ProHoster > Doména corp.com je na prodej. Je to nebezpečné pro stovky tisíc firemních počítačů se systémem Windows

Doména corp.com je na prodej. Je to nebezpečné pro stovky tisíc firemních počítačů se systémem Windows

Doména corp.com je na prodej. Je to nebezpečné pro stovky tisíc firemních počítačů se systémem Windows
Schéma úniku dat přes Web Proxy Auto-Discovery (WPAD) z důvodu kolize názvu (v tomto případě kolize interní domény s názvem jedné z nových gTLD, ale podstata je stejná). Zdroj: Studie University of Michigan, 2016

Mike O'Connor, jeden z nejstarších investorů do doménových jmen, dává k prodeji nejnebezpečnější a nejkontroverznější položka ve své sbírce: doména corp.com v roce 1,7 O'Connor koupil mnoho jednoduchých doménových jmen, jako grill.com, place.com, pub.com a další. Mezi nimi byl corp.com, který Mike držel 1994 let. Investorovi bylo již 26 let a rozhodl se své staré investice zpeněžit.

Problém je v tom, že corp.com je potenciálně nebezpečný pro nejméně 375 000 podnikových počítačů kvůli nedbalé konfiguraci Active Directory během budování podnikových intranetů na počátku 2000 na základě Windows Server 2010, kdy byl interní kořen jednoduše specifikován jako „corp. .“ Až do začátku roku XNUMX to nebyl problém, ale s nástupem notebooků v obchodním prostředí začalo stále více zaměstnanců přesouvat své pracovní počítače mimo podnikovou síť. Vlastnosti implementace Active Directory vedou k tomu, že i bez přímého požadavku uživatele na //corp řada aplikací (například mail) sama klepe na známou adresu. Ale v případě externího připojení k síti v konvenční kavárně za rohem to vede k proudění dat a požadavků na corp.com.

Nyní O'Connor skutečně doufá, že doménu koupí sám Microsoft a v nejlepší tradici Googlu ji uhnije někam do temnoty a cizincům nepřístupné, problém s tak zásadní zranitelností sítí Windows bude vyřešen.

Kolize Active Directory a názvu

Podnikové sítě se systémem Windows používají adresářovou službu Active Directory. Umožňuje správcům používat skupinové zásady k zajištění jednotné konfigurace pracovního prostředí uživatele, nasazování softwaru na více počítačů prostřednictvím skupinových zásad, provádění autorizace atd.

Active Directory je integrován s DNS a běží nad TCP/IP. Chcete-li vyhledat hostitele v síti, protokol Web Proxy Auto-Discovery (WAPD) a funkce Devoluce názvů DNS (zabudováno do klienta DNS systému Windows). Tato funkce usnadňuje nalezení dalších počítačů nebo serverů, aniž byste museli zadávat plně kvalifikovaný název domény.

Například pokud společnost provozuje interní síť s názvem internalnetwork.example.coma zaměstnanec chce získat přístup ke sdílenému disku s názvem drive1, není třeba zadávat drive1.internalnetwork.example.com v Průzkumníku stačí napsat \drive1 - a klient DNS systému Windows doplní název sám.

V dřívějších verzích Active Directory – například Windows 2000 Server – byla výchozí podniková doména druhé úrovně corp. A mnoho společností si ponechalo výchozí nastavení pro svou interní doménu. Ještě horší je, že mnozí začali na tomto chybném nastavení budovat rozsáhlé sítě.

V dobách stolních počítačů to nebyl příliš velký bezpečnostní problém, protože tyto počítače nikdo nebral mimo podnikovou síť. Co se ale stane, když zaměstnanec pracuje ve firmě se síťovou cestou corp v Active Directory vezme firemní notebook a jde do místního Starbucks? Poté vstoupí v platnost protokol WPAD (Web Proxy Auto-Discovery) a funkce přenesení názvů DNS.

Doména corp.com je na prodej. Je to nebezpečné pro stovky tisíc firemních počítačů se systémem Windows

Je vysoká pravděpodobnost, že některé služby na notebooku budou nadále klepat na interní doménu corp, ale nenajde ji a místo toho budou požadavky z otevřeného internetu řešeny do domény corp.com.

V praxi to znamená, že vlastník corp.com může pasivně zachycovat soukromé požadavky ze stovek tisíc počítačů, které omylem opustí firemní prostředí pomocí označení corp pro vaši doménu v Active Directory.

Doména corp.com je na prodej. Je to nebezpečné pro stovky tisíc firemních počítačů se systémem Windows
Únik požadavků WPAD v americkém provozu. Ze studie University of Michigan z roku 2016, zdroj

Proč doména ještě není prodána?

V roce 2014 odborníci ICANN publikovali skvělé studium kolize jmen v DNS. Studii zčásti financovalo americké ministerstvo pro vnitřní bezpečnost, protože úniky informací z vnitřních sítí ohrožují nejen komerční společnosti, ale také vládní organizace, včetně tajných služeb, zpravodajských služeb a vojenských složek.

Mike chtěl loni prodat corp.com, ale výzkumník Jeff Schmidt ho na základě výše zmíněné zprávy přesvědčil, aby prodej odložil. Studie také zjistila, že 375 000 počítačů se každý den pokouší kontaktovat corp.com, aniž by o tom jejich majitelé věděli. Požadavky obsahovaly pokusy o přihlášení do podnikového intranetu, přístupu k sítím nebo sdílení souborů.

V rámci vlastního experimentu Schmidt spolu s JAS Global napodobil na corp.com způsob, jakým Windows LAN zpracovává soubory a požadavky. Tím ve skutečnosti otevřeli portál do pekla pro každého specialistu na informační bezpečnost:

Bylo to hrozné. Po 15 minutách jsme experiment zastavili a zničili [všechna získaná] data. Známý tester, který v této otázce radil JAS, poznamenal, že experiment byl jako „déšť důvěrných informací“ a že nikdy nic podobného neviděl.

[Nastavili jsme příjem pošty na corp.com] a asi po hodině jsme obdrželi přes 12 milionů e-mailů, načež jsme experiment zastavili. Přestože byla velká většina e-mailů automatizovaná, zjistili jsme, že některé byly citlivé na [bezpečnost], a proto jsme celý soubor dat bez další analýzy zničili.

Schmidt se domnívá, že administrátoři po celém světě po desetiletí nevědomky připravovali nejnebezpečnější botnet v historii. Statisíce plnohodnotně fungujících počítačů po celém světě jsou připraveny nejen stát se součástí botnetu, ale také poskytovat důvěrná data o svých majitelích a společnostech. Vše, co musíte udělat, abyste toho mohli využít, je ovládat corp.com. V tomto případě se každý stroj, který je jednou připojen k podnikové síti, jehož Active Directory byl nakonfigurován přes //corp, stane součástí botnetu.

Microsoft se problému vzdal před 25 lety

Pokud si myslíte, že MS nějak nevěděl o probíhajících bakchanáliích kolem corp.com, pak se vážně mýlíte. Mike v roce 1997 osobně trolloval Microsoft a Billa GateseToto je stránka, na kterou se dostali uživatelé beta verze FrontPage '97, s corp.com uvedenou jako výchozí URL:

Doména corp.com je na prodej. Je to nebezpečné pro stovky tisíc firemních počítačů se systémem Windows

Když to Mikea opravdu omrzelo, corp.com začal přesměrovávat uživatele na webovou stránku sexshopu. V reakci na to obdržel tisíce naštvaných dopisů od uživatelů, které přesměroval přes kopii na Billa Gatese.

Mimochodem, Mike sám ze zvědavosti zřídil poštovní server a dostával důvěrné dopisy na corp.com. Tyto problémy se snažil vyřešit sám kontaktováním firem, ale ty prostě nevěděly, jak situaci napravit:

Okamžitě jsem začal dostávat důvěrné e-maily, včetně předběžných verzí firemních finančních zpráv pro americkou Komisi pro cenné papíry, zprávy o lidských zdrojích a další děsivé věci. Chvíli jsem si zkoušel dopisovat s korporacemi, ale většina z nich nevěděla, co s tím. Tak jsem to nakonec jen vypnul [poštovní server].

MS nepodnikla žádné aktivní kroky a společnost odmítá situaci komentovat. Ano, Microsoft v průběhu let vydal několik aktualizací Active Directory, které částečně řeší problém kolize doménových jmen, ale mají řadu problémů. Firma také vyráběla doporučení o nastavení interních názvů domén, doporučení ohledně vlastnictví domény druhé úrovně, aby se předešlo konfliktům, a další výukové programy, které se obvykle nečtou.

To nejdůležitější ale leží v aktualizacích. Za prvé: k jejich aplikaci je třeba úplně odložit firemní intranet. Za druhé: po takových aktualizacích mohou některé aplikace začít pracovat pomaleji, nesprávně nebo přestat fungovat úplně. Je jasné, že většina společností s vybudovanou firemní sítí v krátkodobém horizontu taková rizika nepodstoupí. Navíc si mnoho z nich ani neuvědomuje celý rozsah hrozby, která je spojena s přesměrováním všeho na corp.com, když je stroj přemístěn mimo interní síť.

Maximální ironie je dosaženo, když se díváte Zpráva o výzkumu kolize doménových jmen Schmidt. Takže podle jeho údajů některé požadavky na corp.com pocházejí z vlastního intranetu společnosti Microsoft.

Doména corp.com je na prodej. Je to nebezpečné pro stovky tisíc firemních počítačů se systémem Windows

A co bude dál?

Zdálo by se, že řešení této situace leží na povrchu a bylo popsáno na začátku článku: ať od něj Microsoft koupí Mikeovu doménu a navždy ho zakáže někde ve vzdálené skříni.

Ale není to tak jednoduché. Microsoft před několika lety nabídl O'Connorovi, že odkoupí jeho toxickou doménu pro společnosti po celém světě. To je prostě Gigant za uzavření takové díry ve vlastních sítích nabídl pouhých 20 tisíc dolarů.

Nyní je doména nabízena za 1,7 milionu dolarů. A i když se ji Microsoft na poslední chvíli rozhodne koupit, bude mít čas?

Doména corp.com je na prodej. Je to nebezpečné pro stovky tisíc firemních počítačů se systémem Windows

Průzkumu se mohou zúčastnit pouze registrovaní uživatelé. Přihlásit se, prosím.

Co byste dělal, kdybyste byl O'Connor?

  • 59,6%Ať Microsoft koupí doménu za 1,7 milionu dolarů, nebo ať si ji koupí někdo jiný.501

  • 3,4%Prodal bych ji za 20 tisíc dolarů; nechci se zapsat do historie jako člověk, který takovou doménu prozradil někomu neznámému.29

  • 3,3%Sám bych to navždy pohřbil, pokud Microsoft nedokáže učinit správné rozhodnutí.28

  • 21,2%Konkrétně bych doménu prodal hackerům pod podmínkou, že zničí reputaci Microsoftu v podnikovém prostředí. O problému věděli od roku 1997!178

  • 12,4%Sám bych si založil botnet + mail server a začal rozhodovat o osudu světa.104

Hlasovalo 840 uživatelů. 131 uživatel se zdržel hlasování.

Zdroj: www.habr.com

Přidat komentář