.pr
www.coca-cola.pr
www.yahoo.com.pr
adwords.google.com.pr
images.google.com.pr
groups.google.com.pr
www.google.pr
msn.pr
adsense.google.com.pr
hotmail.com.pr
microsoft.com.pr
news.google.com.pr
www.gmail.pr
www.google.com.pr

*Lista obtenida de zone-h.org

Gracias a Eric Fortis por la amabilidad de enviarme esta explicación que sé arrojará luz sobre aquéllos lectores, especialmente mis estudiantes de Ciencias de Cómputos,  que se preguntaban cómo ocurrió el “defacing” de ayer domingo.  Gracias también a Héctor Ramos que me conecto via Twitter con Eric, a ambos muchas gracias.