Diagram kebocoran data menggunakan Web Proxy Auto-Discovery (WPAD) akibat tabrakan nama (dalam kasus ini, tabrakan antara domain internal dan nama gTLD baru, tetapi konsepnya sama). Sumber: , 2016
Mike O'Connor, salah satu investor tertua dalam nama domain, koleksi paling berbahaya dan kontroversialnya: domain perusahaan.com Seharga $1,7 juta. Pada tahun 1994, O'Connor membeli sejumlah nama domain sederhana, seperti grill.com, place.com, pub.com, dan lainnya. Di antaranya adalah corp.com, yang dipegang Mike selama 26 tahun. Investor tersebut sudah berusia 70 tahun dan memutuskan untuk memonetisasi investasi jangka panjangnya.
Intinya adalah corp.com berpotensi berbahaya bagi setidaknya 375 komputer perusahaan karena konfigurasi Active Directory yang ceroboh selama pembangunan intranet perusahaan pada awal tahun 000-an berdasarkan Windows Server Pada tahun 2000, root internal hanya ditentukan sebagai "corp." Hingga awal tahun 2010-an, ini bukanlah masalah, tetapi dengan meningkatnya penggunaan laptop di dunia bisnis, semakin banyak karyawan mulai membawa komputer kerja mereka ke luar jaringan perusahaan. Implementasi Active Directory berarti bahwa bahkan tanpa permintaan pengguna langsung ke //corp, beberapa aplikasi (seperti email) secara otomatis mengakses alamat yang sudah dikenal. Tetapi dalam kasus koneksi eksternal ke jaringan, di kafe pinggir jalan, ini menyebabkan banjir data dan permintaan. perusahaan.com.
Sekarang O'Connor sangat berharap Microsoft sendiri akan membeli domain tersebut dan, mengikuti tradisi Google, membiarkannya terpendam di suatu tempat yang gelap dan tidak dapat diakses. Masalahnya adalah kerentanan mendasar seperti itu Windows-Jaringan akan teratasi.
Direktori Aktif dan tabrakan nama
Dalam jaringan perusahaan di bawah Windows Layanan direktori Active Directory digunakan. Layanan ini memungkinkan administrator untuk menggunakan kebijakan grup guna memastikan pengaturan lingkungan pengguna yang konsisten, menyebarkan perangkat lunak ke beberapa komputer melalui kebijakan grup, melakukan otorisasi, dan banyak lagi.
Active Directory terintegrasi dengan DNS dan berjalan di atasnya. TCP/IPUntuk mencari node di dalam jaringan, digunakan Web Proxy Auto-Discovery Protocol (WAPD) dan fungsi (dibangun di dalam) Windows (Klien DNS). Fitur ini memudahkan pencarian komputer atau server lain tanpa harus menentukan nama domain yang sepenuhnya memenuhi syarat.
Misalnya, jika sebuah perusahaan mengoperasikan jaringan internal bernama internalnetwork.example.com, dan karyawan ingin mengakses drive bersama yang disebut drive1, tidak perlu masuk drive1.internalnetwork.example.com Di File Explorer, cukup ketik \drive1 - dan klien Windows DNS akan melengkapi nama tersebut dengan sendirinya.
Pada versi Active Directory sebelumnya—misalnya, pada Windows 2000 Server - secara default ditentukan untuk level kedua domain perusahaan. corpDan banyak perusahaan mempertahankan nilai default untuk domain internal mereka. Lebih buruk lagi, banyak yang mulai membangun jaringan ekstensif berdasarkan pengaturan yang salah ini.
Di era komputer desktop, hal ini bukanlah masalah keamanan yang berarti karena tidak ada yang memindahkan komputer-komputer ini ke luar jaringan perusahaan. Namun, apa yang terjadi ketika seorang karyawan yang bekerja di perusahaan dengan jalur jaringan corp Di Direktori Aktif, seseorang mengambil laptop perusahaan dan pergi ke Starbucks lokal? Di situlah protokol Penemuan Otomatis Proksi Web (WPAD) dan devolusi nama DNS berperan.
Ada kemungkinan besar bahwa beberapa layanan pada laptop akan terus mengganggu domain internal. corp, tetapi mereka tidak akan menemukannya, dan sebaliknya permintaan akan diarahkan ke domain corp.com dari Internet terbuka.
Dalam praktiknya, ini berarti bahwa pemilik corp.com dapat secara pasif mencegat permintaan pribadi dari ratusan ribu komputer yang secara tidak sengaja meninggalkan lingkungan perusahaan menggunakan penunjukan corp untuk domain Anda di Direktori Aktif.
Permintaan WPAD bocor dalam lalu lintas AS. Dari studi tahun 2016 oleh Universitas Michigan.
Mengapa domainnya belum terjual?
Pada tahun 2014, para ahli ICANN menerbitkan Tabrakan nama DNS. Penelitian ini sebagian didanai oleh Departemen Keamanan Dalam Negeri AS karena kebocoran informasi dari jaringan internal tidak hanya mengancam perusahaan komersial tetapi juga organisasi pemerintah, termasuk dinas rahasia, badan intelijen, dan unit militer.
Mike ingin menjual corp.com tahun lalu, tetapi peneliti Jeff Schmidt membujuknya untuk menunda penjualan berdasarkan laporan tersebut. Studi tersebut juga mengungkapkan bahwa 375.000 komputer mencoba menghubungi corp.com setiap hari tanpa sepengetahuan pemiliknya. Permintaan ini mencakup upaya untuk masuk ke intranet perusahaan, mengakses jaringan, atau berbagi berkas.
Sebagai bagian dari eksperimennya sendiri, Schmidt, bersama dengan JAS Global, mensimulasikan di corp.com bagaimana jaringan lokal menangani file dan permintaan. WindowsDengan melakukan hal itu, mereka secara efektif membuka jalan menuju neraka bagi setiap profesional keamanan informasi:
Sungguh mengerikan. Kami menghentikan eksperimen setelah 15 menit dan menghancurkan [semua] data yang dihasilkan. Seorang penguji terkenal yang menjadi penasihat JAS dalam masalah ini mengatakan bahwa eksperimen itu seperti "hujan informasi rahasia", dan ia belum pernah melihat hal seperti itu.
[Kami menyiapkan penerimaan email di corp.com] dan dalam waktu sekitar satu jam, kami menerima lebih dari 12 juta email, setelah itu kami menghentikan eksperimen. Meskipun sebagian besar email diotomatisasi, kami menemukan beberapa di antaranya sensitif, sehingga kami menghancurkan seluruh kumpulan data tanpa analisis lebih lanjut.
Schmidt yakin bahwa administrator di seluruh dunia tanpa sadar telah mempersiapkan botnet paling berbahaya dalam sejarah selama beberapa dekade. Ratusan ribu komputer yang berfungsi penuh di seluruh dunia siap tidak hanya untuk menjadi bagian dari botnet tetapi juga untuk memberikan data rahasia tentang pemilik dan perusahaan mereka. Yang dibutuhkan untuk memanfaatkannya hanyalah kendali atas corp.com. Setiap mesin yang pernah terhubung ke jaringan perusahaan yang Direktori Aktifnya dikonfigurasi melalui //corp akan menjadi bagian dari botnet.
Microsoft mengabaikan masalah ini 25 tahun lalu.
Jika Anda mengira MS sama sekali tidak menyadari keributan yang terjadi di sekitar corp.com, maka Anda salah besar. Berikut halaman yang diarahkan kepada pengguna FrontPage '97 beta, dengan corp.com tercantum sebagai URL default:
Ketika Mike akhirnya muak, corp.com mulai mengarahkan pengguna ke situs web toko seks. Sebagai tanggapan, ia menerima ribuan email bernada marah dari pengguna, yang ia arahkan melalui surat ke Bill Gates.
Kebetulan, Mike juga, karena penasaran, membuat server email dan menerima email rahasia di corp.com. Ia mencoba menyelesaikan masalah ini sendiri dengan menghubungi perusahaan-perusahaan tersebut, tetapi mereka tidak tahu cara memperbaikinya:
Seketika, saya mulai menerima email-email rahasia, termasuk draf laporan keuangan perusahaan untuk Komisi Sekuritas dan Bursa, laporan sumber daya manusia, dan hal-hal menakutkan lainnya. Saya mencoba berkorespondensi dengan perusahaan-perusahaan tersebut untuk sementara waktu, tetapi kebanyakan dari mereka tidak tahu harus berbuat apa. Akhirnya, saya menutupnya.
MS belum mengambil tindakan apa pun, dan perusahaan menolak berkomentar mengenai situasi ini. Ya, Microsoft telah merilis beberapa pembaruan Direktori Aktif selama bertahun-tahun yang sebagian mengatasi masalah tabrakan nama domain, tetapi pembaruan tersebut masih dipenuhi sejumlah masalah. Perusahaan juga telah merilis rekomendasi tentang pengaturan nama domain internal, rekomendasi tentang kepemilikan domain tingkat kedua untuk menghindari tabrakan, dan tutorial lain yang biasanya diabaikan.
Namun, hal terpenting terletak pada pembaruan. Pertama, untuk menerapkannya, intranet perusahaan harus dimatikan sepenuhnya. Kedua, beberapa aplikasi mungkin mulai berjalan lebih lambat, mengalami malfungsi, atau bahkan berhenti berfungsi sama sekali setelah pembaruan tersebut. Jelas, sebagian besar perusahaan dengan jaringan korporat yang mapan tidak akan mengambil risiko seperti itu untuk jarak dekat. Lebih lanjut, banyak yang bahkan tidak menyadari skala penuh ancaman yang ditimbulkan oleh pengalihan semua data ke corp.com ketika sebuah mesin dipindahkan ke luar jaringan internal.
Ironi maksimal tercapai ketika Anda melihat Jadi, menurut datanya, Beberapa permintaan ke corp.com berasal dari intranet Microsoft sendiri.
Dan apa yang akan terjadi selanjutnya?
Tampaknya solusi untuk situasi ini jelas dan dijelaskan di awal artikel: biarkan Microsoft membeli domain Mike dan melarangnya di suatu tempat di lemari terpencil selamanya.
Tapi tidak sesederhana itu. Microsoft menawarkan untuk membeli domain O'Connor, yang dianggap beracun bagi perusahaan-perusahaan di seluruh dunia, beberapa tahun yang lalu. Namun, Raksasa itu hanya menawarkan $20 untuk menutup lubang di jaringannya sendiri..
Domain tersebut saat ini terdaftar seharga $1,7 juta. Dan bahkan jika Microsoft memutuskan untuk membelinya di menit-menit terakhir, akankah mereka mampu melakukannya tepat waktu?
Hanya pengguna terdaftar yang dapat berpartisipasi dalam survei. , silakan.
Apa yang akan Anda lakukan seandainya Anda adalah O'Connor?
59,6%Biarkan Microsoft membeli domain tersebut seharga $1,7 juta, atau biarkan orang lain membelinya.501
3,4%Saya akan menjualnya seharga $20; Saya tidak ingin tercatat dalam sejarah sebagai orang yang membocorkan domain tersebut kepada siapa pun.29
3,3%Saya sendiri yang akan menguburnya dan selamanya jika Microsoft tidak dapat membuat keputusan yang tepat.28
21,2%Saya akan menjual domain itu kepada peretas dengan syarat mereka menghancurkan reputasi Microsoft di dunia korporat. Mereka sudah tahu masalah ini sejak 1997!178
12,4%Saya akan membuat botnet dan server email sendiri dan mulai memutuskan nasib dunia.104
840 pengguna memilih. 131 pengguna abstain.
Sumber: www.habr.com
