Cómo «hackear» el whois
on Thursday, December 13, 2012Supongo que no cuento nada nuevo si digo que ayer se cayó Facebook. Lo nuevo viene a continuación... o no, porque es algo que se viene haciendo desde hace años.
Supongo también que buscando el motivo de la caída o por puro aburrimiento esperando a que volviera Facebook, a alguien le dio por consultar el whois de Facebook desde la línea de comandos:
# whois facebook.com Whois Server Version 2.0 Domain names in the .com and .net domains can now be registered with many different competing registrars. Go to http://www.internic.net for detailed information. Server Name: FACEBOOK.COM.ZZZZZ.GET.LAID.AT.WWW.SWINGINGCOMMUNITY.COM IP Address: 69.41.185.229 Registrar: TUCOWS.COM CO. Whois Server: whois.tucows.com Referral URL: http://domainhelp.opensrs.net Server Name: FACEBOOK.COM.MORE.INFO.AT.WWW.BEYONDWHOIS.COM IP Address: 203.36.226.2 Registrar: INSTRA CORPORATION PTY, LTD. Whois Server: whois.instra.net Referral URL: http://www.instra.com Server Name: FACEBOOK.COM.LOVED.BY.WWW.SHQIPHOST.COM IP Address: 46.4.210.254 Registrar: ONLINENIC, INC. Whois Server: whois.onlinenic.com Referral URL: http://www.OnlineNIC.com Server Name: FACEBOOK.COM.KNOWS.THAT.THE.BEST.WEB.HOSTING.IS.NASHHOST.NET IP Address: 78.47.16.44 Registrar: CENTER OF UKRAINIAN INTERNET NAMES Whois Server: whois.ukrnames.com Referral URL: http://www.ukrnames.com Server Name: FACEBOOK.COM.GET.ONE.MILLION.DOLLARS.AT.WWW.UNIMUNDI.COM IP Address: 209.126.190.70 Registrar: PDR LTD. D/B/A PUBLICDOMAINREGISTRY.COM Whois Server: whois.PublicDomainRegistry.com Referral URL: http://www.PublicDomainRegistry.com Domain Name: FACEBOOK.COM Registrar: MARKMONITOR INC. Whois Server: whois.markmonitor.com Referral URL: http://www.markmonitor.com Name Server: A.NS.FACEBOOK.COM Name Server: B.NS.FACEBOOK.COM Status: clientDeleteProhibited Status: clientTransferProhibited Status: clientUpdateProhibited Status: serverDeleteProhibited Status: serverTransferProhibited Status: serverUpdateProhibited Updated Date: 28-sep-2012 Creation Date: 29-mar-1997 Expiration Date: 30-mar-2020
Pero... un momento... ¿Esto qué es? FACEBOOK.COM.ZZZZZ.GET.LAID.AT.WWW.SWINGINGCOMMUNITY.COM, FACEBOOK.COM.GET.ONE.MILLION.DOLLARS.AT.WWW.UNIMUNDI.COM, FACEBOOK.COM.LOVED.BY.WWW.SHQIPHOST.COM, ... Estoy seguro de que Facebook no quiere que eso salga ahí. La conclusión precipitada fue «Facebook se ha caído porque lo han hackeado» y así se empezó a propagar por Twitter, con la colaboración incluso de algunos periodistas (eh, contrastar la información, ¿recuerdan?).
Lo cierto es que lo más probable es que esos registros ya estuvieran ahí antes de la caída de Facebook, igual que hay registros similares para google.com, yahoo.com, microsoft.com, ibm.com y cualquier dominio popular, y no tienen nada que ver con la caída de Facebook. Es algo que se viene produciendo desde hace muchos años, antes incluso de la existencia de Facebook. La primera vez que lo vi fue un caso parecido: a alguien le dio por consultar la información de whois de microsoft.com y le salió algo parecido, extrayendo la misma conclusión: han hackeado Microsoft.
Desde entonces ya me he acostumbrado a ver este tipo de registros 'falsos' pero nunca había llegado hasta el fondo del asunto: en el whois está la información de los dominios, ¿qué hacen ahí esos subdominios? ¿Cómo consiguieron que whois los liste? Nunca me había propuesto responder a estas preguntas hasta que hablando del falso hackeo del whois de Facebook con @YJesus, entre otros, surgió la pregunta a la que nadie, ni siquiera Google, dio respuesta: ¿cómo llegaron hasta ahí esos subdominios?
Me puse a investigarlo con @ediazcomellas, que me dio la primera pista. Después fui consiguiendo más pistas, atando cabos y al final conseguí colar el dominio 'example.com.chuso.net' (ya lo he borrado) para que aparezca al hacer una búsqueda whois por el dominio example.com.
Tras comentarle a @YJesus que ya había encontrado la respuesta a la pregunta, me ofreció una colaboración en Security By Default para explicar cómo 'hackear' el whois: http://www.securitybydefault.com/2012/12/como-no-hackearon-el-whois-de.html.