Позавчера сайт WhatsApp вместо красивого телефона почти сутки показывал черный фон с флагом Палестины и краткий экскурс в ее историю. Хакеры сломали сайт известнейшего в мире мессенджера. Давайте выясним, как это сделали. И зачем.

whatsapp взломали

8 октября после обеда стал недоступен основной сайт программы WhatsApp. Судя по сообщениям на взломанной странице (дефейсе), ответственность за взлом взяла на себя про-палестински настроенная группа хакеров.

Deface (в переводе искажение или уродство) — взлом сайта, когда стартовая или любая другая страница заменяется на другую (с рекламой, угрозой или предупреждением). Сопровождается блокировкой остальных страниц или полным удалением всего остального контента. Кстати: хакерство вне закона и заниматься им нельзя.

В дефейсе разместили карту палестинских территорий и ее сравнение с растущей территорией Израиля. Ниже сообщение:

whatsapp deface

Мы мирные люди и хотим мира. Мы сломали несколько сайтов, никак не связанных ни с Палестиной, ни с Израилем. Просто потому что могли. Давайте жить мирно.

Кто еще пострадал?

Вместе с WhatsApp пострадали сайты программ AVG и Avira. Одни из известнейших в мире программ-антивирусов. Не буду вдаваться в геополитику, Ближний Восток — не моя область интересов. Но сломать сайты таких монстров своей индустрии — дело непростое. Для этого потребовались: анонимный хостинг, анонимный же VPN, знание основ социальной инженерии и отсутствие страха.

Как они это сделали?

Как пишет специалист по безопасности Graham Cluley, хакеры получили доступ к DNS-записям доменов сайтов-жертв и сменили их на свои. Добраться к DNS это куда проще, чем найти уязвимости в самописном коде. Но все равно задача крайне сложная. Поэтому злоумышленники связались с хостинг-провайдером, который обслуживает пострадавшие домены и попросили сбросить “забытые” пароли от редактора DNS.

Дальше дело техники: записи домена перенаправили на новый сервер, где и был расположен дефейс. Сами сайты при этом не пострадали.

DNS-сервер это “адресная книга”, которая преобразовывает понятные людям доменные имена (например AVG.com или AVIRA.com) в ip-адреса серверов, на которых находятся сайты.

Как обезопасить свои сайты?

Чтобы исключить возможность подобной ситуации для вашего сайта, блокируйте смену данных доменов у своего регистратора. Это значит, что любые изменения, в том числе передача домена другому регистратору или смена DNS, будут производиться только после разблокировки и только после подтверждения личности собственника домена. Например, звонком на личный номер.

Используйте сложные пароли. Не доверяйте незнакомым людям. Это советы на каждый день :).

Лучше бы знатоки применяли свои знания для обеспечения безопасности или хотя бы не вредили. Как например, этот парень, который сломал калькулятор:

 

Коменти

Анар

Кто он шифровит скажите

Роман

Чет я не понял. Что значит “попросили”? Для этого как минимум нужно знать кодовое слово, либо сломать их корпоративный почтовый ящик и уже с него писать сообшения. Либо получить доступ к панели управления на хостинге регистратора доменных имён. Короче, Грахам чета мутит…точнее не договаривает.

Назар Токарь

@Роман, можно подобрать пароль к панели управления доменами. После сменить в настройках почту на свою, чтобы не смогли быстро вернуть как было. Дальше отредактировать DNS. Profit.

Роман

@Назар Токарь, если бы так было, то представитель LeaseWeb так и сказали бы…но тут они акцентируют внимание на DNS hijack. Да пофиг короче. Ломанули и ломанули.

Назар Токарь

@Роман, ну, может, они имели ввиду как раз смену записей для домена. Хотя, если несколько доменов похачили одновременно, то может и на уровне провайдера копались.