Andmelekke skeem veebipuhverserveri automaattuvastuse (WPAD) kaudu nimede kokkupõrke tõttu (antud juhul sisemise domeeni kokkupõrge ühe uue gTLD nimega, kuid olemus on sama). Allikas: , 2016
Mike O'Connor, üks vanimaid domeeninimede investoreid, selle kogu kõige ohtlikum ja vastuolulisem partii: domeen corp.com 1,7 miljoni dollari eest 1994. aastal ostis O'Connor palju lihtsaid domeeninimesid, nagu grill.com, place.com, pub.com jt. Nende hulgas oli ka corp.com, mida Mike hoidis 26 aastat. Investor oli juba 70-aastane ja otsustas oma vanad investeeringud rahaks teha.
Kogu probleem on selles, et corp.com on potentsiaalselt ohtlik vähemalt 375 000 ettevõtte arvutile Active Directory hooletu konfigureerimise tõttu ettevõtte sisevõrkude loomisel 2000. aastate alguses, mis põhines ... Windows Server 2000. aastal, kui sisemiseks juureks määrati lihtsalt „corp“. Kuni 2010. aastate alguseni polnud see probleem, kuid sülearvutite levikuga ärimaailmas hakkas üha rohkem töötajaid oma tööarvuteid ettevõtte võrgust välja viima. Active Directory rakendamine tähendab, et isegi ilma otsese kasutajapäringuta aadressile //corp pääsevad mõned rakendused (näiteks e-post) automaatselt juurde tuttavale aadressile. Kuid võrguvälise ühenduse korral, näiteks nurgakohvikus, toob see kaasa andmete ja päringute uputuse. corp.com.
Nüüd loodab O'Connor tõesti, et Microsoft ise ostab domeeni ja Google'i parimate traditsioonide kohaselt mädaneb selle kuskil pimedas ja ligipääsmatus kohas. Sellise põhimõttelise haavatavuse probleem Windows-võrgud lahendatakse.
Active Directory ja nimede kokkupõrge
Ettevõtte võrkudes all Windows Kasutusel on Active Directory kataloogiteenus. See võimaldab administraatoritel kasutada rühmapoliitikaid, et tagada ühtsed kasutajakeskkonna sätted, juurutada tarkvara mitmesse arvutisse rühmapoliitikate kaudu, teostada autoriseerimist ja palju muud.
Active Directory on integreeritud DNS-iga ja töötab selle peal. TCP/IPVõrgus olevate sõlmede otsimiseks kasutatakse veebiproksi automaatse avastamise protokolli (WAPD) ja funktsiooni (sisse ehitatud Windows DNS-klient). See funktsioon lihtsustab teiste arvutite või serverite leidmist ilma täielikult kvalifitseeritud domeeninime määramata.
Näiteks kui ettevõte haldab sisevõrku nimega internalnetwork.example.comja töötaja soovib pääseda juurde jagatud kettale nimega drive1, pole vaja siseneda drive1.internalnetwork.example.com Exploreris tippige lihtsalt \drive1 - ja klient Windows DNS täiendab nime ise.
Active Directory varasemates versioonides – näiteks Windows 2000 Server – määrati vaikimisi ettevõtte domeeni teise taseme jaoks corp. Ja paljud ettevõtted on säilitanud oma sisemise domeeni vaikeväärtuse. Veelgi hullem on see, et paljud on selle vigase seadistuse peale hakanud ehitama suuri võrke.
Lauaarvutite ajal ei olnud see eriti suur turvaprobleem, sest keegi ei viinud neid arvuteid ettevõtte võrgust väljapoole. Mis saab aga siis, kui võrguteega ettevõttes töötav töötaja corp võtab Active Directorys ettevõtte sülearvuti ja läheb kohalikku Starbucksi? Seejärel hakkavad kehtima Web Proxy Auto-Discovery (WPAD) protokoll ja DNS-nimede üleandmise funktsioon.
On suur tõenäosus, et mõned sülearvuti teenused jätkavad sisemise domeeni koputamist corp, kuid ei leia seda ja selle asemel lahendatakse päringud domeenile corp.com avatud Internetist.
Praktikas tähendab see, et saidi corp.com omanik saab passiivselt pealt kuulata sadade tuhandete arvutite privaatpäringuid, mis kogemata ettevõtte keskkonnast lahkuvad, kasutades nimetust. corp teie domeeni jaoks Active Directorys.
WPAD-päringute leke Ameerika liikluses. 2016. aasta Michigani ülikooli uuringust
Miks pole domeen veel müüdud?
2014. aastal avaldasid ICANNi eksperdid nimede kokkupõrked DNS-is. Uuringut rahastas osaliselt USA sisejulgeolekuministeerium, kuna sisevõrkudest lekkiv info ei ohusta mitte ainult äriettevõtteid, vaid ka valitsusorganisatsioone, sealhulgas salateenistust, luureagentuure ja sõjaväeosakondi.
Mike soovis eelmisel aastal corp.com-i maha müüa, kuid uurija Jeff Schmidt veenis teda eelmainitud raporti põhjal müügiga edasi lükkama. Uuringust selgus ka, et 375 000 arvutit üritavad iga päev omanike teadmata ühendust võtta saidiga corp.com. Taotlused sisaldasid katseid sisse logida ettevõtte sisevõrkudesse, juurdepääsuvõrkudesse või failide ühiskasutusse.
Oma eksperimendi osana simuleeris Schmidt koos JAS Globaliga corp.com-is, kuidas kohalik võrk faile ja päringuid haldab. WindowsSeda tehes avasid nad igale infoturbe spetsialistile sisuliselt põrguportaali:
See oli kohutav. Peatasime katse 15 minuti pärast ja hävitasime [kõik saadud] andmed. Tuntud testija, kes selles küsimuses JAS-i nõustas, märkis, et katse oli nagu "konfidentsiaalse teabe vihm" ja et ta polnud kunagi midagi sellist näinud.
[Seadistasime aadressil corp.com kirjade vastuvõtu] ja umbes tunni pärast saime üle 12 miljoni meili, misjärel katkestasime katse. Kuigi valdav enamus meilisõnumeid olid automatiseeritud, leidsime, et mõned olid [turbe]tundlikud ja seetõttu hävitasime kogu andmestiku ilma täiendava analüüsita.
Schmidt usub, et administraatorid üle kogu maailma on aastakümneid ette valmistanud ette teadmata ajaloo kõige ohtlikumat botnetti. Sajad tuhanded täisväärtuslikult töötavad arvutid üle maailma on valmis mitte ainult botneti osaks saama, vaid ka pakkuma konfidentsiaalseid andmeid oma omanike ja ettevõtete kohta. Kõik, mida pead tegema, et seda ära kasutada, on kontroll corp.com. Sel juhul saab botneti osaks iga masin, mis on kord ühendatud ettevõtte võrguga ja mille Active Directory konfigureeriti //corp kaudu.
Microsoft loobus probleemist 25 aastat tagasi
Kui arvate, et MS polnud millegipärast teadlik corp.com-i ümber toimuvast bacchanaliast, siis eksite tõsiselt. See on leht, millele FrontPage'i beetaversiooni '97 kasutajad jõudsid ja mille vaike-URL-ina on märgitud corp.com:
Kui Mike sai sellest väga kõrini, hakkas corp.com kasutajaid sekspoe veebisaidile suunama. Vastuseks sai ta kasutajatelt tuhandeid vihaseid kirju, mille ta koopia kaudu Bill Gatesile suunas.
Muide, Mike ise seadis uudishimust üles meiliserveri ja sai saidil corp.com konfidentsiaalseid kirju. Ta püüdis neid probleeme ise lahendada, võttes ühendust ettevõtetega, kuid nad lihtsalt ei teadnud, kuidas olukorda parandada:
Kohe hakkasin saama konfidentsiaalseid e-kirju, sealhulgas ettevõtte finantsaruannete esialgseid versioone USA väärtpaberi- ja börsikomisjonile, personaliaruandeid ja muid hirmutavaid asju. Üritasin mõnda aega korporatsioonidega kirjavahetust pidada, kuid enamik neist ei teadnud, mida sellega peale hakata. Nii et lõpuks lülitasin selle [postiserveri] välja.
MS ei võtnud aktiivseid meetmeid ja ettevõte keeldub olukorda kommenteerimast. Jah, Microsoft on aastate jooksul välja andnud mitu Active Directory värskendust, mis osaliselt lahendavad domeeninimede kokkupõrke probleemi, kuid neil on mitmeid probleeme. Ettevõte tootis ka soovitused sisemiste domeeninimede seadistamise kohta, soovitused teise taseme domeeni omamise kohta konfliktide vältimiseks ja muud õpetused, mida tavaliselt ei loeta.
Kuid kõige olulisem on värskendused. Esiteks: nende rakendamiseks peate ettevõtte siseveebi täielikult maha panema. Teiseks: pärast selliseid värskendusi võivad mõned rakendused hakata töötama aeglasemalt, valesti või lakata töötamast üldse. On selge, et enamik ettevõtteid, kellel on väljaehitatud korporatiivvõrk, selliseid riske lühiajaliselt ei võta. Lisaks ei mõista paljud neist isegi selle ohu täielikku ulatust, mis on täis kõike ümbersuunamist saidile corp.com, kui masin viiakse sisevõrgust välja.
Maksimaalne iroonia saavutatakse vaatamisel . Nii et tema andmetel mõned päringud saidile corp.com pärinevad Microsofti enda sisevõrgust.
Ja mis saab edasi?
Näib, et selle olukorra lahendus peitub pinnal ja seda kirjeldati artikli alguses: las Microsoft ostab temalt Mike'i domeen ja keelake ta igaveseks kuhugi kaugkappi.
Kuid see pole nii lihtne. Microsoft pakkus O'Connorile mitu aastat tagasi oma mürgise domeeni väljaostmist ettevõtetele üle maailma. See on lihtsalt Hiiglane pakkus enda võrkudes sellise augu sulgemise eest vaid 20 tuhat dollarit.
Nüüd pakutakse domeeni 1,7 miljoni dollari eest Ja isegi kui Microsoft otsustab selle viimasel hetkel osta, kas neil on aega?
Küsitluses saavad osaleda ainult registreerunud kasutajad. palun.
Mida sa teeksid, kui oleksid O'Connor?
59,6%Laske Microsoftil domeen osta 1,7 miljoni dollari eest või ostke see kellelgi teisel.501
3,4%Ma müüksin selle 20 tuhande dollari eest; ma ei taha minna ajalukku inimesena, kes lekitas sellise domeeni kellelegi tundmatule.29
3,3%Ma mataksin selle ise igaveseks maha, kui Microsoft ei suuda teha õiget otsust.28
21,2%Müüksin domeeni konkreetselt häkkeritele tingimusel, et nad hävitavad Microsofti maine ettevõtte keskkonnas. Nad teavad probleemist alates 1997. aastast!178
12,4%Seaksin ise botnet + meiliserveri ja hakkaks maailma saatust otsustama.104
840 kasutajat hääletas. 131 kasutaja jäi erapooletuks.
Allikas: www.habr.com
