En datalækageordning via Web Proxy Auto-Discovery (WPAD) på grund af en navnekollision (i dette tilfælde en kollision mellem et internt domæne og navnet på en af de nye gTLD'er, men essensen er den samme). Kilde: , 2016
Mike O'Connor, en af de ældste investorer i domænenavne, det farligste og mest kontroversielle parti i hans samling: domænet corp.com for 1,7 millioner dollars. I 1994 købte O'Connor en række simple domænenavne, såsom grill.com, place.com, pub.com og andre. Blandt dem var corp.com, som Mike beholdt i 26 år. Investoren er allerede 70 år og har besluttet at tjene penge på sine mangeårige investeringer.
Hele problemet er, at corp.com er potentielt farligt for mindst 375 virksomhedscomputere på grund af skødesløs konfiguration af Active Directory under opbygningen af virksomhedens intranet i begyndelsen af 000'erne baseret på Windows Server 2000, hvor den interne rod blot blev angivet som "corp". Indtil begyndelsen af 2010'erne var dette ikke et problem, men med fremkomsten af bærbare computere i erhvervsmiljøet begyndte flere og flere medarbejdere at tage deres arbejdscomputere uden for virksomhedens netværk. Implementeringsfunktionerne i Active Directory betyder, at selv uden en direkte brugeranmodning til //corp, banker en række applikationer (for eksempel mail) på den velkendte adresse på egen hånd. Men i tilfælde af en ekstern forbindelse til netværket i en konventionel cafe rundt om hjørnet, fører dette til, at strømmen af data og anmodninger flyder til corp.com.
Nu håber O'Connor virkelig, at Microsoft selv vil købe domænet og efter bedste Google-traditioner lade det rådne et sted på et mørkt sted, der er utilgængeligt for udefrakommende; problemet med en så fundamental sårbarhed i Windows-netværk vil blive løst.
Active Directory og navnekollisioner
I virksomhedsnetværk, der kører Windows, bruges Active Directory-katalogtjenesten. Det giver administratorer mulighed for at bruge gruppepolitikker til at sikre ensartethed i brugermiljøindstillinger, implementere software til flere computere via gruppepolitikker, udføre autorisation osv.
Active Directory er integreret med DNS og kører over TCP/IP. For at søge efter noder i netværket, Web Proxy Auto-Discovery Protocol (WAPD) og funktionen (indbygget i Windows DNS-klient). Denne funktion gør det nemmere at finde andre computere eller servere uden at skulle angive det fuldt kvalificerede domænenavn.
For eksempel, hvis en virksomhed driver et internt netværk navngivet internalnetwork.example.com, og medarbejderen ønsker at få adgang til et fællesdrev kaldet drive1, ingen grund til at komme ind drive1.internalnetwork.example.com i Stifinder skal du bare skrive \drev1 — og Windows DNS-klienten vil fuldføre selve navnet.
I tidligere versioner af Active Directory - for eksempel i Windows 2000 Server - var standarden for andet niveau af et virksomhedsdomæne corp. Og mange virksomheder har beholdt standardværdien for deres interne domæne. Værre, mange begyndte at bygge omfattende netværk oven på denne fejlbehæftede opsætning.
I dage med stationære computere, var dette ikke meget af et sikkerhedsproblem, fordi ingen tog disse computere uden for virksomhedens netværk. Men hvad sker der, når en medarbejder arbejder for en virksomhed med en netværkssti corp i Active Directory tager en virksomheds bærbar computer og går ind i den lokale Starbucks? Det er her Web Proxy Auto-Discovery (WPAD)-protokollen og decentralisering af DNS-navne kommer i spil.
Der er stor sandsynlighed for, at nogle tjenester på den bærbare computer vil fortsætte med at banke på det interne domæne. corp, men de vil ikke finde det, og i stedet vil anmodningerne løses til corp.com-domænet fra det åbne internet.
I praksis betyder det, at ejeren af corp.com passivt kan opsnappe private anmodninger fra hundredtusindvis af computere, der ved et uheld forlader virksomhedens miljø ved hjælp af notationen corp for dit domæne i Active Directory.
WPAD-anmodningslækage i amerikansk trafik. Fra en undersøgelse fra University of Michigan i 2016,
Hvorfor er domænet ikke solgt endnu?
I 2014 offentliggjorde ICANN-eksperter DNS-navnekollisioner. Forskningen blev delvist finansieret af det amerikanske Department of Homeland Security, fordi interne netværksbrud truer ikke kun virksomheder, men også statslige organisationer, herunder Secret Service, efterretningstjenester og militæret.
Mike ønskede at sælge corp.com sidste år, men forsker Jeff Schmidt overbeviste ham om at udsætte salget baseret på den førnævnte rapport. Undersøgelsen viste også, at 375 computere forsøger at kontakte corp.com hver dag uden deres ejeres viden. Anmodningerne indeholdt forsøg på at logge ind på virksomhedens intranet, få adgang til netværk eller arkivere ressourcer.
I sit eget eksperiment simulerede Schmidt i samarbejde med JAS Global den måde, hvorpå Windows lokalnetværk håndterer filer og anmodninger på corp.com. Ved at gøre dette åbnede de i det væsentlige en portal til helvede for enhver informationssikkerhedsprofessionel:
Det var forfærdeligt. Vi stoppede eksperimentet efter 15 minutter og ødelagde [alle de opnåede] data. En velkendt tester, der rådgav JAS i sagen, bemærkede, at eksperimentet var som "at regne med fortrolig information", og at han aldrig havde set noget lignende.
[Vi oprettede mailmodtagelse på corp.com] og inden for cirka en time havde vi modtaget over 12 millioner e-mails, hvorefter vi stoppede eksperimentet. Mens langt de fleste e-mails var automatiserede, fandt vi ud af, at nogle var følsomme, og derfor ødelagde vi hele datasættet uden yderligere analyse.
Schmidt mener, at administratorer over hele verden ubevidst har forberedt det farligste botnet i historien i årtier. Hundredtusindvis af fuldt funktionsdygtige computere rundt om i verden er klar til ikke kun at blive en del af et botnet, men også til at levere fortrolige data om deres ejere og virksomheder. Alt du behøver for at bruge det er at kontrollere corp.com. I dette tilfælde bliver enhver maskine, der én gang har været forbundet til et virksomhedsnetværk, hvis Active Directory blev konfigureret via //corp, en del af botnettet.
Microsoft "ignorerede" problemet for 25 år siden
Hvis du tror, at MS på en eller anden måde var uvidende om de igangværende bacchanalia omkring corp.com, så tager du alvorligt fejl. Her er en side, som FrontPage '97 beta-brugere landede på, med corp.com angivet som standard-URL:
Da Mike blev træt af dette, begyndte corp.com at omdirigere brugere til en sexbutiks hjemmeside. Som svar modtog han tusindvis af vrede e-mails fra brugere, som han omdirigerede via kopi til Bill Gates.
Mike selv oprettede i øvrigt af nysgerrighed en mailserver og modtog fortrolige breve på corp.com. Han forsøgte selv at løse disse problemer ved at kontakte virksomheder, men de vidste simpelthen ikke, hvordan de skulle løse situationen:
Med det samme begyndte jeg at modtage fortrolige e-mails, inklusive udkast til virksomhedens finansielle rapporter til Securities and Exchange Commission, rapporter om menneskelige ressourcer og andre skræmmende ting. Jeg prøvede at korrespondere med virksomheder i et stykke tid, men de fleste af dem vidste ikke, hvad de skulle stille op med det. Så jeg har endelig bare slået den [mailserveren] fra.
MS har ikke taget aktive skridt, og selskabet afviser at kommentere situationen. Ja, Microsoft har udgivet flere Active Directory-opdateringer gennem årene, der delvist løser problemet med domænenavnskollisioner, men de har en række problemer. Virksomheden producerede også anbefalinger om opsætning af interne domænenavne, anbefalinger om at eje et domæne på andet niveau for at undgå kollisioner og andre tutorials, der normalt ikke læses.
Men det vigtigste ligger i opdateringerne. For det første, for at bruge dem, skal du lukke helt ned for virksomhedens intranet. For det andet: Efter sådanne opdateringer kan nogle programmer begynde at arbejde langsommere, forkert eller helt stoppe med at fungere. Det er klart, at de fleste virksomheder med et veletableret virksomhedsnetværk ikke vil tage sådanne risici over kort afstand. Derudover er mange af dem ikke engang klar over det fulde omfang af truslen, der er gemt i omdirigeringen af alt og alle til corp.com, når maskinen tages uden for det interne netværk.
Den maksimale ironi opnås, når du ser . Så ifølge hans data, Nogle forespørgsler til corp.com kommer fra Microsofts eget intranet.
Og hvad vil der så ske?
Det ser ud til, at løsningen på denne situation er indlysende og blev beskrevet i begyndelsen af artiklen: lad Microsoft købe Mikes domæne og forbyde det et sted i et fjernskab for evigt.
Men det er ikke så enkelt. Microsoft tilbød at købe O'Connors giftige domæne til virksomheder over hele verden for flere år siden. Det er bare det giganten tilbød kun $20 for at lukke sådan et hul i sine egne netværk.
Domænet er i øjeblikket noteret for $1,7 millioner. Og selvom Microsoft beslutter sig for at købe det i sidste øjeblik, vil de så have tid?
Kun registrerede brugere kan deltage i undersøgelsen. , Vær venlig.
Hvad ville du have gjort, hvis du var O'Connor?
59,6%Lad Microsoft købe domænet for $1,7 millioner, eller lad en anden købe det.501
3,4%Jeg ville sælge det for $20, jeg ønsker ikke at gå over i historien, da den person, der lækkede et sådant domæne til Gud, ved hvem.29
3,3%Jeg ville begrave ham selv og for altid, hvis Microsoft ikke kan træffe den rigtige beslutning.28
21,2%Jeg vil specifikt sælge domænet til hackere på betingelse af, at de ødelægger Microsofts omdømme i virksomhedens miljø. De har kendt til problemet siden 1997!178
12,4%Jeg ville selv oprette en botnet+mail-server og begynde at bestemme verdens skæbne.104
840 brugere stemte. 131 bruger undlod at stemme.
Kilde: www.habr.com
