Web Proxy Auto-Discovery (WPAD) adatszivárgás sémája névütközés miatt (ebben az esetben egy belső tartomány ütközése az egyik új gTLD nevével, de a lényeg ugyanaz). Forrás: , 2016
Mike O'Connor, az egyik legrégebbi domain név befektető, gyűjteményének legveszélyesebb és legvitatottabb tétele: domain corp.com 1,7 millió dollárért 1994-ben O'Connor sok egyszerű domain nevet vásárolt, mint például a grill.com, place.com, pub.com és mások. Köztük volt a corp.com is, amelyet Mike 26 évig tartott meg. A befektető már 70 éves volt, és úgy döntött, hogy pénzzé teszi régi befektetéseit.
A probléma az, hogy a corp.com legalább 375 000 vállalati számítógépre potenciálisan veszélyes az Active Directory gondatlan konfigurálása miatt a vállalati intranetek 2000-es évek elején a Windows Server 2010 alapú építése során, amikor a belső gyökér egyszerűen „corp. .” A XNUMX-es évek elejéig ez nem volt probléma, de a laptopok üzleti környezetekben való térnyerésével egyre több alkalmazott kezdte el a munkahelyi számítógépét a vállalati hálózaton kívülre helyezni. Az Active Directory megvalósításának sajátosságai azt a tényt eredményezik, hogy a //corp felé irányuló közvetlen felhasználói kérés nélkül is számos alkalmazás (például levelezés) önmagában kopogtat egy ismerős címen. De ha egy hagyományos kávézóban csatlakozik a hálózathoz, ez adatfolyamhoz és kérésekhez vezet. corp.com.
Most O'Connor nagyon reméli, hogy a Microsoft maga vásárolja meg a domaint, és a Google legjobb hagyományai szerint sötét helyen, kívülállók számára elérhetetlen helyen rothadja, megoldódik a Windows-hálózatok ilyen alapvető sérülékenységével kapcsolatos probléma.
Active Directory és név ütközés
A Windows rendszert futtató vállalati hálózatok az Active Directory címtárszolgáltatást használják. Lehetővé teszi az adminisztrátorok számára, hogy csoportházirendeket alkalmazzanak a felhasználó munkakörnyezetének egységes konfigurálásához, több számítógépre telepítsenek szoftvereket csoportházirendeken keresztül, hitelesítést hajtsanak végre stb.
Az Active Directory integrálva van a DNS-sel, és a TCP/IP-n felül fut. A hálózaton belüli gazdagépek kereséséhez a Web Proxy Auto-Discovery (WAPD) protokoll és a funkció (a Windows DNS-kliensbe beépítve). Ez a funkció megkönnyíti más számítógépek vagy kiszolgálók megtalálását anélkül, hogy teljesen minősített tartománynevet kellene megadnia.
Például, ha egy vállalat belső hálózatot üzemeltet, melynek neve internalnetwork.example.com, és az alkalmazott hozzá akar férni egy nevű megosztott meghajtóhoz drive1, nem kell belépni drive1.internalnetwork.example.com az Intézőben csak írja be a \drive1 parancsot – és a Windows DNS-ügyfél maga fejezi be a nevet.
Az Active Directory korábbi verzióiban – például a Windows 2000 Serverben – a második szintű vállalati tartomány alapértelmezett értéke corp. És sok vállalat megtartotta belső tartományának alapértelmezett értékét. Még ennél is rosszabb, hogy sokan hatalmas hálózatokat kezdtek építeni ezen a hibás beállításon.
Az asztali számítógépek idejében ez nem jelentett nagy biztonsági problémát, mert senki sem vitte ki ezeket a számítógépeket a vállalati hálózaton kívülre. De mi történik akkor, ha egy alkalmazott dolgozik egy hálózati úttal rendelkező cégnél corp az Active Directoryban vesz egy vállalati laptopot, és elmegy a helyi Starbucksba? Ezután a Web Proxy Auto-Discovery (WPAD) protokoll és a DNS-név-átruházás funkció lép életbe.
Nagy a valószínűsége annak, hogy a laptop egyes szolgáltatásai továbbra is kopogtatnak a belső tartományon corp, de nem találja meg, és ehelyett a kérések a corp.com tartományba kerülnek a nyílt internetről.
Ez a gyakorlatban azt jelenti, hogy a corp.com tulajdonosa passzívan lehallgathatja a vállalati környezetből véletlenül elhagyó számítógépek százezreitől érkező privát kéréseket a megjelölés használatával. corp domainjéhez az Active Directoryban.
WPAD kérések kiszivárgása az amerikai forgalomban. A Michigani Egyetem 2016-os tanulmányából
Miért nem adták még el a domaint?
2014-ben az ICANN szakértői közzétették névütközések a DNS-ben. A tanulmányt részben az amerikai belbiztonsági minisztérium finanszírozta, mert a belső hálózatokból kiszivárogtatott információk nemcsak kereskedelmi cégeket, hanem kormányzati szervezeteket is fenyegetnek, köztük a titkosszolgálatot, a hírszerző ügynökségeket és a katonai ágakat is.
Mike tavaly el akarta adni a corp.com-ot, de Jeff Schmidt kutató meggyőzte őt, hogy halassza el az eladást a fent említett jelentés alapján. A tanulmány azt is megállapította, hogy naponta 375 000 számítógép próbálja meg felvenni a kapcsolatot a corp.com oldallal tulajdonosaik tudta nélkül. A kérések vállalati intranetekre, hozzáférési hálózatokra vagy fájlmegosztásokra való bejelentkezési kísérleteket tartalmaztak.
Saját kísérletének részeként Schmidt a JAS Global-lal közösen a corp.com-on utánozta, ahogy a Windows LAN feldolgozza a fájlokat és kéréseket. Ezzel tulajdonképpen egy pokol portált nyitottak bármely információbiztonsági szakember számára:
Szörnyű volt. 15 perc után leállítottuk a kísérletet, és megsemmisítettük [az összes kapott] adatot. Egy jól ismert tesztelő, aki tanácsot adott a JAS-nak ebben a kérdésben, megjegyezte, hogy a kísérlet olyan volt, mint "bizalmas információk esője", és ehhez hasonlót még soha nem látott.
[Beállítottuk a levélfogadást a corp.com oldalon], és körülbelül egy óra múlva több mint 12 millió e-mailt kaptunk, ami után leállítottuk a kísérletet. Bár az e-mailek túlnyomó többsége automatizált volt, azt találtuk, hogy néhányuk [biztonsági] érzékeny, ezért további elemzés nélkül megsemmisítettük a teljes adatkészletet.
Schmidt úgy véli, hogy az adminisztrátorok világszerte évtizedek óta tudtán kívül a történelem legveszélyesebb botnetjét készítik elő. Világszerte több százezer teljes értékű működő számítógép készen áll arra, hogy ne csak egy botnet részévé váljon, hanem arra is, hogy bizalmas adatokat közöljön tulajdonosairól és cégeiről. Mindössze annyit kell tennie, hogy kihasználja, a control corp.com. Ebben az esetben minden olyan gép, amely egyszer csatlakozik a vállalati hálózathoz, és amelynek Active Directoryját a //corp-on keresztül konfigurálták, a botnet részévé válik.
A Microsoft 25 évvel ezelőtt feladta a problémát
Ha úgy gondolja, hogy az MS valamilyen módon nem tudott a corp.com körül zajló bacchanáliákról, akkor súlyosan téved. Ez az az oldal, amelyre a FrontPage '97 béta verziójának felhasználói landoltak, és a corp.com alapértelmezett URL-címe:
Amikor Mike nagyon elege lett ebből, a corp.com elkezdte átirányítani a felhasználókat a szexbolt webhelyére. Válaszul több ezer dühös levelet kapott a felhasználóktól, amelyeket egy másolaton keresztül továbbított Bill Gatesnek.
Mike egyébként maga, kíváncsiságból, levelezőszervert állított fel, és bizalmas leveleket kapott a corp.com oldalon. Ezeket a problémákat saját maga próbálta megoldani úgy, hogy felkereste a cégeket, de egyszerűen nem tudták, hogyan javítsák a helyzetet:
Azonnal bizalmas e-maileket kezdtem kapni, köztük az Egyesült Államok Értékpapír- és Tőzsdefelügyeletének benyújtott vállalati pénzügyi jelentések előzetes verzióit, humánerőforrás-jelentéseket és egyéb ijesztő dolgokat. Egy ideig próbáltam levelezni a vállalatokkal, de a legtöbben nem tudtak mit kezdeni vele. Így végül kikapcsoltam [a levelezőszervert].
Az MS nem tett aktív lépéseket, és a vállalat nem hajlandó kommentálni a helyzetet. Igen, a Microsoft az évek során több Active Directory-frissítést is kiadott, amelyek részben megoldják a tartománynév-ütközés problémáját, de számos probléma van velük. A cég gyártott is ajánlások a belső tartománynevek beállításáról, az ütközések elkerülése érdekében másodszintű domain birtoklására vonatkozó ajánlásokról és egyéb oktatóanyagokról, amelyeket általában nem olvasnak el.
De a legfontosabb dolog a frissítésekben rejlik. Először is: ezek alkalmazásához teljesen le kell tennie a vállalat intranetjét. Másodszor: az ilyen frissítések után egyes alkalmazások lassabban, helytelenül kezdenek működni, vagy teljesen leállnak. Nyilvánvaló, hogy a legtöbb kiépített vállalati hálózattal rendelkező vállalat rövid távon nem vállal ilyen kockázatot. Ráadásul sokan közülük nem is veszik észre annak a fenyegetésnek a teljes skáláját, amely azzal jár, hogy mindent a corp.com-ra irányítanak át, amikor a gépet a belső hálózaton kívülre viszik.
A maximális irónia akkor érhető el, ha megnézed . Tehát adatai szerint Néhány kérés a corp.com-nak a Microsoft saját intranetéről érkezik.
És mi lesz ezután?
Úgy tűnik, hogy ennek a helyzetnek a megoldása a felszínen rejlik, és a cikk elején leírták: hagyja, hogy a Microsoft megvásárolja tőle Mike domainjét, és örökre kitiltsa valahol egy távoli szekrénybe.
De ez nem ilyen egyszerű. A Microsoft néhány évvel ezelőtt felajánlotta O'Connornak, hogy megvásárolja mérgező tartományát a vállalatok számára világszerte. Ez csak Az óriáscég mindössze 20 ezer dollárt ajánlott fel egy ilyen lyuk bezárására saját hálózataiban.
Most 1,7 millió dollárért kínálják a domaint, és még ha a Microsoft az utolsó pillanatban is úgy dönt, hogy megvásárolja, lesz idejük?
A felmérésben csak regisztrált felhasználók vehetnek részt. , kérem.
Mit tennél, ha te lennél O'Connor?
-
59,6%Hagyja, hogy a Microsoft megvásárolja a tartományt 1,7 millió dollárért, vagy hagyja, hogy valaki más vásárolja meg.501
-
3,4%20 ezer dollárért eladnám; nem akarok úgy bemenni a történelembe, mint aki egy ilyen domaint kiszivárogtatott egy ismeretlennek.29
-
3,3%Örökre eltemetném magam, ha a Microsoft nem tud jó döntést hozni.28
-
21,2%Kifejezetten hackereknek adnám el a domaint azzal a feltétellel, hogy tönkreteszik a Microsoft hírnevét a vállalati környezetben. 1997 óta tudnak a problémáról!178
-
12,4%Magam állítanék fel egy botnet + levelezőszervert, és elkezdeném eldönteni a világ sorsát.104
840 felhasználó szavazott. 131 felhasználó tartózkodott.
Forrás: will.com