20:00
26/8/2013

Na palestyńskiej stronie google.ps można zauważyć następującą wiadomość:

Google.ps

google.ps

google.ps 0wn3d?

No News Is a Good News
Cold z3ro – Haml3t – Sas – Dr@g
From Palestine: We are the Best of the Rest
uncle google we say hi from palestine to remember you that the country in google map not called israel. its called Palestine
# Question : what would happens if we changed the country title of Isreal to Palestine in google maps !!! it would be revolution ..
So Listen to rihanna and be cool :P
Shots: HackTeach Lover’s | Dod, Hij@ker, alzher, Mr_AnarShi-T, toxico-dz
www.hackteach.org

I o ile whois na domenie google.ps pokazuje dane wskazujące że właścicielem domeny jest w istocie Google:

Domain Information
Query: google.ps
Status: Active
Created: 19 May 2004
Expires: 19 May 2014
Name Servers:
ns1.google.com
ns2.google.com
ns3.google.com
Registrar Information
Registrar Name: MarkMonitor Inc.
Address: 391-N.ANCESTOR PLACE BOISE,IDAHO USA
Phone: +1-208-389-5740
Fax: +1-208-389-5740

Registrant:
Name: Google Inc.
Address:
2400 E. Bayshore Pkwy Mountain View- CA- US 94043
CA US
Phone Number: 001-6-503300100
Fax Number: 001-6-506188571

…a Archive.org ujawnia, że jeszcze 22 sierpnia pod tą domeną w istocie była strona wyszukiwarki Google (potwierdzają to także doniesienia prasowe z maja):

Google.ps kilka dni wcześniej

Google.ps kilka dni wcześniej

To odpytanie DNS-ów nie pozostawia złudzeń, że obecny adres Google.ps:

Aktualny adres google.ps

Aktualny adres google.ps

$ host -t NS google.ps
google.ps name server omar.genious.net.
google.ps name server hamza.genious.net.
$ host google.ps
google.ps has address 41.77.118.2
google.ps mail is handled by 0 google.ps.

…jest utrzymywany na serwerze Genious.net (wpis w PNINE, palestyńskim WHOIS nie jest aktualny).

DNS hijacking?

Czyżby więc Google zapomniało przedłużyć domenę? A może ktoś przejął konto u rejestratora domeny i przekierował ją na swoje serwery czyli wykonał tzw. atak DNS hijacking, polegający na uzyskaniu nieuprawnionego dostępu do konta rejestratora domeny google.ps, a następnie podmienieniu DNS-ów na “fałszywe”?

W przypadku DNS hijackingu, atakujący nie narusza bezpieczeństwa serwerów danej firmy (tu: Google), a jedynie przekierowuje domenę należącą do ofiary na skutek nieautoryzowanego dostępu do konta rejestratora (zazwyczaj w wyniku błędu w webaplikacji/sieci rejestratora lub słabego hasła dostępowego).

PS. W maju Google zamieniło na stronie google.ps “Terytorium Palestyny” na “Palestynę”, co wywołało protesty Izraela.

Aktualizacja 22:29
Obecnie strona pokazuje komunikat: “konto zawieszone”

google.ps account suspended

google.ps account suspended

Przeczytaj także:


Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

22 komentarzy

Dodaj komentarz
  1. Stawiam na DNS hijack.

    • + musieli to zrobić niedawno, bo widziałem starą stronę, dopóki nie wywaliłem cache DNS.

  2. Naprawdę, wszyscy Ci źli ludzie z magicznymi nickami muszą brzmieć tak stereotypowo-nastolatkowo?

    • Bo są nastolatkami?

    • Widocznie nie mogli znaleźć adresu email do obsługi google…

  3. Wtyczka RealPlayer uległa awarii… Przypadek? Nie sądzę… (Myśleli, że mi się włamią czy w tle jakaś muzyczka miała lecieć…?)

  4. po kliknieciu w link ze stopki i przetlumaczeniu na angielski tych arabskich zawijasow wychodzi na to, ze chlopcy tam zywo dyskutuja wlasnie o DNS hijacking

  5. Tam prawie każdy post zaczyna się od “Pokój, miłosierdzie i błogosławieństwo Boże”, lub podobnie :)

  6. Jeszcze jakąś godzinę temu była strona pokazana. Teraz jest już tylko:
    “This Account Has Been Suspended”

  7. O, u mnie wróciło do normy…

  8. [quote]We are the Best of the Rest[/quote]

    Czy do jakiś dalszy ciąg “mess with the best, die like the rest”? ;)

  9. o megan …

  10. Nie jestem jakimś znawcą tego tematu więc chciałem zapytać mądrzejszych ode mnie :) Czy DNSSEC w takim wypadku pomógł by czy jest on raczej zabezpieczeniem w przypadku jakiegpś innego rodzaju ataków?

    • Jeżeli to faktycznie DNS hijack, czyli przejęcie domeny od registrara i ustawienie jej głównych serwerów nazw na takie “złośliwe”, to DNSSEC nic by nie pomógł. Serwer wyższego poziomu po prostu wskazałby klientowi NS’y danej domeny, a te już mogą twierdzić, co chcą, skoro są autorytatywne. Przypuszczalnie nawet mogłyby obsługiwać DNSSEC, i wyższy poziom mógłby poświadczyć ich autentyczność.
      W wypadku DNS cache poisoning albo ataków man-in-the-middle, DNSSEC rozwiązałby sprawę.

  11. Mi teraz dziala

  12. Jak mi przykro jak mi żal… Ludzie zaczynają ich traktować tak jak sami są traktowani?:)

  13. A może o tym byście wspomnieli? ;]
    http://cryptomeorg.siteprotect.net/cryptome-suspended.htm Są już
    oczywiście restored, ale… ;]

  14. […] jak w przypadku wczorajszego ataku na Google, powodem dzisiejszej niedostępności serwisu Twitter oraz NY Times było przejęcie DNS-ów. Do […]

  15. […] w artykułach dotyczących Syryjskej Armii Elektronicznej, która do mistrzostwa opracowała ataki przejmowania domen poprzez włamania do paneli rejestratorów domen lub poprzez ataki socjotechniczne na pracowników firm zarządzających […]

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: