Skema van datalekkasie deur Web Proxy Auto-Discovery (WPAD) as gevolg van naambotsing (in hierdie geval, 'n botsing van 'n interne domein met die naam van een van die nuwe gTLD's, maar die essensie is dieselfde). Bron: , 2016
Mike O'Connor, een van die oudste beleggers in domeinname, die gevaarlikste en mees omstrede lot in sy versameling: domein corp.com vir $1,7 miljoen.In 1994 het O'Connor baie eenvoudige domeinname gekoop, soos grill.com, place.com, pub.com en ander. Onder hulle was corp.com, wat Mike vir 26 jaar gehou het. Die belegger was reeds 70 jaar oud en het besluit om sy ou beleggings te verdien.
Die probleem is dat corp.com potensieel gevaarlik is vir ten minste 375 000 korporatiewe rekenaars as gevolg van die sorgelose konfigurasie van Active Directory tydens die konstruksie van korporatiewe intranette in die vroeë 2000's gebaseer op Windows Server 2010, toe die interne wortel eenvoudig gespesifiseer is as "corp". .” Tot die vroeë XNUMX's was dit nie 'n probleem nie, maar met die opkoms van skootrekenaars in besigheidsomgewings het al hoe meer werknemers hul werksrekenaars buite die korporatiewe netwerk begin skuif. Kenmerke van die Active Directory-implementering lei daartoe dat selfs sonder 'n direkte gebruikerversoek aan //corp, 'n aantal toepassings (byvoorbeeld pos) op hul eie 'n bekende adres aanklop. Maar in die geval van 'n eksterne verbinding met die netwerk in 'n konvensionele kafee om die draai, lei dit tot 'n stroom data en versoeke wat na corp.com.
Nou hoop O'Connor regtig dat Microsoft self die domein sal koop en, in die beste tradisies van Google, dit iewers donker en ontoeganklik vir buitestanders sal verrot, sal die probleem met so 'n fundamentele kwesbaarheid van Windows-netwerke opgelos word.
Active Directory en naambotsing
Korporatiewe netwerke wat Windows gebruik, gebruik die Active Directory-gidsdiens. Dit laat administrateurs toe om groepbeleide te gebruik om eenvormige konfigurasie van die gebruiker se werksomgewing te verseker, sagteware op verskeie rekenaars te ontplooi deur groepbeleide, magtiging uit te voer, ens.
Active Directory is geïntegreer met DNS en loop bo-op TCP/IP. Om na gashere binne die netwerk te soek, die Web Proxy Auto-Discovery (WAPD) protokol en die funksie (ingebou in Windows DNS-kliënt). Hierdie kenmerk maak dit maklik om ander rekenaars of bedieners te vind sonder om 'n volledig gekwalifiseerde domeinnaam te verskaf.
Byvoorbeeld, as 'n maatskappy 'n interne netwerk met die naam bedryf internalnetwork.example.com, en die werknemer wil toegang hê tot 'n gedeelde Drive genaamd drive1, hoef nie in te gaan nie drive1.internalnetwork.example.com in Explorer, tik net \drive1 - en die Windows DNS-kliënt sal die naam self voltooi.
In vroeëre weergawes van Active Directory—byvoorbeeld Windows 2000 Server—was die verstek vir die tweedevlak korporatiewe domein corp. En baie maatskappye het die standaard vir hul interne domein behou. Nog erger, baie het begin om groot netwerke bo-op hierdie gebrekkige opstelling te bou.
In die dae van tafelrekenaars was dit nie veel van 'n sekuriteitskwessie nie, want niemand het hierdie rekenaars buite die korporatiewe netwerk geneem nie. Maar wat gebeur wanneer 'n werknemer werk in 'n maatskappy met 'n netwerk pad corp in Active Directory 'n korporatiewe skootrekenaar neem en na die plaaslike Starbucks gaan? Dan tree die Web Proxy Auto-Discovery (WPAD) protokol en die DNS naam devolusie funksie in werking.
Daar is 'n groot waarskynlikheid dat sommige dienste op die skootrekenaar sal voortgaan om op die interne domein te klop corp, maar sal dit nie vind nie, en in plaas daarvan sal versoeke opgelos word na die corp.com-domein vanaf die oop internet.
In die praktyk beteken dit dat die eienaar van corp.com privaat versoeke passief kan onderskep van honderdduisende rekenaars wat per ongeluk die korporatiewe omgewing verlaat deur die benaming te gebruik corp vir jou domein in Active Directory.
Lekking van WPAD-versoeke in Amerikaanse verkeer. Uit 'n 2016 Universiteit van Michigan-studie,
Hoekom is die domein nog nie verkoop nie?
In 2014 het ICANN-kundiges gepubliseer naambotsings in DNS. Die studie is deels deur die Amerikaanse departement van binnelandse veiligheid befonds omdat inligting wat uit interne netwerke lek, nie net kommersiële maatskappye bedreig nie, maar ook regeringsorganisasies, insluitend die Geheime Diens, intelligensie-agentskappe en militêre takke.
Mike wou verlede jaar corp.com verkoop, maar navorser Jeff Schmidt het hom oortuig om die verkoop uit te stel op grond van die voorgenoemde verslag. Die studie het ook bevind dat 375 000 rekenaars elke dag corp.com probeer kontak sonder hul eienaars se medewete. Die versoeke bevat pogings om by korporatiewe intranette aan te meld, toegang tot netwerke of lêerdelings te verkry.
As deel van sy eie eksperiment het Schmidt saam met JAS Global op corp.com die manier waarop Windows LAN lêers en versoeke verwerk, nageboots. Deur dit te doen, het hulle in werklikheid 'n portaal na die hel oopgemaak vir enige inligtingsekuriteitspesialis:
Dit was aaklig. Ons het die eksperiment na 15 minute gestaak en [alle verkry] data vernietig. 'n Bekende toetser wat JAS oor hierdie kwessie geadviseer het, het opgemerk dat die eksperiment soos 'n "reën van vertroulike inligting" was en dat hy nog nooit so iets gesien het nie.
[Ons het posontvangs op corp.com opgestel] en na ongeveer 'n uur het ons meer as 12 miljoen e-posse ontvang, waarna ons die eksperiment gestaak het. Alhoewel die oorgrote meerderheid van die e-posse outomaties was, het ons gevind dat sommige [sekuriteit] sensitief was en daarom het ons die hele datastel vernietig sonder verdere ontleding.
Schmidt glo dat administrateurs regoor die wêreld al dekades lank onwetend die gevaarlikste botnet in die geskiedenis voorberei het. Honderdeduisende volwaardige werkende rekenaars regoor die wêreld is gereed om nie net deel te word van 'n botnet nie, maar ook om vertroulike data oor hul eienaars en maatskappye te verskaf. Al wat jy hoef te doen om voordeel daaruit te trek, is control corp.com. In hierdie geval word enige masjien wat een keer aan die korporatiewe netwerk gekoppel is, waarvan die Active Directory gekonfigureer is via //corp, deel van die botnet.
Microsoft het 25 jaar gelede die probleem opgegee
As jy dink dat MS op een of ander manier onbewus was van die voortdurende bacchanalia rondom corp.com, dan is jy ernstig verkeerd. Dit is die bladsy waarop gebruikers van die beta-weergawe van FrontPage '97 beland het, met corp.com gelys as die verstek-URL:
Toe Mike regtig moeg word hiervoor, het corp.com gebruikers na die sekswinkelwebwerf begin herlei. In reaksie hierop het hy duisende woedende briewe van gebruikers ontvang, wat hy per kopie na Bill Gates herlei het.
Terloops, Mike het self uit nuuskierigheid 'n posbediener opgestel en vertroulike briewe op corp.com ontvang. Hy het self probeer om hierdie probleme op te los deur maatskappye te kontak, maar hulle het eenvoudig nie geweet hoe om die situasie reg te stel nie:
Onmiddellik het ek vertroulike e-posse begin ontvang, insluitend voorlopige weergawes van korporatiewe finansiële verslae aan die US Securities and Exchange Commission, mensehulpbronverslae en ander eng dinge. Ek het 'n rukkie met korporasies probeer korrespondeer, maar die meeste van hulle het nie geweet wat om daarmee te doen nie. So ek het dit uiteindelik net [die posbediener] afgeskakel.
MS het geen aktiewe stappe gedoen nie, en die maatskappy weier om kommentaar te lewer oor die situasie. Ja, Microsoft het oor die jare verskeie Active Directory-opdaterings vrygestel wat die domeinnaambotsingsprobleem gedeeltelik aanspreek, maar dit het wel 'n aantal probleme. Die maatskappy het ook vervaardig aanbevelings oor die opstel van interne domeinname, aanbevelings oor die besit van 'n tweedevlakdomein om konflikte te vermy, en ander tutoriale wat gewoonlik nie gelees word nie.
Maar die belangrikste ding lê in die opdaterings. Eerstens: om dit toe te pas, moet jy die maatskappy se intranet heeltemal neersit. Tweedens: na sulke opdaterings kan sommige toepassings stadiger, verkeerd begin werk of heeltemal ophou werk. Dit is duidelik dat die meeste maatskappye met 'n opgeboude korporatiewe netwerk nie sulke risiko's op kort termyn sal neem nie. Boonop besef baie van hulle nie eers die volle omvang van die bedreiging wat gepaard gaan met die herleiding van alles na corp.com wanneer die masjien buite die interne netwerk geneem word nie.
Maksimum ironie word bereik wanneer jy kyk . Dus, volgens sy data, sommige versoeke aan corp.com kom van Microsoft se eie intranet af.
En wat sal volgende gebeur?
Dit wil voorkom asof die oplossing vir hierdie situasie op die oppervlak lê en is aan die begin van die artikel beskryf: laat Microsoft Mike se domein by hom koop en hom vir altyd iewers in 'n afgeleë kas verban.
Maar dit is nie so eenvoudig nie. Microsoft het O'Connor etlike jare gelede aangebied om sy giftige domein vir maatskappye regoor die wêreld uit te koop. Dis net Die reus het slegs $20 duisend aangebied om so 'n gat in sy eie netwerke toe te maak.
Nou word die domein vir $1,7 miljoen aangebied. En selfs al besluit Microsoft om dit op die laaste oomblik te koop, sal hulle tyd hê?
Slegs geregistreerde gebruikers kan aan die opname deelneem. , asseblief.
Wat sou jy doen as jy O'Connor was?
-
59,6%Laat Microsoft die domein koop vir $1,7 miljoen, of laat iemand anders dit koop.501
-
3,4%Ek sal dit vir $20 duisend verkoop; ek wil nie in die geskiedenis ingaan as die persoon wat so 'n domein aan iemand onbekend uitgelek het nie.29
-
3,3%Ek sal dit self vir altyd begrawe as Microsoft nie die regte besluit kan neem nie.28
-
21,2%Ek sal spesifiek die domein aan kuberkrakers verkoop op voorwaarde dat hulle Microsoft se reputasie in die korporatiewe omgewing vernietig. Hulle weet al sedert 1997 van die probleem!178
-
12,4%Ek sou self 'n botnet + posbediener opstel en die lot van die wêreld begin besluit.104
840 gebruikers het gestem. 131 gebruiker het buite stemming gebly.
Bron: will.com