طرح نشت داده ها از طریق Web Proxy Auto-Discovery (WPAD) به دلیل برخورد نام (در این مورد، برخورد یک دامنه داخلی با نام یکی از gTLD های جدید، اما ماهیت یکسان است). منبع:
مایک اوکانر، یکی از قدیمی ترین سرمایه گذاران نام دامنه،
مشکل این است که corp.com به دلیل پیکربندی بی دقتی Active Directory در طول ساخت اینترانت های شرکتی در اوایل دهه 375 بر اساس Windows Server 000، به طور بالقوه برای حداقل 2000 رایانه شرکت خطرناک است، زمانی که ریشه داخلی به سادگی به عنوان "corp" مشخص شده بود. " تا اوایل دهه 2010، این موضوع مطرح نبود، اما با ظهور لپتاپها در محیطهای تجاری، کارمندان بیشتری شروع به انتقال رایانههای کاری خود به خارج از شبکه شرکت کردند. ویژگیهای پیادهسازی Active Directory به این واقعیت منجر میشود که حتی بدون درخواست مستقیم کاربر به //corp، تعدادی از برنامهها (مثلاً پست الکترونیکی) به تنهایی به آدرس آشنا ضربه میزنند. اما در مورد اتصال خارجی به شبکه در یک کافه معمولی در اطراف، این منجر به جریانی از داده ها و درخواست ها می شود. corp.com.
اکنون اوکانر واقعا امیدوار است که خود مایکروسافت دامنه را بخرد و به بهترین سنت های گوگل آن را در جایی تاریک و غیرقابل دسترس برای خارجی ها بپاشد، مشکل چنین آسیب پذیری اساسی شبکه های ویندوز حل شود.
برخورد اکتیو دایرکتوری و نام
شبکه های شرکتی که ویندوز را اجرا می کنند از سرویس دایرکتوری Active Directory استفاده می کنند. این به مدیران اجازه میدهد تا از سیاستهای گروهی برای اطمینان از پیکربندی یکنواخت محیط کار کاربر، استقرار نرمافزار بر روی چندین رایانه از طریق خطمشیهای گروهی، اجرای مجوز و غیره استفاده کنند.
Active Directory با DNS ادغام شده و در بالای TCP/IP اجرا می شود. برای جستجوی میزبان ها در شبکه، پروتکل Web Proxy Auto-Discovery (WAPD) و تابع
به عنوان مثال، اگر شرکتی یک شبکه داخلی به نام internalnetwork.example.com
، و کارمند می خواهد به یک درایو مشترک به نام دسترسی پیدا کند drive1
، نیازی به ورود نیست drive1.internalnetwork.example.com
در Explorer، فقط \drive1 را تایپ کنید - و سرویس گیرنده DNS ویندوز خود نام را تکمیل می کند.
در نسخه های قبلی اکتیو دایرکتوری - به عنوان مثال، سرور ویندوز 2000 - پیش فرض برای دامنه سطح دوم شرکتی بود. corp
. و بسیاری از شرکت ها پیش فرض را برای دامنه داخلی خود نگه داشته اند. حتی بدتر از آن، بسیاری از آنها شروع به ساختن شبکه های گسترده ای در بالای این راه اندازی معیوب کرده اند.
در روزگار رایانههای رومیزی، این مسئله چندان امنیتی نبود، زیرا هیچکس این رایانهها را خارج از شبکه شرکتی نگرفت. اما چه اتفاقی می افتد زمانی که یک کارمند در یک شرکت با مسیر شبکه کار می کند corp
در اکتیو دایرکتوری یک لپ تاپ شرکتی می گیرد و به استارباکس محلی می رود؟ سپس پروتکل Web Proxy Auto-Discovery (WPAD) و تابع انتقال نام DNS وارد عمل می شوند.
احتمال زیادی وجود دارد که برخی از خدمات روی لپ تاپ همچنان به دامنه داخلی ضربه بزنند corp
، اما آن را پیدا نمی کند و در عوض درخواست ها از اینترنت باز به دامنه corp.com حل می شوند.
در عمل، این بدان معنی است که مالک corp.com می تواند به طور غیر فعال درخواست های خصوصی صدها هزار رایانه را که به طور تصادفی از محیط شرکت خارج می شوند با استفاده از نام گذاری رهگیری کند. corp
برای دامنه شما در اکتیو دایرکتوری.
نشت درخواست های WPAD در ترافیک آمریکا. از یک مطالعه دانشگاه میشیگان در سال 2016،
چرا دامنه هنوز فروخته نشده است؟
در سال 2014، کارشناسان ICANN منتشر کردند
مایک سال گذشته میخواست corp.com را بفروشد، اما محقق جف اشمیت او را متقاعد کرد که فروش را بر اساس گزارش فوقالذکر به تاخیر بیندازد. این مطالعه همچنین نشان داد که 375 رایانه هر روز بدون اطلاع صاحبان خود سعی می کنند با corp.com تماس بگیرند. این درخواستها شامل تلاشهایی برای ورود به شبکههای داخلی شرکت، دسترسی به شبکهها یا اشتراکگذاری فایلها بود.
به عنوان بخشی از آزمایش خود، اشمیت، همراه با JAS Global، در corp.com از روشی که Windows LAN فایلها و درخواستها را پردازش میکند، تقلید کرد. با انجام این کار، آنها در واقع یک پورتال به جهنم را برای هر متخصص امنیت اطلاعات باز کردند:
وحشتناک بود. ما آزمایش را پس از 15 دقیقه متوقف کردیم و [تمام اطلاعات به دست آمده] را از بین بردیم. یک آزمایشکننده معروف که به JAS در این مورد مشاوره داد، خاطرنشان کرد که این آزمایش مانند "باران اطلاعات محرمانه" بود و او هرگز چیزی شبیه به آن ندیده بود.
[ما دریافت نامه را در corp.com راه اندازی کردیم] و پس از حدود یک ساعت بیش از 12 میلیون ایمیل دریافت کردیم، پس از آن آزمایش را متوقف کردیم. اگرچه اکثریت قریب به اتفاق ایمیلها خودکار بودند، اما متوجه شدیم که برخی از آنها [امنیتی] حساس هستند و بنابراین کل مجموعه دادهها را بدون تجزیه و تحلیل بیشتر از بین بردیم.
اشمیت معتقد است که مدیران در سراسر جهان برای چندین دهه ناخودآگاه خطرناک ترین بات نت تاریخ را آماده می کنند. صدها هزار کامپیوتر کار کامل در سراسر جهان نه تنها برای تبدیل شدن به بخشی از یک بات نت، بلکه برای ارائه اطلاعات محرمانه در مورد صاحبان و شرکت های خود آماده هستند. تنها کاری که برای استفاده از آن باید انجام دهید کنترل corp.com است. در این حالت، هر ماشینی که یک بار به شبکه شرکتی متصل می شود و Active Directory آن از طریق //corp پیکربندی شده است، بخشی از بات نت می شود.
مایکروسافت ۲۵ سال پیش این مشکل را کنار گذاشت
اگر فکر می کنید که ام اس به نحوی از bacchanalia جاری در اطراف corp.com بی اطلاع بود، سخت در اشتباه هستید.
وقتی مایک واقعا از این موضوع خسته شد، corp.com شروع به هدایت کاربران به وب سایت فروشگاه جنسی کرد. در پاسخ، او هزاران نامه عصبانی از کاربران دریافت کرد که از طریق کپی به بیل گیتس هدایت شد.
به هر حال، خود مایک، از روی کنجکاوی، یک سرور ایمیل راه اندازی کرد و نامه های محرمانه ای را در سایت corp.com دریافت کرد. او سعی کرد این مشکلات را خودش با تماس با شرکت ها حل کند، اما آنها به سادگی نمی دانستند چگونه وضعیت را اصلاح کنند:
بلافاصله شروع به دریافت ایمیل های محرمانه از جمله نسخه های اولیه گزارش های مالی شرکت ها به کمیسیون بورس و اوراق بهادار ایالات متحده، گزارش های منابع انسانی و سایر موارد ترسناک کردم. مدتی سعی کردم با شرکت ها مکاتبه کنم، اما اکثر آنها نمی دانستند با آن چه کنند. بنابراین من در نهایت فقط آن را خاموش کردم [ایمیل سرور].
MS هیچ اقدام فعالی انجام نداده است و این شرکت از اظهار نظر در مورد وضعیت خودداری می کند. بله، مایکروسافت چندین بهروزرسانی اکتیو دایرکتوری را در طول سالها منتشر کرده است که تا حدی مشکل برخورد نام دامنه را برطرف میکند، اما آنها تعدادی مشکلات دارند. این شرکت نیز تولید کرد توصیه در مورد تنظیم نام دامنه های داخلی، توصیه هایی در مورد داشتن یک دامنه سطح دوم برای جلوگیری از تداخل، و سایر آموزش هایی که معمولا خوانده نمی شوند.
اما مهمترین چیز در به روز رسانی نهفته است. اول: برای اعمال آنها، باید اینترانت شرکت را به طور کامل خاموش کنید. دوم: پس از چنین بهروزرسانیهایی، برخی از برنامهها ممکن است کندتر، نادرست شروع به کار کنند یا به طور کلی از کار بیفتند. واضح است که اکثر شرکتهایی که دارای شبکههای بزرگ شرکتی هستند در کوتاهمدت چنین ریسکهایی را متحمل نخواهند شد. علاوه بر این، بسیاری از آنها حتی مقیاس کامل تهدید را که مملو از هدایت مجدد همه چیز به corp.com است، وقتی دستگاه به خارج از شبکه داخلی منتقل می شود، متوجه نمی شوند.
هنگام مشاهده حداکثر کنایه به دست می آید
و در ادامه چه اتفاقی خواهد افتاد؟
به نظر می رسد که راه حل این وضعیت در ظاهر نهفته است و در ابتدای مقاله توضیح داده شد: اجازه دهید مایکروسافت دامنه مایک را از او بخرد و او را در جایی در یک کمد راه دور برای همیشه ممنوع کند.
اما به این سادگی نیست. مایکروسافت چندین سال پیش به اوکانر پیشنهاد داد تا دامنه سمی خود را برای شرکتهای سراسر جهان خریداری کند. فقط همین است این غول تنها 20 هزار دلار برای بستن چنین حفره ای در شبکه های خود پیشنهاد داد.
اکنون دامنه با قیمت 1,7 میلیون دلار عرضه می شود و حتی اگر مایکروسافت در آخرین لحظه تصمیم به خرید آن داشته باشد، آیا زمان خواهند داشت؟
فقط کاربران ثبت نام شده می توانند در نظرسنجی شرکت کنند.
اگر جای اوکانر بودید چه می کردید؟
-
٪۱۰۰اجازه دهید مایکروسافت دامنه را به قیمت 1,7 میلیون دلار بخرد یا اجازه دهید شخص دیگری آن را بخرد.501
-
٪۱۰۰من آن را به قیمت 20 هزار دلار میفروشم؛ نمیخواهم به عنوان فردی که چنین دامنهای را به یک فرد ناشناس افشا کرده است، در تاریخ ثبت شوم.
-
٪۱۰۰اگر مایکروسافت نتواند تصمیم درستی بگیرد، خودم آن را برای همیشه دفن خواهم کرد
-
٪۱۰۰من به طور خاص دامنه را به هکرها می فروشم به شرطی که شهرت مایکروسافت را در محیط شرکت از بین ببرند. آنها از سال 1997 متوجه این مشکل شده اند!178
-
٪۱۰۰من خودم یک بات نت + سرور ایمیل راه اندازی می کردم و شروع به تصمیم گیری درباره سرنوشت دنیا می کردم.104
840 کاربر رای دادند. 131 کاربر ممتنع.
منبع: www.habr.com