Dimarts passat, els milions de lectors de The New York Times que volien llegir alguna notícia de l'edició digital, sigui escrivint l'adreça en els seus navegadors o bé fent clic en algun enllaç de xarxes socials, es van trobar veient una pàgina web de suport al president de Síria. Al mateix temps, els usuaris de Twitter veien una imatge molt semblant en piulades que havien d'incloure qualsevol altra fotografia.
Al cap de poques hores, les dues empreses van reconèixer que l'accés a les seves pàgines havia estat hackejat per l'anomenat Exèrcit Electrònic Sirià, una entitat que presumeix del seu suport a Baixar al-Assad. La situació s'ha acabat normalitzant, però els dos incidents formen part d'una cadena d'intrusions en mitjans de comunicació digital de gran audiència que posa en relleu la fragilitat del sistema amb el qual s'informa i es comunica una proporció cada vegada més gran de la humanitat. El que crida l'atenció és que les dues intrusions citades es van fer amb el mateix procediment, d'una senzillesa sorprenent.
En alguns casos, els atacants que volen neutralitzar una web ho fan aplicant la força bruta: els atacs de tipus DDoS (sigles de denegació de servei distribuïda) consisteixen a saturar els servidors web, fent-los des de xarxes d'ordinadors zombis una quantitat de peticions simultànies tan enorme que s'ensorren sense poder atendre-les. En altres incidents recents, serveis de molt trànsit deixen de funcionar per una avaria tècnica en els servidors propis o del seu proveïdor d'allotjament web: així va passar fa uns dies amb Instagram quan va fallar una operació de còpia de seguretat en un dels centres de dades d'Amazon.
En canvi, el New York Times i una part de Twitter no van desaparèixer temporalment aquesta setmana per cap dels dos motius citats, sinó per un engany relativament simple: els atacants van desviar cap a la seva pròpia web totes les peticions legítimes dels usuaris mitjançant un canvi en el DNS, el servei de noms de domini que gestiona l'accés a qualsevol adreça d'internet.
Tots els serveis de la xarxa -siguin de correu electrònic, de web, de transferència de fitxers o de qualsevol altra aplicació- estan vinculats a les anomenades adreces IP, unes cadenes de xifres que identifiquen de manera exclusiva cada dispositiu mentre està connectat. Per exemple, l'ordinador que conté les pàgines web de l'ARA és a l'adreça 212.73.198.167. Com que seria molt difícil recordar aquestes cadenes numèriques, els dissenyadors d'internet van crear el DNS, una taula que assigna noms més comprensibles a les adreces IP que els necessiten, de la mateixa manera que a la llista de telèfons del nostre mòbil hi trobem els números pel nom de la persona que volem trucar. Així, quan vostè tecleja "ara.cat" en el seu navegador, el DNS tradueix la seva petició a l'adreça numèrica anterior abans de cursar-la al servidor del diari. Pot comprovar-ho escrivint "212.73.198.167" al navegador web: veurà exactament la mateixa pàgina que si hagués escrit l'adreça de sempre.
El DNS té la gràcia que les empreses poden moure el seu contingut d'un servidor a un altre -i, per tant, canviar-ne l'adreça IP- conservant el nom de domini. Però si algú accedeix a la taula de conversió de noms en adreces numèriques, pot desviar totes les peticions cap on vulgui. Això és el que va passar dimarts: els hackers van segrestar els noms de domini del diari i del servidor d'imatges de Twitter. Tots dos en tenen encomanada la gestió a l'empresa australiana MelbourneIT, que va comprar fa uns anys la divisió corresponent de la nord-americana VeriSign. MelbourneIT, com la majoria dels registradors de dominis, comercialitza els seus serveis mitjançant distribuïdors, i els atacants van obtenir les credencials d'accés d'un d'aquests intermediaris mitjançant tècniques de phishing o enginyeria social; és a dir, enviant missatges de correu que feien creure al receptor que estava introduint les seves claus en un lloc legítim quan en realitat ho feia en la pàgina dels intrusos, que d'aquesta forma van poder suplantar-lo i fer els canvis que volien. De fet, els va resultar possible fer-los perquè cap dels dos noms de domini tenia activat el bloqueig opcional de protecció suplementària que ofereixen molts registradors, i que obliga el propietari del nom a confirmar les modificacions. Una imprudència que els ha costat cara als afectats.
Quan les víctimes van descobrir el problema, van demanar als registradors que restauressin la configuració original, però com que el DNS és un sistema distribuït, tant la malifeta com el remei van trigar hores -fins a dos dies, en alguns casos- a propagar-se per tota la xarxa, de manera que no tots els internautes van experimentar al mateix temps la intrusió ni la seva solució.
Com és de suposar, no se sap qui hi ha al darrere de l'Exèrcit Electrònic Sirià, però l'expert en seguretat Brian Krebs ha deduït la identitat d'un dels seus possibles responsables, un tal Mohamad Abdl AlKarem, precisament gràcies a les credencials dels noms de domini de l'EES que un altre registrador, Network Solutions, va anul·lar fa uns mesos en el marc del bloqueig econòmic internacional a Síria.
L'incident d'aquesta setmana torna a confirmar que la Tercera Guerra Mundial ja ha començat i que no s'assembla gens a les anteriors, perquè té lloc a la xarxa aprofitant punts febles que poden afectar no només la circulació de la informació, sinó també l'economia, com quan l'índex Dow Jones de la borsa dels EUA va caure 140 punts en reacció a un tuit de l'agència Associated Press dient que una bomba havia esclatat a la Casa Blanca. Aquell tuit fals se'l va atribuir... l'Exèrcit Electrònic Sirià!
