Skema kebocoran data melalui Web Proxy Auto-Discovery (WPAD) karena tabrakan nama (dalam hal ini, tabrakan domain internal dengan nama salah satu gTLD baru, tetapi intinya sama). Sumber: , 2016
Mike O'Connor, salah satu investor tertua dalam nama domain, kumpulan paling berbahaya dan kontroversial dalam koleksinya: domain corp.com seharga $1,7 juta Pada tahun 1994, O'Connor membeli banyak nama domain sederhana, seperti grill.com, place.com, pub.com dan lain-lain. Diantaranya adalah corp.com, yang disimpan Mike selama 26 tahun. Investor tersebut sudah berusia 70 tahun dan memutuskan untuk memonetisasi investasi lamanya.
Masalahnya adalah corp.com berpotensi berbahaya bagi setidaknya 375 komputer perusahaan karena konfigurasi Direktori Aktif yang ceroboh selama pembangunan intranet perusahaan di awal tahun 000-an berdasarkan Windows Server 2000, ketika root internal hanya ditetapkan sebagai “corp. .” Hingga awal tahun 2010-an, hal ini tidak menjadi masalah, namun seiring dengan maraknya laptop di lingkungan bisnis, semakin banyak karyawan yang mulai memindahkan komputer kerja mereka ke luar jaringan perusahaan. Fitur implementasi Direktori Aktif mengarah pada fakta bahwa bahkan tanpa permintaan pengguna langsung ke //corp, sejumlah aplikasi (misalnya, email) secara mandiri mengetuk alamat yang sudah dikenal. Namun dalam kasus koneksi eksternal ke jaringan di kafe konvensional di sekitar lokasi, hal ini menyebabkan aliran data dan permintaan mengalir ke corp.com.
Sekarang O'Connor sangat berharap bahwa Microsoft sendiri yang akan membeli domain tersebut dan, dalam tradisi terbaik Google, membusuknya di tempat yang gelap dan tidak dapat diakses oleh orang luar, masalah dengan kerentanan mendasar pada jaringan Windows akan terpecahkan.
Direktori Aktif dan tabrakan nama
Jaringan perusahaan yang menjalankan Windows menggunakan layanan direktori Active Directory. Hal ini memungkinkan administrator untuk menggunakan kebijakan grup untuk memastikan konfigurasi seragam lingkungan kerja pengguna, menyebarkan perangkat lunak di banyak komputer melalui kebijakan grup, melakukan otorisasi, dll.
Direktori Aktif terintegrasi dengan DNS dan berjalan di atas TCP/IP. Untuk mencari host dalam jaringan, protokol Web Proxy Auto-Discovery (WAPD) dan fungsinya (dibangun ke dalam Klien DNS Windows). Fitur ini memudahkan untuk menemukan komputer atau server lain tanpa harus memberikan nama domain yang sepenuhnya memenuhi syarat.
Misalnya, jika suatu perusahaan mengoperasikan jaringan internal bernama internalnetwork.example.com, dan karyawan ingin mengakses drive bersama yang disebut drive1, tidak perlu masuk drive1.internalnetwork.example.com di Explorer, cukup ketik \drive1 - dan klien DNS Windows akan melengkapi namanya sendiri.
Di versi Direktori Aktif yang lebih lawas—misalnya, Windows 2000 Server—default untuk domain korporat tingkat kedua adalah corp. Dan banyak perusahaan tetap menggunakan default untuk domain internal mereka. Lebih buruk lagi, banyak yang mulai membangun jaringan yang luas di atas pengaturan yang cacat ini.
Pada zaman komputer desktop, hal ini bukan merupakan masalah keamanan karena tidak ada yang membawa komputer ini keluar dari jaringan perusahaan. Namun apa jadinya bila seorang karyawan bekerja di perusahaan dengan jalur jaringan corp di Active Directory mengambil laptop perusahaan dan pergi ke Starbucks lokal? Kemudian protokol Web Proxy Auto-Discovery (WPAD) dan fungsi devolusi nama DNS mulai berlaku.
Ada kemungkinan besar bahwa beberapa layanan di laptop akan terus mengganggu domain internal corp, tetapi tidak akan menemukannya, dan sebagai gantinya permintaan akan diselesaikan ke domain corp.com dari Internet terbuka.
Dalam praktiknya, ini berarti pemilik corp.com dapat secara pasif mencegat permintaan pribadi dari ratusan ribu komputer yang secara tidak sengaja meninggalkan lingkungan perusahaan menggunakan penunjukan tersebut. corp untuk domain Anda di Direktori Aktif.
Kebocoran permintaan WPAD di lalu lintas Amerika. Dari studi Universitas Michigan tahun 2016,
Mengapa domainnya belum terjual?
Pada tahun 2014, para ahli ICANN menerbitkan tabrakan nama di DNS. Penelitian ini sebagian didanai oleh Departemen Keamanan Dalam Negeri AS karena kebocoran informasi dari jaringan internal tidak hanya mengancam perusahaan komersial, namun juga organisasi pemerintah, termasuk Dinas Rahasia, badan intelijen, dan cabang militer.
Mike ingin menjual corp.com tahun lalu, namun peneliti Jeff Schmidt meyakinkannya untuk menunda penjualan berdasarkan laporan tersebut di atas. Studi tersebut juga menemukan bahwa 375 komputer mencoba menghubungi corp.com setiap hari tanpa sepengetahuan pemiliknya. Permintaan tersebut berisi upaya untuk masuk ke intranet perusahaan, jaringan akses, atau berbagi file.
Sebagai bagian dari eksperimennya sendiri, Schmidt, bersama dengan JAS Global, meniru cara Windows LAN memproses file dan permintaan di corp.com. Dengan melakukan ini, mereka sebenarnya membuka portal neraka bagi spesialis keamanan informasi mana pun:
Itu sungguh mengerikan. Kami menghentikan percobaan setelah 15 menit dan menghancurkan [semua data yang diperoleh]. Seorang penguji terkenal yang menasihati JAS mengenai masalah ini mencatat bahwa eksperimen tersebut seperti "hujan informasi rahasia" dan dia belum pernah melihat hal seperti itu.
[Kami menyiapkan penerimaan email di corp.com] dan setelah sekitar satu jam kami menerima lebih dari 12 juta email, setelah itu kami menghentikan percobaan. Meskipun sebagian besar email diotomatisasi, kami menemukan bahwa beberapa di antaranya sensitif terhadap [keamanan] dan oleh karena itu kami menghancurkan seluruh kumpulan data tanpa analisis lebih lanjut.
Schmidt percaya bahwa administrator di seluruh dunia tanpa sadar telah mempersiapkan botnet paling berbahaya dalam sejarah selama beberapa dekade. Ratusan ribu komputer yang berfungsi penuh di seluruh dunia siap tidak hanya menjadi bagian dari botnet, tetapi juga menyediakan data rahasia tentang pemilik dan perusahaannya. Yang perlu Anda lakukan untuk memanfaatkannya adalah kontrol corp.com. Dalam hal ini, mesin apa pun yang pernah terhubung ke jaringan perusahaan, yang Direktori Aktifnya dikonfigurasi melalui //corp, menjadi bagian dari botnet.
Microsoft menyerah pada masalah ini 25 tahun yang lalu
Jika Anda berpikir bahwa MS entah bagaimana tidak menyadari bacchanalia yang sedang berlangsung di sekitar corp.com, maka Anda salah besar. Ini adalah halaman yang dikunjungi oleh pengguna FrontPage '97 versi beta, dengan corp.com terdaftar sebagai URL default:
Ketika Mike bosan dengan hal ini, corp.com mulai mengarahkan pengguna ke situs toko seks. Sebagai tanggapan, dia menerima ribuan surat kemarahan dari pengguna, yang dia arahkan melalui salinan ke Bill Gates.
Ngomong-ngomong, Mike sendiri, karena penasaran, menyiapkan server email dan menerima surat rahasia di corp.com. Dia mencoba menyelesaikan masalah ini sendiri dengan menghubungi perusahaan, tetapi mereka tidak tahu bagaimana memperbaiki situasi:
Segera, saya mulai menerima email rahasia, termasuk versi awal laporan keuangan perusahaan kepada Komisi Sekuritas dan Bursa AS, laporan sumber daya manusia, dan hal-hal menakutkan lainnya. Saya mencoba berkorespondensi dengan perusahaan selama beberapa waktu, namun kebanyakan dari mereka tidak tahu apa yang harus dilakukan. Jadi akhirnya saya matikan saja [server emailnya].
MS tidak mengambil tindakan aktif apa pun, dan perusahaan menolak mengomentari situasi tersebut. Ya, Microsoft telah merilis beberapa pembaruan Direktori Aktif selama bertahun-tahun yang sebagian mengatasi masalah tabrakan nama domain, namun pembaruan tersebut memiliki sejumlah masalah. Perusahaan juga memproduksi rekomendasi tentang pengaturan nama domain internal, rekomendasi memiliki domain level kedua untuk menghindari konflik, dan tutorial lain yang biasanya tidak dibaca.
Namun yang terpenting terletak pada pembaruannya. Pertama: untuk menerapkannya, Anda harus mematikan intranet perusahaan sepenuhnya. Kedua: setelah pembaruan tersebut, beberapa aplikasi mungkin mulai bekerja lebih lambat, tidak berfungsi dengan benar, atau berhenti bekerja sama sekali. Jelas bahwa sebagian besar perusahaan dengan jaringan perusahaan yang kuat tidak akan mengambil risiko seperti itu dalam jangka pendek. Selain itu, banyak dari mereka bahkan tidak menyadari skala penuh ancaman yang menyebabkan pengalihan segalanya ke corp.com ketika mesin dibawa ke luar jaringan internal.
Ironi maksimal dicapai saat Anda melihatnya . Jadi, menurut datanya, beberapa permintaan ke corp.com berasal dari intranet Microsoft sendiri.
Dan apa yang akan terjadi selanjutnya?
Tampaknya solusi untuk situasi ini ada di permukaan dan dijelaskan di awal artikel: biarkan Microsoft membeli domain Mike darinya dan melarangnya di suatu tempat di lemari terpencil selamanya.
Tapi itu tidak sesederhana itu. Microsoft menawarkan O'Connor untuk membeli domain beracunnya untuk perusahaan di seluruh dunia beberapa tahun lalu. Itu hanya Raksasa itu hanya menawarkan $20 ribu untuk menutup lubang di jaringannya sendiri.
Sekarang domain tersebut ditawarkan dengan harga $1,7 juta. Dan bahkan jika Microsoft memutuskan untuk membelinya di saat-saat terakhir, apakah mereka punya waktu?
Hanya pengguna terdaftar yang dapat berpartisipasi dalam survei. , silakan.
Apa yang akan kamu lakukan jika kamu jadi O'Connor?
-
59,6%Biarkan Microsoft membeli domain tersebut seharga $1,7 juta, atau biarkan orang lain membelinya.501
-
3,4%Saya akan menjualnya seharga $20 ribu; Saya tidak ingin tercatat dalam sejarah sebagai orang yang membocorkan domain tersebut kepada seseorang yang tidak dikenal.29
-
3,3%Saya akan menguburnya selamanya jika Microsoft tidak dapat mengambil keputusan yang tepat.28
-
21,2%Saya secara khusus akan menjual domain tersebut kepada peretas dengan syarat mereka merusak reputasi Microsoft di lingkungan perusahaan. Mereka telah mengetahui masalah ini sejak tahun 1997!178
-
12,4%Saya akan menyiapkan botnet + server email sendiri dan mulai menentukan nasib dunia.104
840 pengguna memilih. 131 pengguna abstain.
Sumber: www.habr.com