El
pasado 20 de junio algunos usuarios de la red social LinkedIn advirtieron de un
sospechoso cambio en los DNS usados por la compañía. Cuando intentaban visitar el sitio web de LinkedIn este no respondía
debido a que el nombre de dominio no estaba apuntando a los servidores de
LinkedIn.
Los DNS de
LinkedIn, gestionados
por Network Solutions fueron reemplazados por servidores de nombres del dominio
ztomy.com los cuales resolvían '
www.linkedin.com' a la IP 204.11.56.17. Dicha IP
pertenece al rango 204.11.56.0/24 gestionado por Confluence-Networks. Se da la
circunstancia además que dicha compañía se encuentra en una lista negra (
http://hostexploit.com/) de servidores que
envían spam y/o alojan sitios con contenido phishing.
Eso hizo que muchos usuarios
temieran que los DNS de LinkedIn habían sido secuestrados para robar
credenciales debido a que un navegador confía en el dominio para enviar las
cookies de sesión hacia el servidor web. Pensaron que la conexión se efectuaba
sobre el puerto 80 del servidor erróneo, en lugar del canal seguro habitual, y
que los datos de sesión viajarían en texto claro. Esto último no debería haber
ocurrido ya que las cookies de sesión de
LinkedIn están marcadas como "Secure"
y no deberían ser enviadas a través de un canal no cifrado (puerto 80).
Esto último ya de por si llamaba
la atención. Si en realidad hubiesen querido "cazar" credenciales deberían haber montado un sitio falso
(phishing) sobre el que el usuario debería haberse autenticado.
Aunque LinkedIn fuese el sitio
sobre el que la noticia saltó, poco a poco se advirtió que el supuesto ataque afectaba a más dominios. En concreto, y según comentó
Jaeson Schultz de Cisco, casi 5.000
dominios registrados con Network Solutions presentaban el mismo problema,
todos eran resueltos a la red 204.11.56.0/24.
Mientras la red se iba llenando
de comentarios acerca del supuesto ataque e informaciones que se contradecían,
finalmente, Confluence-Network publicó un comunicado en su página indicando que
habían sido informados de lo sucedido y que estaban trabajando conjuntamente con
los afectados para tratar de encontrar una solución al problema.
Finalmente la otra parte
afectada,
Network
Solutions, comunicaba que
se trataba
de un error humano y no de un ataque. Al parecer Network Solutions estaba
siendo víctima de un ataque distribuido de denegación de servicio y
posiblemente mientras trataban de aplicar alguna contramedida configuraron erróneamente
los registros que gestionan causando la resolución errónea de miles de dominios
de sus clientes.
Más información:
Important Update for Network Solutions
Customers Experiencing Website Issues
‘Hijacking’ of DNS Records from Network
Solutions
David García