Corriere e Gazzetta KO a ferragosto

gazzaVerso le otto e mezza di questa mattina il sito della Gazzetta mostrava una pagina nera con una GIF animata e del testo in inglese e il sito del Corriere restituiva un errore 403.

corriere

Una rapida analisi rivelava che i due domini (ma non quelli di altre testate del gruppo) avevano subito un DNS hijacking.

L’attacco che ha portato al defacement e all’interruzione del servizio non è avvenuto ai danni dei server che ospitano il sito web, ma ai danni della gestione dei nomi a dominio corriere.it e gazzetta.it

La frase sopra è volutamente generica e vaga, in quanto non ci sono ancora dati certi in merito all’azione criminale.

Per ora i fatti sono questi, aggiornati anche dopo la pubblicazione iniziale dell’articolo.

Verso le 08:00 di questa mattina (con il reload della zona .IT) i record di corriere.it, www.corriere.it, gazzetta.it, www.gazzetta.it e i relativi record MX hanno iniziato a puntare all’indirizzo IP 91.148.168.111 assegnato ad un’entità di Sofia (Bulgaria). Questo significa che tutti gli accessi web e la posta elettronica del Corriere e della Gazzetta finivano in Bulgaria.

Alle 11:05 l’account Twitter del Corriere confermava l’attacco.

corseraAppena dopo le 12:00 con il reload della zona .IT di mezzogiorno l’IP di riferimento dei due siti diventava un IP di RCS Mediagroup e il record MX tornava a puntare ai server di Office 365. Il servizio non è comunque stato ripristinato perché per entrambi i siti viene caricata una pagina di errore di cPanel. Dopo una mezz’oretta appariva una pagina di errore del sito del Corriere, idem per la Gazzetta. Non c’erano contenuti, ma la pubblicità di un caffè e di Sky c’era.

Tutti i siti di RCS Media Group sono gestiti dal registrar Tuonome Registrar S.r.l.

Alle 13:05 il sito del Corriere è tornato operativo per pochi minuti e poi è riapparsa la pagina di errore 404 (documento non trovato), ma con la grafica del Corriere.

Alle 13:30 i due siti sembrano tornati a funzionare, il Corriere indica che è stato aggiornato alle 13:08. Alcuni link interni continuano a non funzionare.

Quelli sopra i fatti, di seguito alcune valutazioni.

Non credo proprio che la scelta di ferragosto per l’attacco sia stata casuale: tutta la mia sincera simpatia ai reperibili di RCS e dei fornitori collegati ai servizi web.

Nelle quattro ore di rapimento del DNS le mail dirette ai due nomi a dominio possono essere finite nelle mani sbagliate. Scrivo “possono” perché c’è in ballo la cosiddetta propagazione del DNS e non è detto che la mail sia stata salvata.

Che il NIC ricarichi le zone a orari prefissati e non abbia un DNS costantemente aggiornato è una cosa che nel 2016 è semplicemente vergognosa. Questo retaggio del secolo scorso ha solo prolungato il tempo in cui è stato attivo il DNS hijacking.

Molte organizzazioni trascurano il fatto che la loro presenza su Internet è legata al nome a dominio, il quale, a sua volta, potrebbe essere legato ad una banale coppia di login e password. Sarebbe il caso di abilitare l’autenticazione a fattori multipli e se il vostro fornitore non la supporta, cambiate fornitore.

Le grosse organizzazioni spesso demandano a fornitori esterni la gestione della presenza Internet, inclusi i nomi a dominio. In questo caso è opportuno valutare il livello di sicurezza garantito da questi fornitori.

Aggiunta dopo la pubblicazione iniziale: il Corriere cita Siamo Geek in merito alla questione:

Corriere attaccato dagli hacker Ecco cos è successo

Autore: Luigi Rosa

Consulente IT, sviluppatore, SysAdmin, cazzaro, e, ovviamente, geek.

5 pensieri riguardo “Corriere e Gazzetta KO a ferragosto”

  1. Sono sostanzialmente d’accordo con le valutazioni ma mi permetto di fare un paio di inutili puntualizzazioni da pignolo:
    1. nel caso della registrazione dei domini la gestione esterna è necessaria – se il dominio fosse stato registrato con un altro fornitore il problema si sarebbe verificato lo stesso (è stato modificato il campo del DNS primario, non il record), a meno che (come detto nell’articolo) detto fornitore non avesse la possibilità di utilizzare l’autenticazione a due fattori (che Aruba/Tuonome non ha). La cosa scandalosa è questa: che nel 2016 uno dei registrar italiani più usati non offra la 2-factor auth. Responsabilità sociale, diciamo così, zero (ma questo è noto).
    2. il reload della zona .it a orari fissi non è così male, perché permette di pianificare attività e così via. E’ demenziale invece il sistema di check e controcheck prima di rendere effettiva la registrazione: se uno vuole tenersi la zona broken faccia pure; fra l’altro se non ricordo male (ma potrei) le regole di check impediscono l’utilizzo della tecnica dell’unpublished prmary.

    1. Per le regole di check ero contrario gia’ nel 1995, quando dovevi mettere per forza un MX e dovevi mettere TTL >= 86400; ovviamente dopo aver passato il check per la registrazione potevi fare l’accidenti che volevi e meno male che il famigerato “test di raqggiungibilita’ dell’utente postmaster” ha avuto vita relativamente breve.

      Per il reload asincrono della zona non concordo proprio perche’ molte volte vuoi far subito gli accidenti di test del dominio che hai faticosamente acquistato dopo mille tortuosi ostacoli burocratici di cui ho parlato un paio di volte su questo sito. Inoltre tutti i principali registrar sono immediati, tanto vale uniformarsi. Se non vuoi che appaia alcunche’, nullifichi i record e amen, l’utente non vede nulla.

  2. La situazione è la stessa anche nell’ industria: la ditta contrattista ha sempre ragione, finchè il guaio non si verifica in un giorno festivo, nel quale gli interni devono mollare tutto e correre ai ripari.
    Ho grande rispetto per i singoli professionisti, quando NON sono affiliati ad una ditta di spaccalegna ben pagati.

Spazio per un commento