Attaques de la Syrian Electronic Army contre les noms de domaines
Première rédaction de cet article le 27 août 2013
Dernière mise à jour le 28 août 2013
Mardi 27 août, la « Syrian Electronic Army » a attaqué plusieurs noms de domaines importants, comme ceux du New York Times et de Twitter. Voici mon résumé, ainsi que des éléments concrets que j'avais recueilli sur le moment.
L'attaque a porté sur le bureau d'enregistrement Melbourne IT. Une fois cet intermédiaire piraté, la SEA a pu modifier à sa guise les données et notamment les serveurs de noms des domaines visés.
Ces données ont été récoltées entre 21 et 22 h UTC le 27
août. D'abord, le piratage du domaine
nytimes.com. Mon Unbound
sur ma machine (qui fait suivre les requêtes aux résolveurs de Free) voit :
% dig SOA nytimes.com. ; <<>> DiG 9.9.2-P1 <<>> SOA nytimes.com. ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 8602 ;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 2, ADDITIONAL: 1 ;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags: do; udp: 4096 ;; QUESTION SECTION: ;nytimes.com. IN SOA ;; ANSWER SECTION: nytimes.com. 86308 IN SOA ns1.syrianelectronicarmy.com. admin.sea.sy. 2013082701 86400 7200 3600000 86400 ;; AUTHORITY SECTION: nytimes.com. 86374 IN NS ns1.syrianelectronicarmy.com. nytimes.com. 86374 IN NS ns2.syrianelectronicarmy.com. ;; Query time: 0 msec ;; SERVER: 127.0.0.1#53(127.0.0.1) ;; WHEN: Tue Aug 27 22:59:11 2013 ;; MSG SIZE rcvd: 145
À ce stade, on ne peut pas encore dire s'il y a empoisonnement DNS ou piratage du registre ou du bureau d'enregistrement ?
Quelques minutes après, en demandant directement au registre :
; <<>> DiG 9.9.2-P1 <<>> @d.gtld-servers.net. NS nytimes.com ; (1 server found) ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 2190 ;; flags: qr rd; QUERY: 1, ANSWER: 0, AUTHORITY: 6, ADDITIONAL: 3 ;; WARNING: recursion requested but not available ;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags: do; udp: 4096 ;; QUESTION SECTION: ;nytimes.com. IN NS ;; AUTHORITY SECTION: nytimes.com. 172800 IN NS ns27.boxsecured.com. nytimes.com. 172800 IN NS ns28.boxsecured.com.
Ces boxsecured.com (un hébergeur états-unien) sont suspects : l'un répond
REFUSED, l'autre donne un SOA étrange :
; <<>> DiG 9.9.2-P1 <<>> @212.1.211.141 SOA nytimes.com ; (1 server found) ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 61161 ;; flags: qr aa rd; QUERY: 1, ANSWER: 1, AUTHORITY: 2, ADDITIONAL: 1 ;; WARNING: recursion requested but not available ;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags: do; udp: 4096 ;; QUESTION SECTION: ;nytimes.com. IN SOA ;; ANSWER SECTION: nytimes.com. 86400 IN SOA ns5.boxsecured.com. ssuliman.hotmail.co.uk. 2013082703 86400 7200 3600000 86400 ;; AUTHORITY SECTION: nytimes.com. 86400 IN NS ns6.boxsecured.com. nytimes.com. 86400 IN NS ns5.boxsecured.com.
Domain Name: NYTIMES.COM Registrar: MELBOURNE IT, LTD. D/B/A INTERNET NAMES WORLDWIDE Whois Server: whois.melbourneit.com Referral URL: http://www.melbourneit.com Name Server: NS27.BOXSECURED.COM Name Server: NS28.BOXSECURED.COM Status: serverDeleteProhibited Status: serverTransferProhibited Status: serverUpdateProhibited Updated Date: 27-aug-2013 Creation Date: 18-jan-1994 Expiration Date: 19-jan-2014
Et Twitter ? twitter.com dans whois montre un
piratage (le TLD
.sy est la Syrie) :
Admin Name........... SEA SEA Admin Address........ 1355 Market Street Admin Address........ Suite 900 Admin Address........ Admin Address. San Francisco Admin Address........ 94103 Admin Address........ CA Admin Address........ UNITED STATES Admin Email.......... sea@sea.sy Admin Phone.......... +1.4152229670 Admin Fax............ +1.4152220922
Même bureau d'enregistrement que nytimes.com,
Melbourne IT. Par contre, les
serveurs de noms n'ont pas été changés. Pourquoi ? Manque de temps
pour la SEA ? Ou peut-être une protection spéciale, un
« super-verrou » contre les modifications, soit au registre, soit au
bureau d'enregistrement. Ce qui fait que, dans le cas de Twitter, l'utilisateur ordinaire ne voit rien. Par
contre, twimg.com (hébergement d'images pour
Twitter) a un whois analogue mais des serveurs de noms changés.
Une heure après, le registre de .com servait à
nouveau la bonne information :
% dig @a.gtld-servers.net NS nytimes.com ; <<>> DiG 9.9.2-P1 <<>> @a.gtld-servers.net NS nytimes.com ; (2 servers found) ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 57384 ;; flags: qr rd; QUERY: 1, ANSWER: 0, AUTHORITY: 6, ADDITIONAL: 3 ;; WARNING: recursion requested but not available ;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags: do; udp: 4096 ;; QUESTION SECTION: ;nytimes.com. IN NS ;; AUTHORITY SECTION: nytimes.com. 172800 IN NS dns.ewr1.nytimes.com. nytimes.com. 172800 IN NS dns.sea1.nytimes.com. CK0POJMG874LJREF7EFN8430QVIT8BSM.com. 86400 IN NSEC3 1 1 0 - CK0RFQAOES8CTVNVNH4G6Q85NOQAQ8I9 NS SOA RRSIG DNSKEY NSEC3PARAM CK0POJMG874LJREF7EFN8430QVIT8BSM.com. 86400 IN RRSIG NSEC3 8 2 86400 20130903044137 20130827033137 8795 com. j5+5FlHHaxax14Oj+MWS+KZAbRb6L9ERQkP6uf/naSfrAbjgWEqW3J3B xp8mCDRkbD0m6/E5Ax/Q8xPB5PqV/KxbaKZb05XxyNlwpN3wFFYlFhW/ Zyn1GbcfWrpHUQH2oTDNDfq7Am+HXbkRU60TwOjICpgkDMZqxHR8hww3 IFk= O6B9DUFQLHV3BU9UG6OASLHH80ECTS95.com. 86400 IN NSEC3 1 1 0 - O6C0FKNFS7M5TK0HI5HN4O5JKU9PTV22 NS DS RRSIG O6B9DUFQLHV3BU9UG6OASLHH80ECTS95.com. 86400 IN RRSIG NSEC3 8 2 86400 20130903110913 20130827095913 8795 com. YE2lkYOtVz8iIz31zHReEzQf93S2LAH+ZPMJt5K7vQQoydWJf/dDgqyu 1tDRy4pz+cAXIQYqqodYb/8c0/kMm0dCheUtUUKrhOYH39AqwiN+oMdY 2jxHbS7VPPP3Mj3RNPLj74JeO6pTqfz7a4Ibt5Z6ombsR8H+xbWXI7Li Mks= ;; ADDITIONAL SECTION: dns.ewr1.nytimes.com. 172800 IN A 170.149.168.134 dns.sea1.nytimes.com. 172800 IN A 170.149.173.133 ;; Query time: 144 msec ;; SERVER: 192.5.6.30#53(192.5.6.30) ;; WHEN: Tue Aug 27 23:57:25 2013 ;; MSG SIZE rcvd: 603
(Le sea1 dans
dns.sea1.nytimes.com n'a rien à voir avec la SEA,
il indique la ville, Seattle.)
Mais il est amusant de noter que le whois au bureau d'enregistrement
indiquait toujours la mauvaise information, ce qui semble indiquer que
le registre a modifié l'information directement, en ignorant le bureau
d'enregistrement :
% whois nytimes.com Whois Server Version 2.0 Domain names in the .com and .net domains can now be registered with many different competing registrars. Go to http://www.internic.net for detailed information. Server Name: NYTIMES.COM IP Address: 141.105.64.37 Registrar: MELBOURNE IT, LTD. D/B/A INTERNET NAMES WORLDWIDE Whois Server: whois.melbourneit.com Referral URL: http://www.melbourneit.com Domain Name: NYTIMES.COM Registrar: MELBOURNE IT, LTD. D/B/A INTERNET NAMES WORLDWIDE Whois Server: whois.melbourneit.com Referral URL: http://www.melbourneit.com Name Server: DNS.EWR1.NYTIMES.COM Name Server: DNS.SEA1.NYTIMES.COM Status: serverDeleteProhibited Status: serverTransferProhibited Status: serverUpdateProhibited Updated Date: 27-aug-2013 Creation Date: 18-jan-1994 Expiration Date: 19-jan-2014 >>> Last update of whois database: Tue, 27 Aug 2013 21:58:26 UTC <<< [...] Domain Name.......... nytimes.com Creation Date........ 1994-01-18 Registration Date.... 2011-08-31 Expiry Date.......... 2014-01-20 Organisation Name.... SEA Organisation Address. 620 8th Avenue Organisation Address. Organisation Address. Organisation Address. New York Organisation Address. 10018 Organisation Address. NY Organisation Address. UNITED STATES Admin Name........... SEA SEA Admin Address........ SEA Admin Address........ 620 8th Avenue Admin Address........ Admin Address. Syria Admin Address........ 10018 Admin Address........ SY Admin Address........ SYRIAN ARAB REPUBLIC Admin Email.......... sea@sea.sy Admin Phone.......... +1.2125561234 Admin Fax............ Tech Name............ NEW YORK TIMES DIGITAL Tech Address......... 229 West 43d Street Tech Address......... Tech Address......... Tech Address......... New York Tech Address......... 10036 Tech Address......... NY Tech Address......... UNITED STATES Tech Email........... hostmaster@NYTIMES.COM Tech Phone........... +1.2125561234 Tech Fax............. +1.1231231234 Name Server.......... ns27.boxsecured.com Name Server.......... ns28.boxsecured.com
À noter que sharethis.com a aussi
été attaqué mais qu'il est chez un bureau d'enregistrement
différent et qu'il n'est pas sûr que la même méthode ait été
employée.
Des rapports fiables signalent également un détournement de
huffingtonpost.co.uk (un registre différent mais
le même bureau d'enregistrement) mais je n'ai pas pu l'observer
moi-même. Mais il est sûr que le problème ne frappait pas que
.com. Voici la sortie du whois de
twitter.co.uk, vingt minutes après que le
.com ait été réparé :
% whois twitter.co.uk
Domain name:
twitter.co.uk
Registrant:
Twitter Inc
Registrant type:
Non-UK Corporation
Registrant's address:
1355 Market Street Suite 900
San Francisco
CA
94103
United States
Registrar:
Melbourne IT t/a Internet Names Worldwide [Tag = MELBOURNE-IT]
URL: http://www.melbourneit.com.au/contacts
Relevant dates:
Registered on: 05-Mar-2005
Expiry date: 05-Mar-2015
Last updated: 27-Aug-2013
Registration status:
Registered until expiry date.
Name servers:
ns1.syrianelectronicarmy.com
ns2.syrianelectronicarmy.com
WHOIS lookup made at 23:20:51 27-Aug-2013
[...]
Cela plaide donc encore plus pour un piratage du bureau d'enregistrement, Melbourne IT, qui a été confirmé par Melbourne IT quelques heures après.
Quelques articles intéressants sur ce piratage :
- L'article officiel du New York Times
- Et celui de Twitter
- L'étude de CloudFlare, qui inclut la reconnaissance du piratage par Melbourne IT (dans un message qui a été envoyé à leurs clients mais pas rendu public)
- Mon interview par PCinpact, discutant notamment de comment on pourrait améliorer la sécurité des noms de domaines.
Et c'est l'occasion de relire et revoir :
- Le Rapport sur la résilience de l'Internet en France
- Mon tutoriel à la Journée du Conseil Scientifique de l'AFNIC sur « La sécurité des noms de domaines »
- Duane Wessels a fait une excellente étude sur la réjuvenation des caches des serveurs DNS après la correction, présentée, à l'OARC en octobre 2013.
Version PDF de cette page (mais vous pouvez aussi imprimer depuis votre navigateur, il y a une feuille de style prévue pour cela)
Source XML de cette page (cette page est distribuée sous les termes de la licence GFDL)
