Kaavio tietovuodosta Web Proxy Auto-Discoveryn (WPAD) kautta nimien törmäyksen vuoksi (tässä tapauksessa sisäisen toimialueen törmäys jonkin uuden gTLD:n nimeen, mutta olemus on sama). Lähde: , 2016
Mike O'Connor, yksi vanhimmista verkkotunnussijoittajista, sen kokoelman vaarallisin ja kiistanalaisin erä: domain corp.com 1,7 miljoonalla dollarilla. Vuonna 1994 O'Connor osti monia yksinkertaisia verkkotunnuksia, kuten grill.com, place.com, pub.com ja muita. Heidän joukossaan oli corp.com, jota Mike säilytti 26 vuotta. Sijoittaja oli jo 70-vuotias ja päätti rahallistaa vanhat sijoituksensa.
Ongelmana on, että corp.com on potentiaalisesti vaarallinen vähintään 375 000 yritystietokoneelle johtuen Active Directoryn huolimattomasta konfiguroinnista 2000-luvun alussa Windows Server 2010:een perustuvien yritysten intranettien rakentamisen aikana, jolloin sisäinen juuri määriteltiin vain nimellä "corp. .” XNUMX-luvun alkuun asti tämä ei ollut ongelma, mutta kannettavien tietokoneiden lisääntyessä yritysympäristöissä yhä useammat työntekijät alkoivat siirtää työtietokoneitaan yritysverkon ulkopuolelle. Active Directory -toteutuksen ominaisuudet johtavat siihen, että jopa ilman suoraa käyttäjän pyyntöä //corp:lle, useat sovellukset (esimerkiksi sähköposti) koputtavat tuttua osoitetta itsestään. Mutta jos kyseessä on ulkoinen yhteys verkkoon perinteisessä nurkan takana olevassa kahvilassa, tämä johtaa tietovirtaan ja pyyntöjen vuotamiseen corp.com.
Nyt O'Connor todella toivoo, että Microsoft itse ostaa verkkotunnuksen ja Googlen parhaiden perinteiden mukaan mätänee sen jonnekin pimeään ja ulkopuolisten ulottumattomiin, niin Windows-verkkojen perustavanlaatuisen haavoittuvuuden ongelma ratkeaa.
Active Directory ja nimen törmäys
Windowsia käyttävät yritysverkot käyttävät Active Directory -hakemistopalvelua. Sen avulla järjestelmänvalvojat voivat käyttää ryhmäkäytäntöjä varmistaakseen käyttäjän työympäristön yhtenäisen konfiguroinnin, ottaa ohjelmiston käyttöön useissa tietokoneissa ryhmäkäytäntöjen avulla, suorittaa valtuutuksen jne.
Active Directory on integroitu DNS:ään ja toimii TCP/IP:n päällä. Jos haluat etsiä isäntiä verkossa, Web Proxy Auto-Discovery (WAPD) -protokolla ja toiminto (sisäänrakennettu Windows DNS Client -sovellukseen). Tämän ominaisuuden avulla on helppo löytää muita tietokoneita tai palvelimia ilman, että sinun tarvitsee antaa täydellistä verkkotunnuksen nimeä.
Esimerkiksi, jos yritys käyttää sisäistä verkkoa nimeltä internalnetwork.example.com, ja työntekijä haluaa käyttää jaettua asemaa nimeltä drive1, ei tarvitse tulla sisään drive1.internalnetwork.example.com kirjoita Resurssienhallinnassa \drive1 - ja Windowsin DNS-asiakasohjelma täydentää nimen.
Active Directoryn aiemmissa versioissa – esimerkiksi Windows 2000 Serverissä – toisen tason yritystoimialueen oletusarvo oli corp. Ja monet yritykset ovat säilyttäneet sisäisen verkkotunnuksensa oletusarvon. Vielä pahempaa on, että monet ovat alkaneet rakentaa laajoja verkkoja tämän virheellisen asennuksen päälle.
Pöytätietokoneiden aikoina tämä ei ollut suuri tietoturvaongelma, koska kukaan ei vienyt näitä tietokoneita yrityksen verkon ulkopuolelle. Mutta mitä tapahtuu, kun työntekijä työskentelee yrityksessä, jolla on verkkopolku corp Active Directoryssa ottaa yrityksen kannettavan tietokoneen ja menee paikalliseen Starbucksiin? Sitten Web Proxy Auto-Discovery (WPAD) -protokolla ja DNS-nimen hajautustoiminto tulevat voimaan.
On suuri todennäköisyys, että jotkin kannettavan tietokoneen palvelut lyövät edelleen sisäistä verkkotunnusta corp, mutta ei löydä sitä, ja sen sijaan pyynnöt ratkaistaan corp.com-verkkotunnukseen avoimesta Internetistä.
Käytännössä tämä tarkoittaa sitä, että corp.comin omistaja voi passiivisesti siepata yksityisiä pyyntöjä sadoilta tuhansilta tietokoneilta, jotka vahingossa poistuvat yritysympäristöstä käyttämällä nimeä corp verkkotunnuksellesi Active Directoryssa.
WPAD-pyyntöjen vuoto Yhdysvaltain liikenteessä. Michiganin yliopiston vuoden 2016 tutkimuksesta,
Miksi verkkotunnusta ei ole vielä myyty?
Vuonna 2014 ICANNin asiantuntijat julkaisivat nimien törmäykset DNS:ssä. Tutkimuksen rahoitti osittain Yhdysvaltain sisäisen turvallisuuden ministeriö, koska tietovuodot sisäisistä verkoista uhkaavat paitsi kaupallisia yrityksiä, myös valtion organisaatioita, mukaan lukien salainen palvelu, tiedustelupalvelut ja sotilasosastot.
Mike halusi myydä corp.comin viime vuonna, mutta tutkija Jeff Schmidt vakuutti hänet lykkäämään myyntiä edellä mainitun raportin perusteella. Tutkimuksessa havaittiin myös, että 375 000 tietokonetta yrittää päivittäin ottaa yhteyttä corp.com-sivustoon omistajansa tietämättä. Pyynnöt sisälsivät yrityksiä kirjautua sisään yrityksen intraneteihin, pääsyverkkoihin tai tiedostojen jakoon.
Osana omaa kokeiluaan Schmidt simuloi yhdessä JAS Globalin kanssa corp.com-sivustolla tapaa, jolla Windows-paikallinen verkko käsittelee tiedostoja ja pyyntöjä. Tekemällä tämän he itse asiassa avasivat portaalin helvettiin kenelle tahansa tietoturva-asiantuntijalle:
Se oli kauheaa. Lopetimme kokeen 15 minuutin kuluttua ja tuhosimme [kaikki saadut] tiedot. Tunnettu testaaja, joka neuvoi JAS:ää tässä asiassa, huomautti, että kokeilu oli kuin "luottamuksellisen tiedon sade" ja ettei hän ollut koskaan nähnyt mitään vastaavaa.
[Otimme käyttöön postin vastaanoton osoitteessa corp.com] ja noin tunnin kuluttua saimme yli 12 miljoonaa sähköpostia, minkä jälkeen lopetimme kokeilun. Vaikka suurin osa sähköposteista oli automatisoituja, havaitsimme, että jotkut olivat [tietoturva] arkaluonteisia, ja siksi tuhosimme koko tietojoukon ilman lisäanalyysiä.
Schmidt uskoo, että ylläpitäjät ympäri maailmaa ovat tietämättään valmistaneet historian vaarallisinta botnet-verkkoa vuosikymmeniä. Sadat tuhannet täysin toimivat tietokoneet ympäri maailmaa ovat valmiita paitsi liittymään botnet-verkkoon, myös tarjoamaan luottamuksellisia tietoja omistajistaan ja yrityksistään. Kaikki mitä sinun tarvitsee tehdä hyödyntääksesi sitä, on control corp.com. Tässä tapauksessa kaikista yritysverkkoon yhdistetyistä koneista, joiden Active Directory määritettiin //corp:n kautta, tulee osa bottiverkkoa.
Microsoft luopui ongelmasta 25 vuotta sitten
Jos luulet, että MS ei ollut jotenkin tietoinen corp.com-sivuston ympärillä olevasta bacchanaliasta, olet vakavasti erehtynyt. Tämä on sivu, jolle FrontPage '97:n beta-version käyttäjät päätyivät ja jonka oletus-URL-osoitteena on corp.com:
Kun Mike todella kyllästyi tähän, corp.com alkoi ohjata käyttäjiä seksikaupan verkkosivustolle. Vastauksena hän sai käyttäjiltä tuhansia vihaisia kirjeitä, jotka hän ohjasi kopion kautta Bill Gatesille.
Muuten, Mike itse uteliaisuudesta perusti sähköpostipalvelimen ja sai luottamuksellisia kirjeitä osoitteessa corp.com. Hän yritti ratkaista nämä ongelmat itse ottamalla yhteyttä yrityksiin, mutta he eivät yksinkertaisesti tienneet kuinka korjata tilanne:
Aloin välittömästi vastaanottaa luottamuksellisia sähköposteja, mukaan lukien alustavia versioita yritysten talousraporteista US Securities and Exchange Commissionille, henkilöstöraportteja ja muita pelottavia asioita. Yritin jonkin aikaa kirjeenvaihtoa yritysten kanssa, mutta suurin osa heistä ei tiennyt mitä tehdä sen kanssa. Joten lopulta vain sammutin sen [postipalvelimen].
MS ei ryhtynyt aktiivisiin toimiin, eikä yritys suostu kommentoimaan tilannetta. Kyllä, Microsoft on julkaissut vuosien varrella useita Active Directory -päivityksiä, jotka korjaavat osittain toimialueen nimien törmäysongelman, mutta niissä on useita ongelmia. Yritys myös tuotti suosituksia sisäisten verkkotunnusten määrittämisestä, suosituksia toisen tason verkkotunnuksen omistamisesta ristiriitojen välttämiseksi ja muita opetusohjelmia, joita ei yleensä lueta.
Mutta tärkeintä ovat päivitykset. Ensinnäkin: niiden soveltamiseksi sinun on suljettava yrityksen intranet kokonaan. Toiseksi: tällaisten päivitysten jälkeen jotkin sovellukset voivat alkaa toimia hitaammin, väärin tai lakata toimimasta kokonaan. On selvää, että useimmat yritykset, joilla on rakennettu yritysverkosto, eivät ota tällaisia riskejä lyhyellä aikavälillä. Lisäksi monet heistä eivät edes ymmärrä uhkaa, joka liittyy kaiken uudelleenohjaukseen corp.comiin, kun kone viedään sisäisen verkon ulkopuolelle.
Maksimaalinen ironia saavutetaan katsoessasi . Joten hänen tietojensa mukaan jotkut pyynnöt corp.comiin tulevat Microsoftin omasta intranetistä.
Ja mitä tapahtuu seuraavaksi?
Vaikuttaa siltä, että ratkaisu tähän tilanteeseen on pinnalla, ja se kuvattiin artikkelin alussa: Anna Microsoftin ostaa Miken verkkotunnus häneltä ja kieltää hänet jonnekin etäkaappiin ikuisesti.
Mutta se ei ole niin yksinkertaista. Microsoft tarjosi O'Connorille useita vuosia sitten ostamaan myrkyllisen verkkotunnuksensa yrityksille ympäri maailmaa. Se on vain Jättiläinen tarjosi vain 20 tuhatta dollaria tällaisen aukon sulkemisesta omissa verkoissaan.
Nyt verkkotunnusta tarjotaan 1,7 miljoonalla dollarilla. Ja vaikka Microsoft päättäisi ostaa sen viime hetkellä, onko heillä aikaa?
Vain rekisteröityneet käyttäjät voivat osallistua kyselyyn. , ole kiltti.
Mitä tekisit jos olisit O'Connor?
-
59,6%Anna Microsoftin ostaa verkkotunnus 1,7 miljoonalla dollarilla tai anna jonkun muun ostaa se.501
-
3,4%Myisin sen 20 tuhannella dollarilla; en halua jäädä historiaan henkilönä, joka vuoti tällaisen verkkotunnuksen jollekin tuntemattomalle.29
-
3,3%Hautaisin sen itseni ikuisesti, jos Microsoft ei pysty tekemään oikeaa päätöstä.28
-
21,2%Myyisin verkkotunnuksen nimenomaan hakkereille sillä ehdolla, että he tuhoavat Microsoftin maineen yritysympäristössä. He ovat tienneet ongelmasta vuodesta 1997!178
-
12,4%Perustaisin itse botnet + postipalvelimen ja alkaisin päättää maailman kohtalosta.104
840 käyttäjää äänesti. 131 käyttäjä pidättyi äänestämästä.
Lähde: will.com