Skema fan gegevenslekkage fia Web Proxy Auto-Discovery (WPAD) fanwege nammebotsing (yn dit gefal in botsing fan in ynterne domein mei de namme fan ien fan 'e nije gTLD's, mar de essinsje is itselde). Boarne: , 2016
Mike O'Connor, ien fan 'e âldste ynvestearders yn domeinnammen, de meast gefaarlike en kontroversjele lot yn syn kolleksje: domein corp.com foar $ 1,7 miljoen Yn 1994 kocht O'Connor in protte ienfâldige domeinnammen, lykas grill.com, place.com, pub.com en oaren. Under harren wie corp.com, dy't Mike 26 jier hold. De ynvestearder wie al 70 jier âld en besleat om syn âlde ynvestearrings te monetearjen.
It probleem is dat corp.com potinsjeel gefaarlik is foar op syn minst 375 bedriuwskompjûters troch de achtleaze konfiguraasje fan Active Directory tidens de bou fan bedriuwsintranets yn 'e iere 000's basearre op Windows Server 2000, doe't de ynterne root gewoan oantsjutte as "corp" .” Oant it begjin fan 'e 2010's wie dit gjin probleem, mar mei de opkomst fan laptops yn bedriuwsomjouwings begûnen hieltyd mear meiwurkers har wurkkompjûters bûten it bedriuwsnetwurk te ferpleatsen. Funksjes fan 'e Active Directory-ymplemintaasje liede ta it feit dat sels sûnder in direkte brûkersfersyk oan //corp, in oantal applikaasjes (bygelyks post) op har eigen fertroude adres klopje. Mar yn it gefal fan in eksterne ferbining mei it netwurk yn in konvinsjonele kafee om 'e hoeke, liedt dit ta in stream fan gegevens en fersiken corp.com.
No hopet O'Connor wirklik dat Microsoft sels it domein sil keapje en, yn 'e bêste tradysjes fan Google, it earne tsjuster en ûnberikber foar bûtensteanders rotearje, sil it probleem mei sa'n fûnemintele kwetsberens fan Windows-netwurken wurde oplost.
Active Directory en namme botsing
Bedriuwsnetwurken mei Windows brûke de Active Directory-maptsjinst. It lit behearders groepbelied brûke om unifoarme konfiguraasje fan 'e wurkomjouwing fan' e brûker te garandearjen, software op meardere kompjûters ynsette fia groepbelied, autorisaasje útfiere, ensfh.
Active Directory is yntegrearre mei DNS en rint boppe op TCP / IP. Om te sykjen nei hosts binnen it netwurk, it Web Proxy Auto-Discovery (WAPD) protokol en de funksje (ynboud yn Windows DNS Client). Dizze funksje makket it maklik om oare kompjûters of servers te finen sûnder in folslein kwalifisearre domeinnamme te leverjen.
Bygelyks, as in bedriuw wurket in ynterne netwurk neamd internalnetwork.example.com, en de meiwurker wol tagong ta in dielde stasjon neamd drive1, net nedich om yn te gean drive1.internalnetwork.example.com Typ yn Explorer gewoan \ drive1 - en de Windows DNS-kliïnt sil de namme sels foltôgje.
Yn eardere ferzjes fan Active Directory - bygelyks Windows 2000 Server - wie de standert foar it bedriuwsdomein fan it twadde nivo corp. En in protte bedriuwen hawwe de standert foar har ynterne domein hâlden. Noch slimmer, in protte binne begon grutte netwurken te bouwen boppe op dizze gebrekkige opset.
Yn 'e dagen fan buroblêdkompjûters wie dit net folle fan in feiligensprobleem, om't gjinien dizze kompjûters bûten it bedriuwsnetwurk naam. Mar wat bart der as in meiwurker wurket yn in bedriuw mei in netwurkpaad corp yn Active Directory nimt in bedriuwslaptop en giet nei de lokale Starbucks? Dan komme it Web Proxy Auto-Discovery (WPAD) protokol en de DNS-namme-devolúsjefunksje yn wurking.
D'r is in hege kâns dat guon tsjinsten op 'e laptop sille trochgean te klopjen op it ynterne domein corp, mar sil it net fine, en ynstee sille fersiken wurde oplost nei it corp.com-domein fan it iepen ynternet.
Yn 'e praktyk betsjut dit dat de eigner fan corp.com partikuliere oanfragen passyf kin ûnderskeppe fan hûnderttûzenen kompjûters dy't by ûngelok de bedriuwsomjouwing ferlitte mei de oantsjutting corp foar jo domein yn Active Directory.
Lekke fan WPAD-oanfragen yn Amerikaansk ferkear. Ut in 2016 University of Michigan stúdzje,
Wêrom is it domein noch net ferkocht?
Yn 2014 publisearre ICANN-eksperts namme botsingen yn DNS. De stúdzje waard foar in part finansierd troch it Amerikaanske ministearje fan Homeland Security, om't ynformaasjelekken fan ynterne netwurken net allinich kommersjele bedriuwen bedrige, mar ek regearingsorganisaasjes, wêrûnder de geheime tsjinst, yntelliginsje-ynstânsjes en militêre tûken.
Mike woe ferline jier corp.com ferkeapje, mar ûndersiker Jeff Schmidt oertsjûge him om de ferkeap út te stellen op grûn fan it earderneamde rapport. De stúdzje fûn ek dat 375 kompjûters elke dei besykje kontakt op te nimmen mei corp.com sûnder de kennis fan har eigners. De oanfragen befette besykjen om oan te melden by bedriuwsintraneten, tagongsnetwurken of bestândielen.
As ûnderdiel fan syn eigen eksperimint imitearre Schmidt, tegearre mei JAS Global, op corp.com de manier wêrop Windows LAN bestannen en oanfragen ferwurket. Troch dit te dwaan, iepene se yn feite in portal nei de hel foar elke spesjalist foar ynformaasjefeiligens:
It wie ferskriklik. Wy stoppe it eksperimint nei 15 minuten en ferneatige [alle krigen] gegevens. In bekende tester dy't JAS advisearre oer dit probleem, merkte op dat it eksperimint wie as "in rein fan fertroulike ynformaasje" en dat hy noch noait sa'n ding sjoen hie.
[Wy hawwe e-postûntfangst op corp.com ynsteld] en nei sawat in oere krigen wy mear dan 12 miljoen e-mails, wêrnei't wy it eksperimint stoppe. Hoewol de grutte mearderheid fan 'e e-mails automatisearre wiene, fûnen wy dat guon [feiligens] gefoelich wiene en dêrom ferneatige wy de folsleine dataset sûnder fierdere analyse.
Schmidt is fan betinken dat behearders oer de hiele wrâld ûnbewust it gefaarlikste botnet yn 'e skiednis foar tsientallen jierren hawwe taret. Hûnderttûzenen folweardige wurkjende kompjûters om 'e wrâld binne klear net allinich om diel te wurden fan in botnet, mar ek om fertroulike gegevens oer har eigeners en bedriuwen te leverjen. Alles wat jo hoege te dwaan om derfan te profitearjen is control corp.com. Yn dit gefal wurdt elke masine dy't ienris ferbûn is mei it bedriuwsnetwurk, waans Active Directory konfigureare is fia //corp, diel fan it botnet.
Microsoft joech it probleem 25 jier lyn op
As jo tinke dat MS op ien of oare manier net bewust wie fan 'e oanhâldende bacchanalia om corp.com, dan binne jo serieus ferkeard. Dit is de side wêrop brûkers fan 'e beta-ferzje fan FrontPage '97 telâne kamen, mei corp.com neamd as de standert URL:
Doe't Mike hjir wurch fan waard, begon corp.com brûkers troch te lieden nei de sekswinkelwebside. As antwurd krige hy tûzenen lilke brieven fan brûkers, dy't hy fia kopy trochstjoerde nei Bill Gates.
Trouwens, Mike sels, út nijsgjirrigens, sette in e-posttsjinner op en krige fertroulike brieven op corp.com. Hy besocht dizze problemen sels op te lossen troch kontakt op te nimmen mei bedriuwen, mar se wisten gewoan net hoe't se de situaasje korrigearje:
Fuortendaliks begon ik fertroulike e-mails te ûntfangen, ynklusyf foarriedige ferzjes fan finansjele rapporten fan bedriuwen oan 'e US Securities and Exchange Commission, rapporten oer minsklike boarnen en oare skriklike dingen. Ik besocht in skoft mei korporaasjes te korrespondearjen, mar de measten wisten net wat se dermei oan moasten. Dat ik haw it einliks [de e-posttsjinner] útskeakele.
MS naam gjin aktive aksje, en it bedriuw wegeret in reaksje op 'e situaasje. Ja, Microsoft hat yn 'e rin fan' e jierren ferskate Active Directory-updates frijlitten dy't it probleem mei domeinnamme botsing foar in part oanpakke, mar se hawwe in oantal problemen. It bedriuw produsearre ek oanbefellingen oer it opsetten fan ynterne domeinnammen, oanbefellings oer it besit fan in domein fan twadde nivo om konflikten te foarkommen, en oare tutorials dy't normaal net lêzen wurde.
Mar it wichtichste leit yn 'e updates. Earst: om se oan te passen, moatte jo it intranet fan it bedriuw folslein dellizze. Twad: nei sokke fernijings kinne guon applikaasjes stadiger, ferkeard begjinne te wurkjen of hielendal ophâlde te wurkjen. It is dúdlik dat de measte bedriuwen mei in opboud bedriuwsnetwurk sokke risiko's op koarte termyn net nimme. Derneist realisearje in protte fan har net iens de folsleine skaal fan 'e bedriging dy't beladen is mei de omlieding fan alles nei corp.com as de masine bûten it ynterne netwurk wurdt nommen.
Maksimale irony wurdt berikt as jo besjen . Dus, neffens syn gegevens, guon oanfragen oan corp.com komme fan Microsoft's eigen intranet.
En wat sil dan barre?
It soe lykje dat de oplossing foar dizze situaasje leit oan it oerflak en waard beskreaun oan it begjin fan it artikel: lit Microsoft keapje Mike syn domein fan him en ferbiede him earne yn in ôfstân kast foar altyd.
Mar sa ienfâldich is it net. Microsoft bea O'Connor ferskate jierren lyn oan om syn giftige domein út te keapjen foar bedriuwen oer de hiele wrâld. Dat is gewoan De reus bea mar $ 20 tûzen foar it sluten fan sa'n gat yn syn eigen netwurken.
No wurdt it domein oanbean foar $ 1,7 miljoen. En sels as Microsoft beslút it op it lêste momint te keapjen, sille se dan tiid hawwe?
Allinnich registrearre brûkers kinne meidwaan oan 'e enkête. , asjebleaft.
Wat soene jo dwaan as jo O'Connor wiene?
-
59,6%Lit Microsoft it domein keapje foar $1,7 miljoen, of lit in oar it keapje.501
-
3,4%Ik soe it ferkeapje foar $ 20 tûzen; Ik wol net yn 'e skiednis gean as de persoan dy't sa'n domein oan ien ûnbekende lekte.29
-
3,3%Ik soe it sels foar altyd begrave as Microsoft net it goede beslút nimme kin.28
-
21,2%Ik soe spesifyk it domein ferkeapje oan hackers op betingst dat se de reputaasje fan Microsoft yn 'e bedriuwsomjouwing ferneatigje. Se witte fan it probleem sûnt 1997!178
-
12,4%Ik soe sels in botnet + e-posttsjinner ynstelle en it lot fan 'e wrâld begjinne te besluten.104
840 brûkers stimden. 131 brûker ûnthâlde him.
Boarne: www.habr.com