Skemo de datumfluo tra Web Proxy Auto-Discovery (WPAD) pro nomkolizio (en ĉi tiu kazo, kolizio de interna domajno kun la nomo de unu el la novaj gTLD-oj, sed la esenco estas la sama). Fonto:
Mike O'Connor, unu el la plej maljunaj investantoj en domajnaj nomoj,
La problemo estas, ke corp.com estas eble danĝera por almenaŭ 375 kompaniaj komputiloj pro la senzorga agordo de Active Directory dum la konstruado de kompaniaj intraretoj en la fruaj 000-aj jaroj bazitaj sur Windows Server 2000, kiam la interna radiko estis simple specifita kiel "corp". .” Ĝis la fruaj 2010-aj jaroj, tio ne estis problemo, sed kun la pliiĝo de tekkomputiloj en komercaj medioj, pli kaj pli da dungitoj komencis movi siajn laborkomputilojn ekster la kompania reto. Trajtoj de la efektivigo de Active Directory kondukas al tio, ke eĉ sen rekta uzantpeto al //corp, kelkaj aplikaĵoj (ekzemple, poŝto) frapas memstare konatan adreson. Sed en la kazo de ekstera konekto al la reto en konvencia kafejo ĉirkaŭ la angulo, tio kondukas al fluo de datumoj kaj petoj alfluantaj. corp.com.
Nun O'Connor vere esperas, ke Microsoft mem aĉetos la domajnon kaj, laŭ la plej bonaj tradicioj de Guglo, putrus ĝin ie malluma kaj neatingebla por eksteruloj, la problemo pri tia fundamenta vundebleco de Vindozaj retoj estos solvita.
Aktiva Dosierujo kaj nomo-kolizio
Entreprenaj retoj kurantaj Vindozon uzas la servon de dosierujo Active Directory. Ĝi permesas al administrantoj uzi gruppolitikojn por certigi unuforman agordon de la labormedio de la uzanto, deploji softvaron sur multoblaj komputiloj per gruppolitikoj, plenumi rajtigon, ktp.
Active Directory estas integrita kun DNS kaj funkcias aldone al TCP/IP. Por serĉi gastigantojn ene de la reto, la protokolon Web Proxy Auto-Discovery (WAPD) kaj la funkcion
Ekzemple, se firmao funkciigas internan reton nomitan internalnetwork.example.com
, kaj la dungito volas aliri komunan stiradon nomitan drive1
, ne necesas eniri drive1.internalnetwork.example.com
en Esplorilo, simple tajpu \drive1 - kaj la Vindoza DNS-kliento kompletigos la nomon mem.
En pli fruaj versioj de Active Directory—ekzemple, Windows 2000 Server—la defaŭlto por la duanivela kompania domajno estis corp
. Kaj multaj kompanioj konservis la defaŭltan por sia interna domajno. Eĉ pli malbone, multaj komencis konstrui vastajn retojn aldone al ĉi tiu misa aranĝo.
En la tempoj de labortablaj komputiloj, ĉi tio ne estis tre sekureca problemo ĉar neniu prenis ĉi tiujn komputilojn ekster la kompania reto. Sed kio okazas kiam dungito laboras en kompanio kun reto vojo corp
en Active Directory prenas kompanian tekkomputilon kaj iras al la loka Starbucks? Tiam ekvalidas la protokolo WPAD (Web Proxy Auto-Discovery) kaj la funkcio de transdono de nomo DNS.
Estas alta probablo, ke iuj servoj sur la tekkomputilo daŭre frapos la internan domajnon corp
, sed ne trovos ĝin, kaj anstataŭe petoj estos solvitaj al la domajno corp.com de la malfermita Interreto.
En praktiko, tio signifas, ke la posedanto de corp.com povas pasive kapti privatajn petojn de centoj da miloj da komputiloj, kiuj hazarde forlasas la kompanian medion uzante la nomon. corp
por via domajno en Active Directory.
Elfluo de WPAD-petoj en usona trafiko. De studo de la Universitato de Miĉigano en 2016,
Kial la domajno ankoraŭ ne estas vendita?
En 2014, ekspertoj de ICANN publikigis
Mike volis vendi corp.com pasintjare, sed esploristo Jeff Schmidt konvinkis lin prokrasti la vendon surbaze de la menciita raporto. La studo ankaŭ trovis, ke 375 komputiloj provas kontakti corp.com ĉiutage sen la scio de siaj posedantoj. La petoj enhavis provojn ensaluti en kompaniaj intraretoj, aliri retojn aŭ dosierpartojn.
Kiel parto de sia propra eksperimento, Schmidt, kune kun JAS Global, imitis en corp.com la manieron kiel Windows LAN prilaboras dosierojn kaj petojn. Farante tion, ili, fakte, malfermis portalon al la infero por iu ajn specialisto pri informa sekureco:
Estis terure. Ni ĉesigis la eksperimenton post 15 minutoj kaj detruis [ĉiujn akiritajn] datumojn. Bonkonata testisto, kiu konsilis JAS pri ĉi tiu afero, rimarkis, ke la eksperimento estis kiel "pluvo de konfidencaj informoj" kaj ke li neniam vidis ion similan.
[Ni starigis poŝtan ricevon ĉe corp.com] kaj post ĉirkaŭ unu horo ni ricevis pli ol 12 milionojn da retpoŝtoj, post kio ni ĉesigis la eksperimenton. Kvankam la granda plimulto de la retpoŝtoj estis aŭtomatigitaj, ni trovis, ke iuj estis [sekurecaj] sentemaj kaj tial ni detruis la tutan datuman aron sen plia analizo.
Schmidt opinias, ke administrantoj tra la mondo senkonscie preparas la plej danĝeran botneton en la historio dum jardekoj. Centoj da miloj da plenrajtaj laborantaj komputiloj tra la mondo pretas ne nur fariĝi parto de botnet, sed ankaŭ provizi konfidencajn datumojn pri siaj posedantoj kaj kompanioj. Ĉio, kion vi devas fari por utiligi ĝin, estas kontroli corp.com. En ĉi tiu kazo, ĉiu maŝino, kiu iam estas konektita al la kompania reto, kies Aktiva Dosierujo estis agordita per //corp, fariĝas parto de la botneto.
Microsoft rezignis pri la problemo antaŭ 25 jaroj
Se vi pensas, ke MS iel ne konsciis pri la daŭra bakanalo ĉirkaŭ corp.com, tiam vi grave eraras.
Kiam Mike vere laciĝis pri tio, corp.com komencis redirekti uzantojn al la retejo de seksbutiko. En respondo, li ricevis milojn da koleraj leteroj de uzantoj, kiujn li redirektis per kopio al Bill Gates.
Cetere, Mike mem, pro scivolemo, instalis poŝtservilon kaj ricevis konfidencajn leterojn ĉe corp.com. Li provis solvi ĉi tiujn problemojn mem kontaktante kompaniojn, sed ili simple ne sciis kiel korekti la situacion:
Tuj, mi komencis ricevi konfidencajn retpoŝtojn, inkluzive de antaŭaj versioj de kompaniaj financaj raportoj al la Usona Sekureco kaj Interŝanĝa Komisiono, raportoj pri homaj rimedoj kaj aliaj timigaj aferoj. Mi provis korespondi kun korporacioj dum kelka tempo, sed la plimulto el ili ne sciis kion fari kun ĝi. Do mi finfine nur malŝaltis ĝin [la poŝtservilo].
MS ne faris ajnan aktivan agon, kaj la kompanio rifuzas komenti la situacion. Jes, Microsoft publikigis plurajn ĝisdatigojn de Active Directory dum la jaroj, kiuj parte traktas la problemon pri kolizio de domajna nomo, sed ili ja havas kelkajn problemojn. La firmao ankaŭ produktis rekomendoj pri starigo de internaj domajnaj nomoj, rekomendoj pri posedado de duanivela domajno por eviti konfliktojn, kaj aliajn lernilojn, kiuj kutime ne estas legitaj.
Sed la plej grava afero kuŝas en la ĝisdatigoj. Unue: por apliki ilin, vi devas tute demeti la intrareton de la kompanio. Due: post tiaj ĝisdatigoj, iuj aplikaĵoj povas komenci funkcii pli malrapide, malĝuste aŭ tute ĉesos funkcii. Estas klare, ke plej multaj kompanioj kun konstruita kompania reto ne prenos tiajn riskojn baldaŭ. Krome, multaj el ili eĉ ne rimarkas la plenan skalon de la minaco, kiu estas plena de la alidirekto de ĉio al corp.com kiam la maŝino estas prenita ekster la interna reto.
Maksimuma ironio estas atingita kiam vi rigardas
Kaj kio okazos poste?
Ŝajnus, ke la solvo de ĉi tiu situacio kuŝas sur la surfaco kaj estis priskribita komence de la artikolo: lasu Microsoft aĉeti la domajnon de Mike de li kaj forpermesu lin ie en fora ŝranko por ĉiam.
Sed ĝi ne estas tiel simpla. Microsoft ofertis al O'Connor aĉeti sian toksan domajnon por kompanioj ĉirkaŭ la mondo antaŭ pluraj jaroj. Tio estas nur La giganto proponis nur $ 20 mil por fermi tian truon en siaj propraj retoj.
Nun la domajno estas ofertita por $1,7 milionoj Kaj eĉ se Microsoft decidas aĉeti ĝin en la lasta momento, ĉu ili havos tempon?
Nur registritaj uzantoj povas partopreni la enketon.
Kion vi farus se vi estus O'Connor?
-
59,6%Lasu Microsoft aĉeti la domajnon por $1,7 milionoj, aŭ lasu iun alian aĉeti ĝin.501
-
3,4%Mi vendus ĝin por 20 mil dolaroj; mi ne volas iri en la historion kiel la persono, kiu likis tian domajnon al iu nekonata.29
-
3,3%Mi mem enterigus in eterne, se Microsoft ne povas fari la ustan decidon.28
-
21,2%Mi specife vendus la domajnon al hackers kondiĉe ke ili detruu la reputacion de Microsoft en la kompania medio. Ili scias pri la problemo ekde 1997!178
-
12,4%Mi mem starigus botneton + poŝtservilon kaj komencus decidi la sorton de la mondo.104
Voĉdonis 840 uzantoj. 131 uzanto sindetenis.
fonto: www.habr.com