ProHoster > Domena corp.com je u prodaji. Opasan je za stotine tisuća korporativnih računala sa sustavom Windows

Domena corp.com je u prodaji. Opasan je za stotine tisuća korporativnih računala sa sustavom Windows

Domena corp.com je u prodaji. Opasan je za stotine tisuća korporativnih računala sa sustavom Windows
Shema curenja podataka kroz Web Proxy Auto-Discovery (WPAD) zbog kolizije naziva (u ovom slučaju kolizije interne domene s imenom jednog od novih gTLD-ova, ali suština je ista). Izvor: Studija Sveučilišta u Michiganu, 2016

Mike O'Connor, jedan od najstarijih investitora u imena domena, stavlja na prodaju najopasniji i najkontroverzniji dio u svojoj kolekciji: domena corp.com za 1,7 milijuna dolara. Godine 1994. O'Connor je kupio mnoge jednostavne nazive domena, kao što su grill.com, place.com, pub.com i drugi. Među njima je bio i corp.com koji je Mike držao 26 godina. Investitor je već imao 70 godina i odlučio je unovčiti svoja stara ulaganja.

Problem je u tome što je corp.com potencijalno opasan za najmanje 375 korporativnih računala zbog nepažljive konfiguracije Active Directoryja tijekom izgradnje korporativnih intraneta u ranim 000-ima temeljenim na Windows Serveru 2000, kada je interni korijen jednostavno naveden kao “corp .” Do ranih 2010-ih to nije bio problem, ali s porastom prijenosnih računala u poslovnim okruženjima, sve je više zaposlenika počelo seliti svoja radna računala izvan korporativne mreže. Značajke implementacije Active Directory dovode do činjenice da čak i bez izravnog korisničkog zahtjeva za //corp, brojne aplikacije (na primjer, pošta) same kucaju na poznatu adresu. Ali u slučaju vanjske veze s mrežom u konvencionalnom kafiću iza ugla, to dovodi do protoka podataka i zahtjeva koji se slijevaju na corp.com.

Sada se O'Connor stvarno nada da će sam Microsoft kupiti domenu i, u najboljim tradicijama Googlea, trunuti je negdje u tami i nedostupnosti autsajderima, problem s tako temeljnom ranjivošću Windows mreža bit će riješen.

Active Directory i sukob imena

Korporativne mreže s operativnim sustavom Windows koriste uslugu imenika Active Directory. Administratorima omogućuje korištenje grupnih pravila kako bi osigurali jedinstvenu konfiguraciju korisničkog radnog okruženja, implementaciju softvera na više računala putem grupnih pravila, izvođenje autorizacije itd.

Active Directory je integriran s DNS-om i radi povrh TCP/IP-a. Za traženje hostova unutar mreže, Web Proxy Auto-Discovery (WAPD) protokol i funkcija Devolucija DNS imena (ugrađeno u Windows DNS klijent). Ova značajka olakšava pronalaženje drugih računala ili poslužitelja bez potrebe davanja potpuno kvalificiranog naziva domene.

Na primjer, ako tvrtka upravlja internom mrežom pod nazivom internalnetwork.example.com, a zaposlenik želi pristupiti dijeljenom disku tzv drive1, nema potrebe za unosom drive1.internalnetwork.example.com u Exploreru samo upišite \drive1 - i Windows DNS klijent će sam dovršiti naziv.

U ranijim verzijama Active Directoryja—na primjer, Windows 2000 Server—zadana postavka za korporativnu domenu druge razine bila je corp. I mnoge su tvrtke zadržale zadane postavke za svoju internu domenu. Još gore, mnogi su počeli graditi goleme mreže povrh ove pogrešne postavke.

U dane stolnih računala, to nije bio veliki sigurnosni problem jer nitko nije iznosio ta računala izvan korporativne mreže. Ali što se događa kada zaposlenik radi u tvrtki s mrežnim putem corp u Active Directory uzme poslovno prijenosno računalo i ode u lokalni Starbucks? Tada protokol Web Proxy Auto-Discovery (WPAD) i funkcija prijenosa imena DNS-a stupaju na snagu.

Domena corp.com je u prodaji. Opasan je za stotine tisuća korporativnih računala sa sustavom Windows

Postoji velika vjerojatnost da će neke usluge na prijenosnom računalu nastaviti kucati na internu domenu corp, ali ga neće pronaći, već će se umjesto toga zahtjevi rješavati na domenu corp.com s otvorenog Interneta.

U praksi to znači da vlasnik corp.com može pasivno presresti privatne zahtjeve stotina tisuća računala koja slučajno napuste korporativno okruženje koristeći oznaku corp za svoju domenu u Active Directory.

Domena corp.com je u prodaji. Opasan je za stotine tisuća korporativnih računala sa sustavom Windows
Curenje WPAD zahtjeva u američkom prometu. Iz studije Sveučilišta u Michiganu iz 2016. izvor

Zašto domena još nije prodana?

Stručnjaci ICANN-a su 2014. objavili velika studija sukobi imena u DNS-u. Studiju je djelomično financiralo Ministarstvo domovinske sigurnosti SAD-a jer curenje informacija iz internih mreža prijeti ne samo komercijalnim tvrtkama, već i vladinim organizacijama, uključujući Tajnu službu, obavještajne agencije i vojne grane.

Mike je htio prodati corp.com prošle godine, ali ga je istraživač Jeff Schmidt na temelju spomenutog izvješća uvjerio da odgodi prodaju. Studija je također otkrila da 375 računala pokušava kontaktirati corp.com svaki dan bez znanja svojih vlasnika. Zahtjevi su sadržavali pokušaje prijave na korporativne intranete, pristupne mreže ili dijeljenje datoteka.

Kao dio vlastitog eksperimenta, Schmidt je, zajedno s JAS Globalom, na corp.com imitirao način na koji Windows LAN obrađuje datoteke i zahtjeve. Time su, zapravo, otvorili portal u pakao svakom stručnjaku za informacijsku sigurnost:

Bilo je užasno. Zaustavili smo eksperiment nakon 15 minuta i uništili [sve dobivene] podatke. Poznati tester koji je savjetovao JAS po ovom pitanju primijetio je da je eksperiment bio poput "kiše povjerljivih informacija" i da nikada nije vidio ništa slično.

[Postavili smo prijem pošte na corp.com] i nakon otprilike sat vremena primili smo preko 12 milijuna e-poruka, nakon čega smo zaustavili eksperiment. Iako je velika većina e-poruka bila automatizirana, otkrili smo da su neke [sigurnosno] osjetljive i stoga smo uništili cijeli skup podataka bez daljnje analize.

Schmidt smatra da su administratori diljem svijeta desetljećima nesvjesno pripremali najopasniji botnet u povijesti. Stotine tisuća punopravnih radnih računala širom svijeta spremno je ne samo postati dio botneta, već i pružiti povjerljive podatke o svojim vlasnicima i tvrtkama. Sve što trebate učiniti kako biste ga iskoristili je control corp.com. U ovom slučaju, svaki stroj koji je jednom spojen na korporativnu mrežu, čiji je Active Directory konfiguriran putem //corp, postaje dio botneta.

Microsoft je odustao od problema prije 25 godina

Ako mislite da MS na neki način nije bio svjestan tekuće bakanalije oko corp.com, onda se ozbiljno varate. Mike je osobno trolirao Microsoft i Billa Gatesa još 1997Ovo je stranica na koju su došli korisnici beta verzije FrontPagea '97, s corp.com navedenim kao zadanim URL-om:

Domena corp.com je u prodaji. Opasan je za stotine tisuća korporativnih računala sa sustavom Windows

Kad je Mikeu ovo stvarno dosadilo, corp.com je počeo preusmjeravati korisnike na web mjesto sex shopa. Kao odgovor, dobio je tisuće ljutitih pisama od korisnika, koje je preko kopije preusmjerio Billu Gatesu.

Usput, Mike je sam iz znatiželje postavio mail server i primao povjerljiva pisma na corp.com. Te je probleme pokušao sam riješiti kontaktirajući tvrtke, no one jednostavno nisu znale kako popraviti situaciju:

Odmah sam počeo primati povjerljive e-poruke, uključujući preliminarne verzije korporativnih financijskih izvješća američkoj Komisiji za vrijednosne papire i burzu, izvješća o ljudskim resursima i druge zastrašujuće stvari. Pokušavao sam se neko vrijeme dopisivati ​​s korporacijama, ali većina njih nije znala što bi s tim. Pa sam konačno samo isključio [poslužitelj e-pošte].

MS nije poduzeo nikakve aktivne mjere, a tvrtka odbija komentirati situaciju. Da, Microsoft je tijekom godina izdao nekoliko ažuriranja Active Directoryja koja djelomično rješavaju problem kolizije imena domene, ali imaju niz problema. Tvrtka je također proizvodila preporuke o postavljanju internih naziva domena, preporuke o posjedovanju domene druge razine kako bi se izbjegli sukobi i drugi vodiči koji se obično ne čitaju.

Ali najvažnija stvar leži u ažuriranjima. Prvo: da biste ih primijenili, morate potpuno ugasiti intranet tvrtke. Drugo: nakon takvih ažuriranja neke aplikacije mogu početi raditi sporije, neispravno ili potpuno prestati raditi. Jasno je da većina tvrtki s izgrađenom korporativnom mrežom neće preuzeti takve rizike u kratkom roku. Osim toga, mnogi od njih niti ne shvaćaju puni razmjer prijetnje koja je prepuna preusmjeravanja svega na corp.com kada se stroj iznese izvan interne mreže.

Maksimalna ironija se postiže kada gledate Izvješće o istraživanju kolizije naziva domene Schmidt. Dakle, prema njegovim podacima, neki zahtjevi za corp.com dolaze s Microsoftovog vlastitog intraneta.

Domena corp.com je u prodaji. Opasan je za stotine tisuća korporativnih računala sa sustavom Windows

I što će se dalje dogoditi?

Čini se da rješenje ove situacije leži na površini i opisano je na početku članka: neka Microsoft kupi Mikeovu domenu od njega i zauvijek ga banira negdje u udaljenom ormaru.

Ali nije to tako jednostavno. Microsoft je prije nekoliko godina ponudio O'Connoru da otkupi njegovu toksičnu domenu za tvrtke diljem svijeta. To je jednostavno Div je ponudio samo 20 tisuća dolara za zatvaranje takve rupe u vlastitim mrežama.

Sada se domena nudi za 1,7 milijuna dolara, a čak i ako je Microsoft odluči kupiti u zadnji čas, hoće li imati vremena?

Domena corp.com je u prodaji. Opasan je za stotine tisuća korporativnih računala sa sustavom Windows

U anketi mogu sudjelovati samo registrirani korisnici. Prijaviti se, molim.

Što biste učinili da ste O'Connor?

  • 59,6%Neka Microsoft kupi domenu za 1,7 milijuna dolara ili neka je kupi netko drugi.501

  • 3,4%Prodao bih ga za 20 tisuća dolara; ne želim ući u povijest kao osoba koja je takvu domenu odala nekome nepoznatom.29

  • 3,3%Sam bih to zauvijek pokopao ako Microsoft ne može donijeti pravu odluku.28

  • 21,2%Konkretno bih prodao domenu hakerima pod uvjetom da unište Microsoftov ugled u korporativnom okruženju. Za problem znaju od 1997!178

  • 12,4%Sam bih postavio botnet + mail server i počeo odlučivati ​​o sudbini svijeta.104

Glasovalo je 840 korisnika. 131 korisnik je bio suzdržan.

Izvor: www.habr.com

Dodajte komentar