Svensk hackare tog över Kongos toppdomän

2021-01-25 06:00  

Under en tid kunde den svenska hackaren Fredrik Nordberg Almroth övervaka trafiken till sajter med toppdomänen .cd. Allt för att förhindra att den togs över av någon med illvilliga avsikter. “Det kunde ha slutat riktigt illa”.

Det är strax innan jul 2020 och Fredrik Nordberg Almroth, etisk hackare och medgrundare till it-säkerhetsföretaget Detectify, bestämmer sig för att söka igenom världens nationella toppdomäner. Och när hans script går igenom Kongo-Kinshasas, egentligen Demokratiska republiken Kongos, toppdomän .cd hittar han något intressant. 

All trafik till sajter med toppdomän .cd distribueras via sex servrar. Tre av dem visade sig ha en speciell statuskod som visar att den snart skulle tas bort. 

– De tycks ha glömt att betala räkningen för sin domän, säger Fredrik Nordberg Almroth. 

Några dagar senare, den 30 december, togs domänen bort. Fredrik Nordberg Almroth köpte domänen för att den inte skulle tas över av någon med dunkla avsikter. 

– Det var helt sjukt. Det gav mig tillgång till hälften av all internettrafik i hela Kongo, inklusive trafiken till stora internationella företag och organisationer med en .cd-domän.

Så hackades .cd

Det hela fungerar, något förenklat, såhär. Om du exempelvis går in på sajten google.cd kommer din enhet, exempelvis en dator, att fråga en server vilken ip-adress google.cd finns på. Den servern var det som Nordberg Almroth tog över. 

– Jag hade kunnat skicka trafiken till vilken ip-adress jag ville, exempelvis min egen. Då hade jag inte bara kunnat se alla Google-sökningar utan också ändra dem. Jag hade även kunnat komma åt de mejl som skickas, säger hackaren.

Läs mer: Hur blir vi hackade år 2030? Experten reder ut

Han lyckades köpa domänen innan någon annan hunnit göra det. 

– Det kunde ha slutat riktigt illa. Kongo har runt 90 miljoner invånare - en person som velat göra skada hade kunnat stjäla personuppgifter och sprida skadlig kod till miljontals internetanvändare.  

Det finns förvisso ett visst inbyggt skydd i både webbläsare och på en del sajter som ska försvåra den här typen av övertaganden. Men många domäner saknar det. 

– Hade jag pekat google.cd till min server hade jag kunnat få en operatör att utfärda ett certifikat, och webbläsaren skulle lita på det. Just Google och de andra stora techbolagen har skydd för att försvåra det, men det har inte många andra.

Ovanligt att hacka toppdomän

Att en toppdomän hackas är ovanligt, men har hänt ett par gånger tidigare. Bland annat kapades Vietnams .vn och när det landet fortfarande existerade skedde ett liknande angrepp mot Sovjetunionens .su. 

– Det händer kanske var tredje eller femte år. Det ska inte kunna hända, det underminerar så mycket av hur internet ska fungera.

Läs mer: Han berättar historien om tidernas värsta cyberattack

Hur slutade då Kongo-historien? Jo, den sjunde januari hörde Fredrik Nordberg Almroth av sig till administratörerna för toppdomänen, som snabbt löste problemet på egen hand. 

– Jag fick verkligen tänka mig för, vad gör jag när jag upptäcker en sådan sak och hur ger jag tillbaka tillgången till de rätta ägarna? Jag har rapporterat sårbarheter hos bolag förut, men inte alls i den här skalan, säger han. 

Fakta: Detectify

Detectify är ett it-säkerhetsföretag som tagit fram en sårbarhetsskanner för onlinetjänster. Bolaget har två gånger, 2017 och 2018, varit med på Ny Tekniks 33-lista över Sveriges främsta unga, innovativa teknikbolag.

Henning Eklund

Kommentarer

Välkommen att säga din mening på Ny Teknik.

Principen för våra regler är enkel: visa respekt för de personer vi skriver om och andra läsare som kommenterar artiklarna. Alla kommentarer modereras efter publiceringen av Ny Teknik eller av oss anlitad personal.

  Kommentarer

Debatt