आइसिटी समाचार
सन् २०१३ को अगस्ट २७ करिब १:१९ दिउँसो एउटा रिर्सचरले थाहा पाए न्युयोर्क टाइम्सको वेभसाइट लोड भइरहेको छैन । हामीलाई न्युयोर्क टाइम्सको टेक टिम थाहा थियो, त्यसैले जाँच गर्न इमेल पठायौं ।
केही मिनेट पछि नै न्यूयोर्क टाइम्सको सिटिओले हामीलाई फोन गरे । त्यसपछि केही संख्याका क्लाउडफेयर टिम एउटा कन्फेरेन्स हलमा यो ह्याक हटाउन जुटे ।
रेजिष्ट्रार र रेजिस्ट्रिज
हमला बुझ्नका लागि इन्टरनेटका तीनवटा मुख्य कुराहरु बुझ्न आवश्यक छ ।
१) रेजिस्ट्रिज, २) रेजिष्ट्रारहरु र ३) डिएनएस उपलब्ध गराउनेहरु न्यूयोर्क टाइम्स डट कम मध्ये टपलेभलमा पर्ने डोमेन हो (टिएलडि) उक्त टिएलडिको रेजिष्ट्र हो भेरिसाइन ।
जब तपाईंले कुनै डोमेन खरिद गर्नुहुन्छ, टीएलडीको रेजिष्ट्रजभित्र सर्भरको नाम राख्ने अधिकार पनि तपाईंलाई हुन्छ ।
तपाईंले डोमेनहरु किन्ने र व्यवस्थापन गर्ने संस्था भनेको रेजिष्ट्रारहरु हो । न्यूयोर्क टाइम्स डटकम मेलबोर्न आइटी नामक रेजिष्ट्रारद्वारा व्यवस्थापन गरिएको छ ।
मेलबोर्न आइटीलाई सबैभन्दा विश्वसनीय रेजिष्ट्रारहरुको सूचीमा राखिन्छ । न्यूयोर्क टाइम्ससँगसँगै यसलाई ठूला संस्थाहरु जस्तै ट्विटर र हफिटन पोष्टहरुद्वारा पनि प्रयोग गरिन्छ ।
जब तपाईं न्यूयोर्क टाइम्स डटकम खोल्नुहुन्छ तपाईंको ब्राउजरले इन्टरनेटको डिएनएस नेटवर्क विरुद्ध डोमेन हेर्छ । त्यो रिक्वेस्टमा पहिलो चरण हुन्छ । एउटा क्वेरी जुन डिएनएस उपलब्ध गराउनेहरुसम्म पुर्याउँछ ।
प्रायः आइएसपीहरुले दोहोरिने डिएनएस उपलब्ध गराउँछन् । ओपन डीएनएस र गुगलहरु जस्ता कम्पनीहरुले पब्लिल सर्भिस प्रदान गर्छन् । उनीहरुले मिलियन मान्छेहरुले प्रयोग गरेको ग्लोबल रुपमा बाडिएको डिएनएस सर्भिसहरु उपलब्ध गराउँछन् ।
दोहोरिने डिएनएस प्रदानकर्ताहरु डिएनएस चेन पछ्याउँछन् जुन रुटबाटै सुरु हुन्छ र त्यसपछि टिएलडी रेजिष्ट्री र अपस्ट्रिम घटाउनका लागि उही डीएनएस प्रदानकर्ताहरु रिजल्टहरु लुकाउँछन् ।
केही समयावधिको लागि जसलाई टीटीएल पनि भनिन्छ । डीएनएस चेनमा भएका कुनै स्टेप कम्प्रमाइज गर्दा हमलाकर्ताले केही वा पूरै ट्राफिकमाथि कब्जा गर्न सक्छ साइटको । यही भएको हो ।
रेजिष्ट्रार कम्प्रमाइज
पब्लिक रुपमै न्यूयोर्क टाइम्सले के स्पष्ट पारेको छ भने उनीहरुको रेजिष्ट्रार सिरियाको इलेक्ट्रोनिक आर्मीले हमला गरेको छ । यद्धपी हामी मेलवर्न आइटिसँग सम्पर्कमा छौ, हामीलाई हमला कसरी पूणर् भयो भन्ने बारेमा जानकारी छैन । हामीलाई थाहा छैन अथ्योराइजेसन बिनै हमलाकर्ताले न्यूयोर्क टाइम्सको सर्भर नाम कसरी अपडेट गर्यो ।
मेलबोर्न आइटीमा ह्याकरद्धारा खराव रेकर्ड पठाइएको जानकारी रेजिष्ट्रारबाट भेरिसाइन रेजिष्ट्र सम्म पठाउँथ्यो । (भेरिसाइनले डटकम टिएलडि व्यवस्थापन गर्छ) न्यूयोर्क टाइम्स डटकमले रेजिष्ट्रिमा सर्भर नाम उक्त राखेको थियो - ns6.boxsecured.com र ns6.boxsecured.com सही सर्भर नामहरु निम्न अनुसार हुनुपर्थ्यो - DNS.EWR1.MYTIMES.COM र DNS=SEA1.NYTIMES.COM । मेलबोर्न आइटिले सुरुमै रेजिष्ट्रिको खराब इन्ट्रि सच्याउन सकेन।
सिरियन इलेक्ट्रानिक आर्मीले ट्विटर फिडमा पोष्ट गरेपछि के बुझिन्छ भने ह्याकरहरुले मेलबर्न आइटीको प्रशासकीय कन्ट्रोल प्यानलसम्मको पहुँच पुर्यायो ।
मेलबर्न आइटीसँग खराव रेकर्डहरु सच्याउन न्यूयोर्क टाइम्स जाँदा हामी दुई ठूला डिएनएस प्रदानकर्ताहरु ओपन डिएनएस र गुगलमा पुग्यौं ।
क्लाउडफेयर, ओपन डिएनएस र गुगल कन्फोरेन्स हलमा पसे र न्यूयोर्क टाइम्स डटकम साइट इन्टरनेट स्पेस (आइपि एड्रेस) मा रिडाइरेक्टेड भएको पाए जुन फिसिङ्ग र ग्यालवेयरले भरिपूर्ण थिए । यद्धपी म्यालवेयर डिस्ट्रिब्युसनलाई तत्कालै देखिएन ।
ओपनडिएनएस टिमले अरु डोमेनहरु जुन सिरियन इलेक्ट्रोनिक आर्मीले सर्भर नाम अपडेट गरेका थिए । उनीहरुलाई पनि हेरचाह गर्न सके । हामीले थुप्रै डोमेनहरु अपडेट भएको पायौं जसमा थुप्रै टुविटर र हफिडटन पोष्टका डोमनहरु पनि थिए ।
माथि उल्लेख गरिए अनुसार यी संस्थाहरुले मेलबर्न आइटी प्रयोग गरेका थिए । मेलबर्न आइटिले के कम्प्रमाइज गर्यो भने न्यूयोर्क टाइम्सको एकाउन्ट मात्र उसले व्यवस्थापन गरेको थिएन भनेर ।
खराबको निवारण
रेजिष्ट्रिमा भेरिसाइनले पूरानो सर्भर नाममै परविर्तन ल्यायो र न्यूयोर्क टाइम्स डटकममा रेजिष्ट्री लक लगायो । यसले पछि परिवर्तन ल्याउन दिदैन, रेजिष्ट्रारले गर्न चाहे पनि ।
ओपन डिएनएस र गुगलले कष्टमरहरुलाई पर्ने असर घटाए तर बेभसर्भरहरु जसले अरु डिएनएस प्रदानकर्ताहरु प्रयोग गर्दैछन् । उनीहरुले ह्याक्ड रिजल्ट देखाउँदै छन् ।
दोहोरिने डिएनएस सर्भरहरु लुकाएको रिजल्ट केही समयका लागि राख्छन् यद्धपि रेकर्डहरु सच्चाइसकेको हुन्छ, थुप्रै असरग्रस्त डोमेनहरुको सर्भरहरु गलत लोकेशन देखाउँछ।
प्राथमिक डोमेनको रेजिष्ट्रार जुन सिरियन इलेक्ट्रोनिक आर्मीले ह्याक गर्नको लागि प्रयोग गरेको सर्भर नाम थियो, त्यस डोमेन रेजिष्ट्रेसन क्यान्सिल गरियो ।
डोमेन लुकेको टिटिएल छोटो थियो र डोमेन क्यान्सिल भएपछि म्यालवेयर इन्फेक्टेड साइटहरुमा ट्राफिक लगभग रोकियो । त्यसको मतलव यो होइन कि ह्याक गरिएका सबै साइट अनलाइन फर्कियो ।
केही ठाउँहरुमा डिएनएस बचाउनेहरु लुकाइएको खराव रेकर्ड केही समयलाई पाउँछन् । तिनीहरु २४ घण्टासम्म आफैं एक्सपायर हुन्छन् र ट्राफिक नर्मल हुन्छन् साइटहरुमा ।
कसरी आफूले आफैंलाई सुरक्षित राख्ने
यो धेरै अनौठो हमला थियो । मेलबर्न आइटिलाई अरु रेजिष्ट्रारहरुको तुलनामा उच्च तबरको सुरक्षा भएको मानिन्छ । हामी विश्वसनीय छौं कि उनीहरुले हमलाको पूणर् जानकारी दिनेछन् । पत्ता लागेपछि र संस्थाहरुले हमला बुझ्न पाउनेछन् र आफैंलाई बचाउँन पनि सक्नेछन् ।
मेलबर्न आइटिको चिठीबारे
स्वतन्त्र पत्रकार म्याथ्युलाई प्राप्त इमेलबाट के जानकार हुन्छ भने ह्याकरहरुले हमलामा मेलर्बन आइटी डोमेन रिसेलर एकाउण्ट प्रयोग गरेका थिए । मेलबर्न आइटिको रिसेलर सिस्टम नै खतराको स्थितिमा थियो जसले हमलाकर्ताहरुलाई अरु मेलबर्न आइटिका प्रयोगकर्ताहरुको डोमेनसम्म हमला गर्न सक्ने भयो ।
ह्याकले के पनि देखायो भने साइटको डिएनएसलाई रिडाइरेक्ट गरेर पनि क्षति पुर्याउन सकिन्छ । इन्टरनेट वा वबकै मुटुभन्दा हुन्छ डिएनएस । इमेलको रुटिङ पनि डिएनएसअनुसार भर पर्छ, कसरी रुट सन्देश सही सर्भरसँग गासिन्छ भनेर ।
एउटा काम के हो भने रिक्समा भएका सबै डोमेनहरुलाई एकै ठाउँमा राख्ने र रेजिष्ट्रि लक लगाउने आफ्नो डोमेनमा । यसले गर्दा रजिष्ट्रार स्वयम्ले पनि रजिष्ट्रिमा परिवर्तन ल्याउन सक्दैन ।
यदि तपाईंले आफ्नो डोमेन विरुद्ध हुइज क्वेरी कुदउनु भयो भने तपाईंले रेजिष्ट्रि लक पाउनु हुनेछ । जुन तीन स्टाटस लाइनमा पाइन्छ । Server Delete Prohibited, Server Transfer Prohibited, and Server Up date Prohibited.।
रजिष्ट्रारहरुले साधारणतया रेजिष्ट्रि लकको रिक्वेस्ट सहजरुपमैं गर्न दिदैन किनभने त्यसले अटोमेटिक रिनुअल जस्ता प्रक्रियाहरुमा अपट्यारो ल्याउँछ । तर यदि तपाईंको डोमेन रिस्कमा छ भने तपाईंले रेजेष्ट्री लक लगाउन अघि बढ्नु पर्छ ।
ट्विरका केही युटिलिटि डोमेनहरु रिडाइरेक्टेड भएका थिए तर ट्विटर डटकम भएन । ट्विटर डटकमसँग रेजिष्ट्रि लक रहेको छ । हामी टेक्निकल नेटवर्क बनाउँन समय बिताउँछौं तटर मानवीय नेटवर्क प्रभावकारी हुन्छ भन्दा बढी आनन्दमय लाग्छ ।
(म्याथ्यु प्रिन्सद्धारा सन् २०१३ अगस्ट मा प्रकाशित )
