Raportul dupa incidentul de securitate a RoTLD din noiembrie 2012

Am cerut Ministerului Societatii Informationale, printr-o cerere de acces la informatii publice, o copie a raportului facut de ICI cu privire la incidentul de securitate din 28.11.2012 de la RoTLD in care a fost afectat felul cum se incarca pagina Google.ro si alte domenii web din domeniul .ro  Evident, fara informatiile care ar fi periclitat securitatea sistemului la data cererii.

Din pacate raspunsul primit ne arata fie ca ICI nu a facut un raport serios, fie ca nu au inteles ce fel de raport trebuie sa faca ca urmare a unui astfel de incident de securitate care afecteaza utilizatorii de Internet si titularii de nume de domenii. Pentru informare,  iata raportul public facut la o luna dupa un incident de securitate de administratorului numelui de domeniu .ie, dupa un incident de securitate similar.

Iata si raspunsul MCSI:

"Din pacate, nu putem da curs solicitarii dumneavoastra intrucat raportul respectiv contine informatii confidentiale legate de securitatea sistemului si de masurile luate de ICI pentru protectia acestuia in vederea prevenirii unor incidente similare.

Va transmitem atasat extrase din raportul pe care l-ati solicitat si care ofera date de interes public asupra acelui eveniment. De altfel, aceste informatii au fost facute publice la sfarsitul anului trecut de catre ICI."

Mai jos aveti si integral aceste "extrase":

EXTRASE DIN RAPORTUL INSTITUTULUI NATIONAL DE CERCETARE-DEZVOLTARE IN INFORMATICA

"În vederea analizei incidentului din 27/28 noiembrie 2012, ICI a numit o comisie internă de analiză.

Comisia numită prin decizia nr. 58 din 29.11.2012 a analizat situația incidentelor privind atacul asupra serverelor DNS care sunt în administrarea Serviciului de Administrare Domenii .ro și a întocmit un raport asupra evenimentului.

În noaptea de 27/28 noiembrie 2012 a avut loc un atac informatic asupra server-ului webapps.rotld.ro de administrare domenii .ro, prin care un număr de 11 domenii .ro, printre care și google.ro, au fost redirectate către o altă pagină de web pe care se afișa un mesaj prin care atacul era atribuit unei grupari de hackeri algerieni.

În dimineața zilei de 28 noiembrie 2012, aflând de acest incident, echipa tehnică ROTLD a întreprins imediat analize tehnice. Investigând logurile de pe serverul EPP s-a constatat că redirectarea s-a făcut prin modificarea nameserverelor pentru domeniile afectate. În locul nameserverelor reale ale domeniilor respective au fost puse nameserverele ns1.joomlapartner.nl și ns2.joomlapartner.nl pe o adresă IP din Olanda. Prin intermediul acestor nameservere, pagina de web pentru domeniile afectate era redirectată la o altă adresă.

De menționat că niciunul din serverele DNS de nume de domenii, nici primary.rotld.ro, nici secondary.rotld.ro, nu au fost afectate în timpul atacului, iar pe server-ele ROTLD nu sunt stocate date despre tranzacții financiare.

Din logurile sistemului de protecție la intruziuni IPS (Intrusion Protection System) a reieșit că scanări pentru vulnerabilități web pe portul 80 au avut loc pe 9 și 10 noiembrie 2012 de la o adresă IP din Turcia.

Analizând logurile de pe serverul web și de pe sistemul de prevenire a intruziunilor IPS, a rezultat că atacul a început pe data de 20 noiembrie 2012, prin începerea unui amplu proces de scanare a aplicațiilor ROTLD folosind unelte dedicate scanării vulnerabilităților. Așa cum rezultă din loguri, scanarea a început de la o adresă IP din Algeria."

......

"Comisia a constatat că echipa tehnică ROTLD a analizat în detaliu incidentul.

În cadrul analizei preliminare, deși nu s-a cunoscut cauza exactă a incidentului, ROTLD a întreprins măsuri imediate în scopul diminuării efectelor acestuia. De asemenea, au fost întreprinse măsuri imediate de protecție preventivă de urgență în scopul diminuării posibilităților de apariție a altor incidente.

Echipa ROTLD a lucrat în comun cu specialiști din unități specializate în domeniu, dintre care amintim CERT-RO.

ICI a întreprins măsuri speciale de securitate care să evite pe viitor astfel de incidente."