ProHoster > Ο τομέας corp.com είναι προς πώληση. Είναι επικίνδυνο για εκατοντάδες χιλιάδες εταιρικούς υπολογιστές με Windows

Ο τομέας corp.com είναι προς πώληση. Είναι επικίνδυνο για εκατοντάδες χιλιάδες εταιρικούς υπολογιστές με Windows

Ο τομέας corp.com είναι προς πώληση. Είναι επικίνδυνο για εκατοντάδες χιλιάδες εταιρικούς υπολογιστές με Windows
Σχέδιο διαρροής δεδομένων μέσω της αυτόματης ανακάλυψης διακομιστή μεσολάβησης Ιστού (WPAD) λόγω σύγκρουσης ονόματος (σε αυτήν την περίπτωση, σύγκρουση ενός εσωτερικού τομέα με το όνομα ενός από τα νέα gTLD, αλλά η ουσία είναι η ίδια). Πηγή: Μελέτη του Πανεπιστημίου του Μίσιγκαν, 2016

Ο Mike O'Connor, ένας από τους παλαιότερους επενδυτές σε ονόματα τομέα, βγάζει προς πώληση η πιο επικίνδυνη και αμφιλεγόμενη παρτίδα στη συλλογή της: domain corp.com για 1,7 εκατομμύρια δολάρια Το 1994, ο O'Connor αγόρασε πολλά απλά ονόματα τομέα, όπως grill.com, place.com, pub.com και άλλα. Ανάμεσά τους ήταν το corp.com, το οποίο ο Μάικ κράτησε για 26 χρόνια. Ο επενδυτής ήταν ήδη 70 ετών και αποφάσισε να κερδίσει χρήματα από τις παλιές του επενδύσεις.

Το πρόβλημα είναι ότι το corp.com είναι δυνητικά επικίνδυνο για τουλάχιστον 375 εταιρικούς υπολογιστές λόγω της απρόσεκτης διαμόρφωσης της υπηρεσίας καταλόγου Active Directory κατά την κατασκευή εταιρικών ενδοδικτύων στις αρχές της δεκαετίας του 000 με βάση τον Windows Server 2000, όταν η εσωτερική ρίζα ορίστηκε απλώς ως "corp .» Μέχρι τις αρχές της δεκαετίας του 2010, αυτό δεν ήταν πρόβλημα, αλλά με την άνοδο των φορητών υπολογιστών σε επιχειρηματικά περιβάλλοντα, όλο και περισσότεροι εργαζόμενοι άρχισαν να μετακινούν τους υπολογιστές εργασίας τους εκτός του εταιρικού δικτύου. Τα χαρακτηριστικά της εφαρμογής του Active Directory οδηγούν στο γεγονός ότι ακόμη και χωρίς ένα άμεσο αίτημα χρήστη προς //corp, ορισμένες εφαρμογές (για παράδειγμα, αλληλογραφία) χτυπούν από μόνες τους μια γνωστή διεύθυνση. Αλλά στην περίπτωση μιας εξωτερικής σύνδεσης με το δίκτυο σε ένα συμβατικό καφέ στη γωνία, αυτό οδηγεί σε ροή δεδομένων και αιτημάτων corp.com.

Τώρα ο O'Connor ελπίζει πραγματικά ότι η ίδια η Microsoft θα αγοράσει τον τομέα και, σύμφωνα με τις καλύτερες παραδόσεις της Google, θα τον σαπίσει κάπου σκοτεινά και απρόσιτα για τους ξένους, το πρόβλημα με μια τόσο θεμελιώδη ευπάθεια των δικτύων των Windows θα λυθεί.

Σύγκρουση Active Directory και ονόματος

Τα εταιρικά δίκτυα που εκτελούν Windows χρησιμοποιούν την υπηρεσία καταλόγου Active Directory. Επιτρέπει στους διαχειριστές να χρησιμοποιούν πολιτικές ομάδας για να διασφαλίζουν ομοιόμορφη διαμόρφωση του περιβάλλοντος εργασίας του χρήστη, να αναπτύσσουν λογισμικό σε πολλούς υπολογιστές μέσω πολιτικών ομάδας, να εκτελούν εξουσιοδότηση κ.λπ.

Το Active Directory είναι ενσωματωμένο με DNS και τρέχει πάνω από το TCP/IP. Για αναζήτηση κεντρικών υπολογιστών εντός του δικτύου, το πρωτόκολλο Web Proxy Auto-Discovery (WAPD) και η λειτουργία Αποκέντρωση ονόματος DNS (ενσωματωμένο σε Windows DNS Client). Αυτή η δυνατότητα διευκολύνει την εύρεση άλλων υπολογιστών ή διακομιστών χωρίς να χρειάζεται να παρέχετε ένα πλήρως πιστοποιημένο όνομα τομέα.

Για παράδειγμα, εάν μια εταιρεία λειτουργεί ένα εσωτερικό δίκτυο με το όνομα internalnetwork.example.com, και ο υπάλληλος θέλει να αποκτήσει πρόσβαση σε ένα κοινό Drive που ονομάζεται drive1, δεν χρειάζεται να μπείτε drive1.internalnetwork.example.com στον Explorer, απλώς πληκτρολογήστε \drive1 - και ο πελάτης DNS των Windows θα συμπληρώσει το ίδιο το όνομα.

Σε παλαιότερες εκδόσεις της υπηρεσίας καταλόγου Active Directory—για παράδειγμα, Windows 2000 Server—η προεπιλογή για τον εταιρικό τομέα δεύτερου επιπέδου ήταν corp. Και πολλές εταιρείες έχουν διατηρήσει την προεπιλογή για τον εσωτερικό τους τομέα. Ακόμη χειρότερα, πολλοί έχουν αρχίσει να χτίζουν τεράστια δίκτυα πάνω από αυτήν την εσφαλμένη εγκατάσταση.

Στην εποχή των επιτραπέζιων υπολογιστών, αυτό δεν αποτελούσε μεγάλο ζήτημα ασφάλειας, επειδή κανείς δεν έβγαλε αυτούς τους υπολογιστές εκτός του εταιρικού δικτύου. Τι συμβαίνει όμως όταν ένας υπάλληλος εργάζεται σε μια εταιρεία με διαδρομή δικτύου corp στο Active Directory παίρνει ένα εταιρικό φορητό υπολογιστή και πηγαίνει στα τοπικά Starbucks; Στη συνέχεια, τίθεται σε ισχύ το πρωτόκολλο Web Proxy Auto-Discovery (WPAD) και η συνάρτηση ανάθεσης ονόματος DNS.

Ο τομέας corp.com είναι προς πώληση. Είναι επικίνδυνο για εκατοντάδες χιλιάδες εταιρικούς υπολογιστές με Windows

Υπάρχει μεγάλη πιθανότητα ορισμένες υπηρεσίες του φορητού υπολογιστή να συνεχίσουν να χτυπούν τον εσωτερικό τομέα corp, αλλά δεν θα το βρει και αντ' αυτού τα αιτήματα θα επιλυθούν στον τομέα corp.com από το ανοιχτό Διαδίκτυο.

Στην πράξη, αυτό σημαίνει ότι ο ιδιοκτήτης του corp.com μπορεί παθητικά να υποκλέψει ιδιωτικά αιτήματα από εκατοντάδες χιλιάδες υπολογιστές που κατά λάθος εγκαταλείπουν το εταιρικό περιβάλλον χρησιμοποιώντας την ονομασία corp για τον τομέα σας στην υπηρεσία καταλόγου Active Directory.

Ο τομέας corp.com είναι προς πώληση. Είναι επικίνδυνο για εκατοντάδες χιλιάδες εταιρικούς υπολογιστές με Windows
Διαρροή αιτημάτων WPAD στην αμερικανική κίνηση. Από μια μελέτη του Πανεπιστημίου του Μίσιγκαν το 2016, πηγή

Γιατί το domain δεν έχει πωληθεί ακόμα;

Το 2014, οι ειδικοί του ICANN δημοσίευσαν σπουδαία μελέτη συγκρούσεις ονομάτων στο DNS. Η μελέτη χρηματοδοτήθηκε εν μέρει από το Υπουργείο Εσωτερικής Ασφάλειας των ΗΠΑ, επειδή οι διαρροές πληροφοριών από εσωτερικά δίκτυα απειλούν όχι μόνο εμπορικές εταιρείες, αλλά και κυβερνητικούς οργανισμούς, συμπεριλαμβανομένης της Μυστικής Υπηρεσίας, των υπηρεσιών πληροφοριών και των στρατιωτικών υποκαταστημάτων.

Ο Mike ήθελε να πουλήσει το corp.com πέρυσι, αλλά ο ερευνητής Jeff Schmidt τον έπεισε να καθυστερήσει την πώληση με βάση την προαναφερθείσα αναφορά. Η μελέτη διαπίστωσε επίσης ότι 375 υπολογιστές προσπαθούν να επικοινωνήσουν με το corp.com κάθε μέρα χωρίς να το γνωρίζουν οι ιδιοκτήτες τους. Τα αιτήματα περιείχαν προσπάθειες σύνδεσης σε εταιρικά ενδοδίκτυα, πρόσβαση σε δίκτυα ή κοινόχρηστα αρχεία.

Ως μέρος του δικού του πειράματος, ο Schmidt, μαζί με την JAS Global, μιμήθηκε στο corp.com τον τρόπο με τον οποίο το Windows LAN επεξεργάζεται αρχεία και αιτήματα. Κάνοντας αυτό, στην πραγματικότητα, άνοιξαν μια πύλη στην κόλαση για οποιονδήποτε ειδικό σε θέματα ασφάλειας πληροφοριών:

Ήταν απαίσιο. Σταματήσαμε το πείραμα μετά από 15 λεπτά και καταστρέψαμε [όλα τα ληφθέντα] δεδομένα. Ένας γνωστός ελεγκτής που συμβούλεψε το JAS για αυτό το θέμα σημείωσε ότι το πείραμα ήταν σαν "βροχή εμπιστευτικών πληροφοριών" και ότι δεν είχε δει ποτέ κάτι παρόμοιο.

[Δημιουργήσαμε λήψη αλληλογραφίας στο corp.com] και μετά από περίπου μία ώρα λάβαμε πάνω από 12 εκατομμύρια email, μετά από τα οποία σταματήσαμε το πείραμα. Αν και η συντριπτική πλειονότητα των μηνυμάτων ηλεκτρονικού ταχυδρομείου ήταν αυτοματοποιημένα, διαπιστώσαμε ότι ορισμένα ήταν ευαίσθητα [ασφάλεια] και επομένως καταστρέψαμε ολόκληρο το σύνολο δεδομένων χωρίς περαιτέρω ανάλυση.

Ο Schmidt πιστεύει ότι οι διαχειριστές σε όλο τον κόσμο προετοιμάζουν εν αγνοία τους το πιο επικίνδυνο botnet στην ιστορία εδώ και δεκαετίες. Εκατοντάδες χιλιάδες πλήρεις υπολογιστές σε όλο τον κόσμο είναι έτοιμοι όχι μόνο να γίνουν μέρος ενός botnet, αλλά και να παρέχουν εμπιστευτικά δεδομένα για τους ιδιοκτήτες και τις εταιρείες τους. Το μόνο που χρειάζεται να κάνετε για να το εκμεταλλευτείτε είναι να ελέγξετε το corp.com. Σε αυτήν την περίπτωση, κάθε μηχάνημα που έχει συνδεθεί κάποτε στο εταιρικό δίκτυο, του οποίου η υπηρεσία καταλόγου Active Directory διαμορφώθηκε μέσω //corp, γίνεται μέρος του botnet.

Η Microsoft εγκατέλειψε το πρόβλημα πριν από 25 χρόνια

Εάν πιστεύετε ότι η MS κατά κάποιον τρόπο αγνοούσε τις συνεχιζόμενες βακχαναλίες γύρω από το corp.com, τότε κάνετε σοβαρό λάθος. Ο Μάικ τρόλαρε τη Microsoft και τον Μπιλ Γκέιτς προσωπικά το 1997Αυτή είναι η σελίδα στην οποία προσγειώθηκαν οι χρήστες της έκδοσης beta του FrontPage ’97, με το corp.com να αναφέρεται ως η προεπιλεγμένη διεύθυνση URL:

Ο τομέας corp.com είναι προς πώληση. Είναι επικίνδυνο για εκατοντάδες χιλιάδες εταιρικούς υπολογιστές με Windows

Όταν ο Mike κουράστηκε πολύ από αυτό, το corp.com άρχισε να ανακατευθύνει τους χρήστες στον ιστότοπο του sex shop. Σε απάντηση, έλαβε χιλιάδες θυμωμένες επιστολές από χρήστες, τις οποίες ανακατεύθυνε μέσω αντιγραφής στον Μπιλ Γκέιτς.

Παρεμπιπτόντως, ο ίδιος ο Mike, από περιέργεια, δημιούργησε έναν διακομιστή αλληλογραφίας και λάμβανε εμπιστευτικές επιστολές στο corp.com. Προσπάθησε να λύσει μόνος του αυτά τα προβλήματα επικοινωνώντας με εταιρείες, αλλά απλώς δεν ήξεραν πώς να διορθώσουν την κατάσταση:

Αμέσως, άρχισα να λαμβάνω εμπιστευτικά μηνύματα ηλεκτρονικού ταχυδρομείου, συμπεριλαμβανομένων προκαταρκτικών εκδόσεων εταιρικών οικονομικών αναφορών προς την Επιτροπή Κεφαλαιαγοράς των ΗΠΑ, αναφορές ανθρώπινων πόρων και άλλα τρομακτικά πράγματα. Προσπάθησα να επικοινωνήσω με εταιρείες για λίγο, αλλά οι περισσότεροι δεν ήξεραν τι να κάνουν με αυτό. Οπότε τελικά τον απενεργοποίησα [τον διακομιστή αλληλογραφίας].

Η MS δεν ανέλαβε καμία ενεργή δράση και η εταιρεία αρνείται να σχολιάσει την κατάσταση. Ναι, η Microsoft έχει κυκλοφορήσει αρκετές ενημερώσεις της υπηρεσίας καταλόγου Active Directory όλα αυτά τα χρόνια που αντιμετωπίζουν εν μέρει το πρόβλημα σύγκρουσης ονόματος τομέα, αλλά έχουν ορισμένα προβλήματα. Η εταιρεία παρήγαγε επίσης συστάσεις σχετικά με τη ρύθμιση εσωτερικών ονομάτων τομέα, συστάσεις για την κατοχή ενός τομέα δεύτερου επιπέδου για την αποφυγή διενέξεων και άλλους οδηγούς που συνήθως δεν διαβάζονται.

Αλλά το πιο σημαντικό πράγμα βρίσκεται στις ενημερώσεις. Πρώτον: για να τα εφαρμόσετε, πρέπει να απενεργοποιήσετε εντελώς το intranet της εταιρείας. Δεύτερον: μετά από τέτοιες ενημερώσεις, ορισμένες εφαρμογές μπορεί να αρχίσουν να λειτουργούν πιο αργά, λανθασμένα ή να σταματήσουν να λειτουργούν εντελώς. Είναι σαφές ότι οι περισσότερες εταιρείες με ανεπτυγμένο εταιρικό δίκτυο δεν θα αναλάβουν τέτοιους κινδύνους βραχυπρόθεσμα. Επιπλέον, πολλοί από αυτούς δεν συνειδητοποιούν καν την πλήρη κλίμακα της απειλής που είναι γεμάτη με την ανακατεύθυνση των πάντων στο corp.com όταν το μηχάνημα βγαίνει εκτός του εσωτερικού δικτύου.

Η μέγιστη ειρωνεία επιτυγχάνεται όταν βλέπετε Αναφορά έρευνας σύγκρουσης ονόματος τομέα Schmidt. Σύμφωνα λοιπόν με τα στοιχεία του, Ορισμένα αιτήματα προς το corp.com προέρχονται από το εσωτερικό δίκτυο της Microsoft.

Ο τομέας corp.com είναι προς πώληση. Είναι επικίνδυνο για εκατοντάδες χιλιάδες εταιρικούς υπολογιστές με Windows

Και τι θα γίνει μετά;

Φαίνεται ότι η λύση σε αυτήν την κατάσταση βρίσκεται στην επιφάνεια και περιγράφηκε στην αρχή του άρθρου: αφήστε τη Microsoft να αγοράσει τον τομέα του Mike από αυτόν και να τον απαγορεύσει κάπου σε μια απομακρυσμένη ντουλάπα για πάντα.

Αλλά δεν είναι τόσο απλό. Η Microsoft πρόσφερε στον O'Connor να εξαγοράσει τον τοξικό τομέα του για εταιρείες σε όλο τον κόσμο πριν από αρκετά χρόνια. Αυτό είναι ακριβώς Ο γίγαντας πρόσφερε μόνο 20 χιλιάδες δολάρια για το κλείσιμο μιας τέτοιας τρύπας στα δικά του δίκτυα.

Τώρα το domain προσφέρεται για 1,7 εκατομμύρια δολάρια Και ακόμα κι αν η Microsoft αποφασίσει να το αγοράσει την τελευταία στιγμή, θα έχει χρόνο;

Ο τομέας corp.com είναι προς πώληση. Είναι επικίνδυνο για εκατοντάδες χιλιάδες εταιρικούς υπολογιστές με Windows

Μόνο εγγεγραμμένοι χρήστες μπορούν να συμμετάσχουν στην έρευνα. Συνδεθείτε, Σας παρακαλούμε.

Τι θα κάνατε αν ήσασταν στη θέση του O'Connor;

  • 59,6%Αφήστε τη Microsoft να αγοράσει τον τομέα για 1,7 εκατομμύρια δολάρια ή αφήστε κάποιον άλλο να τον αγοράσει.501

  • 3,4%Θα το πουλούσα για 20 χιλιάδες δολάρια· δεν θέλω να μείνω στην ιστορία ως το άτομο που διέρρευσε ένα τέτοιο domain σε κάποιον άγνωστο.29

  • 3,3%Θα το έθαψα ο ίδιος για πάντα εάν η Microsoft δεν μπορεί να πάρει τη σωστή απόφαση.28

  • 21,2%Θα πουλούσα συγκεκριμένα τον τομέα σε χάκερ με την προϋπόθεση ότι θα καταστρέψουν τη φήμη της Microsoft στο εταιρικό περιβάλλον. Γνωρίζουν το πρόβλημα από το 1997!178

  • 12,4%Θα έφτιαχνα μόνος μου ένα botnet + διακομιστή αλληλογραφίας και θα άρχιζα να αποφασίζω για τη μοίρα του κόσμου.104

Ψήφισαν 840 χρήστες. 131 χρήστης απείχε.

Πηγή: www.habr.com

Προσθέστε ένα σχόλιο