System for datalækage gennem Web Proxy Auto-Discovery (WPAD) på grund af navnekollision (i dette tilfælde en kollision af et internt domæne med navnet på en af de nye gTLD'er, men essensen er den samme). Kilde: , 2016
Mike O'Connor, en af de ældste investorer i domænenavne, det farligste og mest kontroversielle parti i sin samling: domæne corp.com for $1,7 mio.. I 1994 købte O'Connor mange simple domænenavne, såsom grill.com, place.com, pub.com og andre. Blandt dem var corp.com, som Mike beholdt i 26 år. Investoren var allerede 70 år gammel og besluttede at tjene penge på sine gamle investeringer.
Problemet er, at corp.com er potentielt farlig for mindst 375 virksomhedscomputere på grund af den skødesløse konfiguration af Active Directory under opbygningen af virksomhedens intranet i begyndelsen af 000'erne baseret på Windows Server 2000, hvor den interne rod blot blev angivet som "corp ." Indtil begyndelsen af 2010'erne var dette ikke et problem, men med fremkomsten af bærbare computere i erhvervsmiljøer begyndte flere og flere medarbejdere at flytte deres arbejdscomputere uden for virksomhedens netværk. Funktioner i Active Directory-implementeringen fører til, at selv uden en direkte brugeranmodning til //corp, banker en række applikationer (for eksempel mail) på en velkendt adresse på egen hånd. Men i tilfælde af en ekstern forbindelse til netværket i en konventionel cafe rundt om hjørnet, fører dette til en strøm af data og anmodninger, der strømmer ind på corp.com.
Nu håber O'Connor virkelig, at Microsoft selv vil købe domænet og, i Googles bedste traditioner, rådne det et mørkt sted og utilgængeligt for udenforstående, vil problemet med en så fundamental sårbarhed af Windows-netværk blive løst.
Active Directory og navnekollision
Virksomhedsnetværk, der kører Windows, bruger Active Directory-katalogtjenesten. Det giver administratorer mulighed for at bruge gruppepolitikker til at sikre ensartet konfiguration af brugerens arbejdsmiljø, implementere software på flere computere gennem gruppepolitikker, udføre autorisation osv.
Active Directory er integreret med DNS og kører oven på TCP/IP. For at søge efter værter i netværket, WAPD-protokollen (Web Proxy Auto-Discovery) og funktionen (indbygget i Windows DNS-klient). Denne funktion gør det nemt at finde andre computere eller servere uden at skulle angive et fuldt kvalificeret domænenavn.
For eksempel, hvis en virksomhed driver et internt netværk navngivet internalnetwork.example.com, og medarbejderen ønsker at få adgang til et fællesdrev kaldet drive1, ingen grund til at komme ind drive1.internalnetwork.example.com i Stifinder skal du bare skrive \drev1 - og Windows DNS-klienten vil fuldføre selve navnet.
I tidligere versioner af Active Directory - f.eks. Windows 2000 Server - var standarden for virksomhedsdomænet på andet niveau corp. Og mange virksomheder har beholdt standarden for deres interne domæne. Endnu værre, mange er begyndt at bygge store netværk oven på dette fejlbehæftede setup.
I dage med stationære computere, var dette ikke meget af et sikkerhedsproblem, fordi ingen tog disse computere uden for virksomhedens netværk. Men hvad sker der, når en medarbejder arbejder i en virksomhed med en netværkssti corp i Active Directory tager en virksomheds bærbar computer og går til den lokale Starbucks? Derefter træder WPAD-protokollen (Web Proxy Auto-Discovery) og funktionen DNS-navneoverdragelse i kraft.
Der er stor sandsynlighed for, at nogle tjenester på den bærbare computer vil fortsætte med at banke på det interne domæne corp, men vil ikke finde det, og i stedet vil anmodninger blive løst til corp.com-domænet fra det åbne internet.
I praksis betyder det, at ejeren af corp.com passivt kan opsnappe private anmodninger fra hundredtusindvis af computere, der ved et uheld forlader virksomhedens miljø ved hjælp af betegnelsen corp for dit domæne i Active Directory.
Lækage af WPAD-anmodninger i amerikansk trafik. Fra en undersøgelse fra University of Michigan i 2016,
Hvorfor er domænet ikke solgt endnu?
I 2014 offentliggjorde ICANN-eksperter navnekollisioner i DNS. Undersøgelsen blev delvist finansieret af det amerikanske Department of Homeland Security, fordi informationslækage fra interne netværk truer ikke kun kommercielle virksomheder, men også statslige organisationer, herunder Secret Service, efterretningstjenester og militære afdelinger.
Mike ønskede at sælge corp.com sidste år, men forskeren Jeff Schmidt overbeviste ham om at udsætte salget baseret på den førnævnte rapport. Undersøgelsen viste også, at 375 computere forsøger at kontakte corp.com hver dag uden deres ejeres viden. Anmodningerne indeholdt forsøg på at logge ind på virksomhedens intranet, få adgang til netværk eller fildelinger.
Som en del af sit eget eksperiment efterlignede Schmidt sammen med JAS Global på corp.com den måde, Windows LAN behandler filer og anmodninger på. Ved at gøre dette åbnede de faktisk en portal til helvede for enhver informationssikkerhedsspecialist:
Det var forfærdeligt. Vi stoppede eksperimentet efter 15 minutter og ødelagde [alle opnåede] data. En velkendt tester, der rådgav JAS om dette spørgsmål, bemærkede, at eksperimentet var som "en regn af fortrolig information", og at han aldrig havde set noget lignende.
[Vi oprettede mailmodtagelse på corp.com] og efter cirka en time modtog vi over 12 millioner e-mails, hvorefter vi stoppede eksperimentet. Selvom langt de fleste e-mails var automatiserede, fandt vi ud af, at nogle var [sikkerheds]følsomme, og derfor ødelagde vi hele datasættet uden yderligere analyse.
Schmidt mener, at administratorer over hele verden ubevidst har forberedt det farligste botnet i historien i årtier. Hundredtusindvis af fuldgyldige arbejdscomputere rundt om i verden er klar til ikke kun at blive en del af et botnet, men også til at levere fortrolige data om deres ejere og virksomheder. Alt du skal gøre for at drage fordel af det er control corp.com. I dette tilfælde bliver enhver maskine, der engang er forbundet til virksomhedens netværk, hvis Active Directory blev konfigureret via //corp, en del af botnettet.
Microsoft opgav problemet for 25 år siden
Hvis du tror, at MS på en eller anden måde var uvidende om de igangværende bacchanalia omkring corp.com, så tager du alvorligt fejl. Dette er siden, som brugere af betaversionen af FrontPage '97 landede på, med corp.com angivet som standard-URL:
Da Mike blev rigtig træt af dette, begyndte corp.com at omdirigere brugere til sexbutikkens hjemmeside. Som svar modtog han tusindvis af vrede breve fra brugere, som han videresendte via kopi til Bill Gates.
Mike selv oprettede i øvrigt af nysgerrighed en mailserver og modtog fortrolige breve på corp.com. Han forsøgte selv at løse disse problemer ved at kontakte virksomheder, men de vidste simpelthen ikke, hvordan de skulle rette op på situationen:
Straks begyndte jeg at modtage fortrolige e-mails, inklusive foreløbige versioner af virksomhedens finansielle rapporter til US Securities and Exchange Commission, personalerapporter og andre skræmmende ting. Jeg prøvede at korrespondere med virksomheder i et stykke tid, men de fleste af dem vidste ikke, hvad de skulle stille op med det. Så jeg har endelig bare slået den [mail-serveren] fra.
MS foretog sig ingen aktiv handling, og virksomheden afviser at kommentere situationen. Ja, Microsoft har udgivet flere Active Directory-opdateringer gennem årene, der delvist løser problemet med domænenavnskollisioner, men de har en række problemer. Virksomheden producerede også anbefalinger om opsætning af interne domænenavne, anbefalinger om at eje et domæne på andet niveau for at undgå konflikter og andre vejledninger, der normalt ikke læses.
Men det vigtigste ligger i opdateringerne. For det første: For at anvende dem skal du helt lægge virksomhedens intranet ned. For det andet: efter sådanne opdateringer kan nogle programmer begynde at arbejde langsommere, forkert eller helt stoppe med at fungere. Det er klart, at de fleste virksomheder med et opbygget virksomhedsnetværk ikke vil tage sådanne risici på kort sigt. Derudover er mange af dem ikke engang klar over det fulde omfang af truslen, der er fyldt med omdirigering af alt til corp.com, når maskinen tages uden for det interne netværk.
Maksimal ironi opnås, når du ser . Så ifølge hans data, nogle anmodninger til corp.com kommer fra Microsofts eget intranet.
Og hvad vil der så ske?
Det ser ud til, at løsningen på denne situation ligger på overfladen og blev beskrevet i begyndelsen af artiklen: lad Microsoft købe Mikes domæne af ham og forbyde ham et sted i et fjernskab for evigt.
Men det er ikke så enkelt. Microsoft tilbød O'Connor at købe sit giftige domæne til virksomheder rundt om i verden for flere år siden. Det er bare Kæmpen tilbød kun 20 tusind dollars for at lukke sådan et hul i sine egne netværk.
Nu tilbydes domænet for 1,7 millioner dollars. Og selvom Microsoft beslutter sig for at købe det i sidste øjeblik, vil de så have tid?
Kun registrerede brugere kan deltage i undersøgelsen. , Vær venlig.
Hvad ville du gøre, hvis du var O'Connor?
-
59,6 %Lad Microsoft købe domænet for $1,7 millioner, eller lad en anden købe det.501
-
3,4 %Jeg ville sælge det for 20 tusind dollars; jeg ønsker ikke at gå over i historien som den person, der lækkede et sådant domæne til en ukendt.29
-
3,3 %Jeg ville selv begrave det for evigt, hvis Microsoft ikke kan træffe den rigtige beslutning.28
-
21,2 %Jeg vil specifikt sælge domænet til hackere på betingelse af, at de ødelægger Microsofts omdømme i virksomhedsmiljøet. De har kendt til problemet siden 1997!178
-
12,4 %Jeg ville selv oprette et botnet + mailserver og begynde at bestemme verdens skæbne.104
840 brugere stemte. 131 bruger undlod at stemme.
Kilde: www.habr.com