sábado, 22 de junio de 2013

El supuesto ataque a los DNS de LinkedIn

El pasado 20 de junio algunos usuarios de la red social LinkedIn advirtieron de un sospechoso cambio en los DNS usados por la compañía. Cuando intentaban visitar el sitio web de LinkedIn este no respondía debido a que el nombre de dominio no estaba apuntando a los servidores de LinkedIn.

Los DNS de LinkedIn, gestionados por Network Solutions fueron reemplazados por servidores de nombres del dominio ztomy.com los cuales resolvían 'www.linkedin.com' a la IP 204.11.56.17. Dicha IP pertenece al rango 204.11.56.0/24 gestionado por Confluence-Networks. Se da la circunstancia además que dicha compañía se encuentra en una lista negra (http://hostexploit.com/) de servidores que envían spam y/o alojan sitios con contenido phishing.

Eso hizo que muchos usuarios temieran que los DNS de LinkedIn habían sido secuestrados para robar credenciales debido a que un navegador confía en el dominio para enviar las cookies de sesión hacia el servidor web. Pensaron que la conexión se efectuaba sobre el puerto 80 del servidor erróneo, en lugar del canal seguro habitual, y que los datos de sesión viajarían en texto claro. Esto último no debería haber ocurrido ya que las cookies de sesión de LinkedIn están marcadas como "Secure" y no deberían ser enviadas a través de un canal no cifrado (puerto 80).

Esto último ya de por si llamaba la atención. Si en realidad hubiesen querido "cazar" credenciales deberían haber montado un sitio falso (phishing) sobre el que el usuario debería haberse autenticado.

Aunque LinkedIn fuese el sitio sobre el que la noticia saltó, poco a poco se advirtió que el supuesto ataque afectaba a más dominios. En concreto, y según comentó Jaeson Schultz de Cisco, casi 5.000 dominios registrados con Network Solutions presentaban el mismo problema, todos eran resueltos a la red 204.11.56.0/24.

Mientras la red se iba llenando de comentarios acerca del supuesto ataque e informaciones que se contradecían, finalmente, Confluence-Network publicó un comunicado en su página indicando que habían sido informados de lo sucedido y que estaban trabajando conjuntamente con los afectados para tratar de encontrar una solución al problema.

Finalmente la otra parte afectada, Network Solutions, comunicaba que se trataba de un error humano y no de un ataque. Al parecer Network Solutions estaba siendo víctima de un ataque distribuido de denegación de servicio y posiblemente mientras trataban de aplicar alguna contramedida configuraron erróneamente los registros que gestionan causando la resolución errónea de miles de dominios de sus clientes.

Más información:

Important Update for Network Solutions Customers Experiencing Website Issues

‘Hijacking’ of DNS Records from Network Solutions



David García

1 comentario:

  1. Muy interesante el tema, ¿alguien sabría decirme como encontrar la lista negra de (http://hostexploit.com/) ? de la que se hace referencia en este post?

    ResponderEliminar