El supuesto ataque a los DNS de LinkedIn fue realmente un error humano, no un ataque.

El pasado 20 de junio algunos usuarios de la red social LinkedIn
advirtieron de un sospechoso cambio en los DNS usados por la compañía.
Cuando intentaban visitar el sitio web de LinkedIn este no respondía
debido a que el nombre de dominio no estaba apuntando a los servidores
de LinkedIn.

Los DNS de LinkedIn, gestionados por Network Solutions fueron
reemplazados por servidores de nombres del dominio ztomy.com los cuales
resolvían ‘www.linkedin.com’ a la IP 204.11.56.17. Dicha IP pertenece
al rango 204.11.56.0/24 gestionado por Confluence-Networks. Se da la
circunstancia además que dicha compañía se encuentra en una lista negra
(http://hostexploit.com/) de servidores que envían spam y/o alojan
sitios con contenido phishing.

Eso hizo que muchos usuarios temieran que los DNS de LinkedIn habían
sido secuestrados para robar credenciales debido a que un navegador
confía en el dominio para enviar las cookies de sesión hacia el servidor
web. Pensaron que la conexión se efectuaba sobre el puerto 80 del
servidor erróneo, en lugar del canal seguro habitual, y que los datos de
sesión viajarían en texto claro. Esto último no debería haber ocurrido
ya que las cookies de sesión de LinkedIn están marcadas como “Secure” y
no deberían ser enviadas a través de un canal no cifrado (puerto 80).

Esto último ya de por si llamaba la atención. Si en realidad hubiesen
querido “cazar” credenciales deberían haber montado un sitio falso
(phishing) sobre el que el usuario debería haberse autenticado.

Aunque LinkedIn fuese el sitio sobre el que la noticia saltó, poco a
poco se advirtió que el supuesto ataque afectaba a más dominios. En
concreto, y según comentó Jaeson Schultz de Cisco, casi 5.000 dominios
registrados con Network Solutions presentaban el mismo problema, todos
eran resueltos a la red 204.11.56.0/24.

Mientras la red se iba llenando de comentarios acerca del supuesto
ataque e informaciones que se contradecían, finalmente,
Confluence-Network publicó un comunicado en su página indicando que
habían sido informados de lo sucedido y que estaban trabajando
conjuntamente con los afectados para tratar de encontrar una solución
al problema.

Finalmente la otra parte afectada, Network Solutions, comunicaba que
se trataba de un error humano y no de un ataque. Al parecer Network
Solutions estaba siendo víctima de un ataque distribuido de denegación
de servicio y posiblemente mientras trataban de aplicar alguna
contramedida configuraron erróneamente los registros que gestionan
causando la resolución errónea de miles de dominios de sus clientes.

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.