Схема ўцечкі дадзеных праз Web Proxy Auto-Discovery (WPAD) пры калізіі імёнаў (у дадзеным выпадку калізія ўнутранага дамена з назовам адной з новых gTLD, але іста тая ж). Крыніца: , 2016
Майк О’Конар, адзін з найстарэйшых інвестараў у даменныя імёны, самы небяспечны і спрэчны лот сваёй калекцыі: дамен corp.com за $1,7 млн. У 1994 году О’Конар купіў мноства простых даменных імёнаў, такія як grill.com, place.com, pub.com і іншыя. Сярод іх быў і corp.com, які Майк захоўваў на працягу 26 гадоў. Інвестару ўжо споўнілася 70 гадоў і ён вырашыў манетызаваць свае даўнія ўкладанні.
Уся праблема ў тым, што corp.com – патэнцыйна небяспечны як мінімум для 375 000 карпаратыўных кампутараў з-за бязладнай налады Active Directory у часы пабудовы карпаратыўных інтранэт ў пачатку нулявых на базе Windows Server 2000, калі ўнутраны корань паказваўся проста як "corp". Да пачатку 2010-х гэта не было праблемай, але з ростам колькасці наўтбукаў у дзелавым асяроддзі, усё больш і больш супрацоўнікаў сталі выносіць свае працоўныя кампутары за межы карпаратыўнай сеткі. Асаблівасці рэалізацыі Active Directory прыводзяць да таго, што нават без прамога запыту карыстальніка да //corp, шэраг прыкладанняў (напрыклад, пошта), стукаюцца па знаёмым адрасе самастойна. Але ў выпадку вонкавага падлучэння да сеткі ва ўмоўнай кавярні за кутом гэта прыводзіць да таго, што струмень дадзеных і запытаў льецца на corp.com.
Цяпер О’Конар вельмі спадзяецца, што дамен выкупіць сама Microsoft і ў лепшых традыцыях Google згноіць яго дзе-небудзь у цёмным і недаступным для старонніх месцы праблема з такой фундаментальнай уразлівасцю Windows-сетак будзе вырашана.
Active Directory і калізія імён
У карпаратыўных сетках пад Windows выкарыстоўваецца служба каталогаў Active Directory. Яна дазваляе адміністратарам выкарыстоўваць групавыя палітыкі для забеспячэння аднастайнасці налады карыстацкага працоўнага асяроддзя, разгортваць праграмнае забеспячэнне на мностве кампутараў праз групавыя палітыкі, выконваць аўтарызацыю і т.д.
Служба Active Directory інтэграваная з DNS і працуе па-над TCP/IP. Для пошуку вузлоў унутры сеткі выкарыстоўваецца пратакол пратакол аўтаматычнай налады проксі Web Proxy Auto-Discovery (WAPD) і функцыя (убудаваная ў Windows DNS Client). Гэтая функцыя палягчае пошук іншых кампутараў ці сервераў без неабходнасці паказваць поўнае даменнае імя.
Напрыклад, калі кампанія кіруе ўнутранай сеткай з імем internalnetwork.example.com, а супрацоўнік хоча атрымаць доступ да агульнага дыска пад назвай drive1, няма неабходнасці ўводзіць drive1.internalnetwork.example.com у Правадыру, досыць набраць \drive1 - а кліент Windows DNS сам дапоўніць імя.
У ранніх версіях Active Directory - напрыклад, у Windows 2000 Server - для другога ўзроўню карпаратыўнага дамена быў па змаўчанні паказаны corp. І многія кампаніі захавалі значэнне па змаўчанні для свайго ўнутранага дамена. Горш таго, шматлікія пачалі выбудоўваць шырокія сеткі па-над гэтай памылковай налады.
У часы стацыянарных кампутараў гэта не ўяўляла асаблівай праблемы з бяспекай, таму што ніхто не выцягваў гэтыя кампутары за межы карпаратыўнай сеткі. Але што адбываецца, калі супрацоўнік, які працуе ў кампаніі з сеткавым шляхам corp у службе Active Directory бярэ карпаратыўны наўтбук - і заходзіць у мясцовы Starbucks? Тады ўступае ў дзеянне пратакол аўтаматычнай налады проксі Web Proxy Auto-Discovery (WPAD) і функцыя DNS name devolution.
Вялікая верагоднасць, што некаторыя службы на наўтбуку працягнуць стукацца па ўнутраным дамене corp, але не знойдуць яго, а замест гэтага запыты рэзалююць у дамен corp.com з адкрытага інтэрнэту.
На практыцы гэта азначае, што ўладальнік corp.com можа пасіўна перахапляць прыватныя запыты з сотняў тысяч кампутараў, якія выпадкова выходзяць за межы карпаратыўнага асяроддзя, якая выкарыстоўвае абазначэнне. corp для свайго дамена ў Active Directory.
Уцечка WPAD-запытаў у амерыканскім трафіку. З даследавання Мічыганскага ўніверсітэта ў 2016 годзе,
Чаму дамен яшчэ не прададзены
У 2014 годзе спецыялісты ICANN апублікавалі калізій імён у DNS. Даследаванне часткова фінансавалася Міністэрствам унутранай бяспекі ЗША, таму што ўцечкі інфармацыі з унутраных сетак пагражаюць не толькі камерцыйным кампаніям, але і дзяржаўным арганізацыям, у тым ліку сакрэтным службам, разведвальным агенцтвам і вайсковым падраздзяленням.
Майк хацеў прадаць corp.com яшчэ ў мінулым годзе, але даследчык Джэф Шміт пераканаў яго адкласці продаж на падставе якраз вышэйзгаданай справаздачы. У рамках даследавання таксама высветлілася, што штодня 375 кампутараў спрабуюць звязацца з corp.com без ведама уладальнікаў. У запытах змяшчаліся спробы ўвайсці ў карпаратыўныя інтранэт, атрымаць доступ да сетак або файлавых рэсурсаў.
У рамках уласнага эксперыменту Шміт сумесна з JAS Global імітаваў на corp.com спосаб апрацоўкі файлаў і запытаў, які выкарыстоўвае лакальная сетка Windows. Гэтым яны, фактычна, адкрылі партал у пекла для любога спецыяліста па інфармацыйнай бяспецы:
Гэта было жахліва. Мы спынілі эксперымент праз 15 хвілін і знішчылі [усе атрыманыя] дадзеныя. Добра вядомы тэсціроўшчык, які кансультаваў JAS па гэтым пытанні, адзначыў, што эксперымент быў падобны на "дождж з канфідэнцыйнай інфармацыі", і што ён ніколі не бачыў нічога падобнага.
[Мы настроілі прыём пошты на corp.com] і прыкладна праз гадзіну атрымалі больш за 12 мільёнаў электронных лістоў, пасля чаго спынілі эксперымент. Хоць пераважная большасць лістоў былі аўтаматызаванымі, мы выявілі, што некаторыя з іх былі адчувальнымі [да бяспекі] і таму мы знішчылі ўвесь масіў дадзеных без далейшага аналізу.
Шміт лічыць, што адміністратары па ўсім свеце дзесяцігоддзямі, не ведаючы таго, рыхтавалі самы небяспечны ботнэт у гісторыі. Сотні тысяч паўнавартасных працоўных кампутараў па ўсім свеце гатовы не толькі стаць часткай ботнета, але і падаць канфідэнцыйных дадзеныя аб сваіх уладальніках і кампаніях. Усё, што трэба для таго, каб скарыстацца ім - кантраляваць corp.com. Пры гэтым часткай ботнета становіцца любая машына, аднойчы падлучаная да карпаратыўнай сеткі, Active Directory якой была наладжана праз //corp.
Microsoft "забілі" на праблему яшчэ 25 гадоў таму
Калі вы лічыце, што MS як бы была не ў курсе вакханаліі вакол corp.com, то вы сур'ёзна памыляецеся. у вось такой старонкай, на якую пападалі карыстачы бэта-версіі FrontPage ’97, у якім corp.com быў паказаны як дэфолтны URL:
Калі Майку гэта зусім надакучыла, corp.com стаў перанакіроўваць карыстальнікаў на сайт сэксшопа. У адказ ён атрымаў тысячы гнеўных лістоў ад карыстальнікаў, якія ён рэдырэктыў праз копію на Біла Гейтса.
Дарэчы кажучы, Майк таксама сам, з цікаўнасці, паднімаў паштовы сервер і атрымліваў канфідэнцыйныя лісты на corp.com. Ён спрабаваў сам вырашаць гэтыя праблемы, звязваючыся з кампаніямі, але тамака проста не ведалі, як выправіць сітуацыю:
Адразу ж я пачаў атрымліваць канфідэнцыйныя электронныя лісты, у тым ліку папярэднія варыянты карпаратыўных фінансавых справаздач у Камісію па каштоўных паперах і біржам ЗША, справаздачы аб людскіх рэсурсах і іншыя страшныя рэчы. Некаторы час я спрабаваў перапісвацца з карпарацыямі, але большасць з іх не ведала, што з гэтым рабіць. Так што я, нарэшце, проста выключыў яго [паштовы сервер].
З боку MS актыўныя дзеянні не прымаліся, а каментаваць сітуацыю кампанія адмаўляецца. Так, Microsoft за мінулыя гады выпусціла некалькі абнаўленняў Active Directory, якія часткова вырашаюць праблему калізіі даменных імёнаў, аднак у іх ёсць шэраг праблем. Таксама кампанія выпускала рэкамендацыі па наладзе ўнутраных даменных імёнаў, рэкамендацыі аб валоданні даменам другога ўзроўня ў пазбяганне калізіі і іншыя тутарыялы, якія звычайна не чытаюць.
Але найважнейшае крыецца ў абнаўленнях. Першае: каб прымяніць іх, трэба цалкам пакласці інтранэт кампаніі. Другое: некаторыя прыкладанні пасля падобных абнаўленняў могуць пачаць працаваць павольней, некарэктна, альбо перастануць працаваць зусім. Зразумела, што большасць кампаній з выбудаванай карпаратыўнай сеткай на кароткай дыстанцыі не пойдуць на такія рыскі. Акрамя таго, многія з іх нават не ўсведамляюць усяго маштабу пагрозы, які тоіць у сабе рэдырэкт за ўсё і ўся на corp.com пры вынасе машыны за межы ўнутранай сеткі.
Максімум іроніі дасягаецца, калі вы праглядаеце . Так, паводле яго дадзеных, некаторыя запыты на corp.com паступаюць з інтранэта самой Microsoft.
І што будзе далей?
Здавалася б, рашэнне гэтай сітуацыі ляжыць на паверхні і было апісана яшчэ ў пачатку артыкула: хай Microsoft выкупіць у Майка яго дамен і забарона дзе-небудзь у глухой каморы назаўжды.
Але не ўсё так проста. Microsoft прапаноўвала О’Конару выкупіць яго таксічны для кампаній па ўсім свеце дамен яшчэ некалькі гадоў таму. Вось толькі прапанаваў гігант за закрыццё такой дзіркі ва ўласных сетках усяго $20 тыс..
Цяпер дамен выстаўляецца за $1,7 млн. І нават калі Microsoft у апошні момант вырашыць усё ж выкупіць яго – ці паспеюць?
Толькі зарэгістраваныя карыстачы могуць удзельнічаць у апытанні. , Калі ласка.
А як бы паступілі вы на месцы О’Конара?
-
59,6%Хай Microsoft купляе дамен за $ 1,7 млн, альбо яго купіць хто-небудзь іншы.
-
3,4%Я б прадаў за $20 тысяч, не хачу ўвайсці ў гісторыю як чалавек, які зліў такі дамен незразумела каму.
-
3,3%Я б пахаваў яго сам і назаўжды, калі ўжо Microsoft не можа прыняць правільнае рашэнне.
-
21,2%Адмыслова прадаў бы дамен хакерам з умовай, што яны знішчаць рэпутацыю Microsoft у карпаратыўным асяроддзі. Яны ведалі аб праблеме з 1997 года!
-
12,4%Падняў бы ботнет+паштовы сервер сам і стаў бы вяршыць лёсы свету.104
Прагаласавалі 840 карыстальнікаў. Устрымаўся 131 карыстач.
Крыніца: habr.com