Domēns corp.com ir pārdošanā. Tas ir bīstams simtiem tūkstošu korporatīvo datoru, kuros darbojas sistēma Windows

Datu noplūdes shēma caur Web Proxy Auto-Discovery (WPAD) nosaukumu sadursmes dēļ (šajā gadījumā iekšējā domēna sadursme ar viena no jaunajiem gTLD nosaukumu, bet būtība ir tāda pati). Avots: Mičiganas Universitātes pētījums, 2016

Maiks O'Konors, viens no vecākajiem domēna vārdu investoriem, izliek pārdošanai visbīstamākā un strīdīgākā daļa savā kolekcijā: domēns corp.com par 1,7 miljoniem dolāru.1994.gadā O'Konors iegādājās daudzus vienkāršus domēna nosaukumus, piemēram, grill.com, place.com, pub.com un citus. Starp tiem bija arī corp.com, kuru Maiks glabāja 26 gadus. Investors jau bija 70 gadus vecs un nolēma monetizēt savus vecos ieguldījumus.

Problēma ir tā, ka corp.com ir potenciāli bīstams vismaz 375 000 korporatīvo datoru dēļ Active Directory neuzmanīgās konfigurācijas korporatīvo iekštīklu izveides laikā 2000. gadu sākumā, pamatojoties uz Windows Server 2010, kad iekšējā sakne tika vienkārši norādīta kā “corp. ”. Līdz XNUMX. gadu sākumam tā nebija problēma, taču līdz ar klēpjdatoru skaita pieaugumu biznesa vidē arvien vairāk darbinieku sāka pārvietot savus darba datorus ārpus korporatīvā tīkla. Active Directory ieviešanas iezīmes noved pie tā, ka pat bez tieša lietotāja pieprasījuma //corp vairākas lietojumprogrammas (piemēram, pasts) pašas pieklauvē pie pazīstamas adreses. Taču, ja tiek izveidots ārējs savienojums ar tīklu parastā kafejnīcā aiz stūra, tas noved pie datu un pieprasījumu plūsmas corp.com.

Tagad O'Konors ļoti cer, ka Microsoft pats nopirks domēnu un pēc Google labākajām tradīcijām to izputinās kaut kur tumšā un nepieejamā vietā, problēma ar tik fundamentālu Windows tīklu ievainojamību tiks atrisināta.

Active Directory un nosaukumu sadursme

Korporatīvie tīkli, kuros darbojas sistēma Windows, izmanto direktoriju pakalpojumu Active Directory. Tas ļauj administratoriem izmantot grupas politikas, lai nodrošinātu vienotu lietotāja darba vides konfigurāciju, izvietotu programmatūru vairākos datoros, izmantojot grupas politikas, veiktu autorizāciju utt.

Active Directory ir integrēts ar DNS un darbojas virs TCP/IP. Lai tīklā meklētu saimniekdatorus, tīmekļa starpniekservera automātiskās atklāšanas (WAPD) protokolu un funkciju DNS nosaukuma decentralizācija (iebūvēts Windows DNS klientā). Šī funkcija ļauj viegli atrast citus datorus vai serverus, nenorādot pilnībā kvalificētu domēna nosaukumu.

Piemēram, ja uzņēmums pārvalda iekšējo tīklu ar nosaukumu internalnetwork.example.com, un darbinieks vēlas piekļūt kopīgajam diskam ar nosaukumu drive1, nav jāievada drive1.internalnetwork.example.com pārlūkprogrammā Explorer vienkārši ierakstiet \drive1 — un Windows DNS klients pabeigs nosaukumu.

Iepriekšējās Active Directory versijās, piemēram, Windows 2000 Server, otrā līmeņa korporatīvā domēna noklusējuma iestatījums bija corp. Un daudzi uzņēmumi ir saglabājuši noklusējuma iestatījumu savam iekšējam domēnam. Vēl ļaunāk, daudzi ir sākuši veidot plašus tīklus, papildinot šo kļūdaino iestatījumu.

Galddatoru laikos tā nebija liela drošības problēma, jo neviens šos datorus neizņēma ārpus korporatīvā tīkla. Bet kas notiek, ja darbinieks strādā uzņēmumā ar tīkla ceļu corp programmā Active Directory paņem korporatīvo klēpjdatoru un dodas uz vietējo Starbucks? Pēc tam stājas spēkā tīmekļa starpniekservera automātiskās atklāšanas (WPAD) protokols un DNS nosaukuma decentralizācijas funkcija.

Pastāv liela varbūtība, ka daži klēpjdatora pakalpojumi turpinās pieskarties iekšējam domēnam corp, taču to neatradīs, un tā vietā pieprasījumi tiks atrisināti domēnā corp.com no atvērtā interneta.

Praksē tas nozīmē, ka corp.com īpašnieks var pasīvi pārtvert privātus pieprasījumus no simtiem tūkstošu datoru, kas nejauši atstāj korporatīvo vidi, izmantojot apzīmējumu corp jūsu domēnam Active Directory.

WPAD pieprasījumu noplūde Amerikas trafikā. No 2016. gada Mičiganas universitātes pētījuma avots

Kāpēc domēns vēl nav pārdots?

2014. gadā ICANN eksperti publicēja lielisks pētījums nosaukumu sadursmes DNS. Pētījumu daļēji finansēja ASV Iekšzemes drošības departaments, jo informācijas noplūde no iekšējiem tīkliem apdraud ne tikai komerckompānijas, bet arī valdības organizācijas, tostarp Slepeno dienestu, izlūkošanas aģentūras un militārās nodaļas.

Maiks vēlējās pārdot corp.com pagājušajā gadā, bet pētnieks Džefs Šmits pārliecināja viņu atlikt pārdošanu, pamatojoties uz iepriekš minēto ziņojumu. Pētījumā arī noskaidrots, ka 375 000 datoru katru dienu mēģina sazināties ar corp.com, to īpašniekiem nezinot. Pieprasījumi ietvēra mēģinājumus pieteikties korporatīvajos iekštīklos, piekļuves tīklos vai failu koplietošanā.

Sava eksperimenta ietvaros Šmits kopā ar JAS Global vietnē corp.com simulēja veidu, kā Windows lokālais tīkls apstrādā failus un pieprasījumus. To darot, viņi faktiski atvēra elles portālu jebkuram informācijas drošības speciālistam:

Tas bija briesmīgi. Mēs pārtraucām eksperimentu pēc 15 minūtēm un iznīcinājām [visus iegūtos] datus. Pazīstams testētājs, kurš konsultēja JAS šajā jautājumā, atzīmēja, ka eksperiments bija kā "konfidenciālas informācijas lietus" un ka viņš nekad neko tādu nebija redzējis.

[Mēs iestatījām pasta saņemšanu vietnē corp.com] un apmēram pēc stundas saņēmām vairāk nekā 12 miljonus e-pasta ziņojumu, pēc tam eksperimentu pārtraucām. Lai gan lielākā daļa e-pasta ziņojumu bija automatizēti, mēs atklājām, ka daži bija [drošības] sensitīvi, tāpēc iznīcinājām visu datu kopu bez papildu analīzes.

Šmits uzskata, ka administratori visā pasaulē gadu desmitiem neapzināti gatavo vēsturē visbīstamāko robottīklu. Simtiem tūkstošu pilnvērtīgu strādājošu datoru visā pasaulē ir gatavi ne tikai kļūt par daļu no robottīkla, bet arī sniegt konfidenciālus datus par saviem īpašniekiem un uzņēmumiem. Viss, kas jums jādara, lai to izmantotu, ir control corp.com. Šajā gadījumā jebkura iekārta, kas reiz ir pievienota korporatīvajam tīklam un kuras Active Directory tika konfigurēts, izmantojot //corp, kļūst par robottīkla daļu.

Microsoft atteicās no šīs problēmas pirms 25 gadiem

Ja domājat, ka MS kaut kādā veidā nezināja par notiekošo bakhanāliju vietnē corp.com, tad jūs nopietni maldāties. Maiks personīgi trollēja Microsoft un Bilu Geitsu tālajā 1997. gadāŠī ir lapa, kurā nokļuva FrontPage '97 beta versijas lietotāji, un kā noklusējuma URL ir norādīts corp.com:

Kad Maikam tas ļoti apnika, corp.com sāka novirzīt lietotājus uz seksa preču veikala vietni. Atbildot uz to, viņš saņēma tūkstošiem dusmīgu vēstuļu no lietotājiem, kuras viņš, izmantojot kopiju, pāradresēja Bilam Geitsam.

Starp citu, pats Maiks ziņkārības vadīts izveidoja pasta serveri un saņēma konfidenciālas vēstules vietnē corp.com. Viņš mēģināja šīs problēmas atrisināt pats, sazinoties ar uzņēmumiem, taču tie vienkārši nezināja, kā situāciju labot:

Tūlīt es sāku saņemt konfidenciālus e-pasta ziņojumus, tostarp ASV Vērtspapīru un biržu komisijai nosūtīto korporatīvo finanšu pārskatu sākotnējās versijas, cilvēkresursu ziņojumus un citas biedējošas lietas. Kādu laiku mēģināju sarakstīties ar korporācijām, bet lielākā daļa nezināja, ko ar to iesākt. Tāpēc es beidzot vienkārši izslēdzu to [pasta serveri].

MS nekādas aktīvas darbības neveica, un uzņēmums atsakās komentēt situāciju. Jā, Microsoft gadu gaitā ir izlaidusi vairākus Active Directory atjauninājumus, kas daļēji risina domēna vārdu sadursmes problēmu, taču tiem ir vairākas problēmas. Uzņēmums arī ražoja ieteikumi par iekšējo domēnu nosaukumu iestatīšanu, ieteikumiem par otrā līmeņa domēna piederību, lai izvairītos no konfliktiem, un citas pamācības, kuras parasti nelasa.

Bet vissvarīgākais ir atjauninājumos. Pirmkārt: lai tos piemērotu, ir pilnībā jānoliek uzņēmuma iekštīkls. Otrkārt: pēc šādiem atjauninājumiem dažas lietojumprogrammas var sākt darboties lēnāk, nepareizi vai vispār pārstāt darboties. Skaidrs, ka lielākā daļa uzņēmumu ar izbūvētu korporatīvo tīklu īstermiņā šādus riskus neuzņemsies. Turklāt daudzi no viņiem pat neapzinās visu apdraudējumu, kas ir pilns ar visa pāradresāciju uz corp.com, kad iekārta tiek izņemta ārpus iekšējā tīkla.

Skatoties, tiek sasniegta maksimālā ironija Schmidt domēna vārdu sadursmes izpētes ziņojums. Tātad, pēc viņa datiem, daži pieprasījumi vietnei corp.com nāk no paša Microsoft iekštīkla.

Un kas notiks tālāk?

Šķiet, ka šīs situācijas risinājums slēpjas virspusē un tika aprakstīts raksta sākumā: ļaujiet Microsoft nopirkt no viņa Maika domēnu un uz visiem laikiem aizliegt viņu kaut kur attālā skapī.

Bet tas nav tik vienkārši. Microsoft pirms vairākiem gadiem piedāvāja O'Konoram izpirkt viņa toksisko domēnu uzņēmumiem visā pasaulē. Tas ir tikai Par šādas bedres aizvēršanu savos tīklos milzis piedāvāja tikai 20 tūkstošus dolāru.

Tagad domēns tiek piedāvāts par 1,7 miljoniem ASV dolāru.Un pat ja Microsoft pēdējā brīdī nolems to iegādāties, vai viņiem būs laiks?

Aptaujā var piedalīties tikai reģistrēti lietotāji. Ielogoties, lūdzu.

Ko tu darītu, ja tu būtu O'Konora?

• 59,6%Ļaujiet Microsoft iegādāties domēnu par 1,7 miljoniem ASV dolāru vai ļaujiet to iegādāties kādam citam.501

• 3,4%Es to pārdotu par 20 tūkstošiem dolāru; es nevēlos ieiet vēsturē kā persona, kas nopludināja šādu domēnu kādam nezināmam.29

• 3,3%Es pats to apglabātu uz visiem laikiem, ja Microsoft nespētu pieņemt pareizo lēmumu.28

• 21,2%Es īpaši pārdotu domēnu hakeriem ar nosacījumu, ka viņi iznīcina Microsoft reputāciju korporatīvajā vidē. Viņi zina par problēmu kopš 1997. gada!178

• 12,4%Es pats izveidotu robottīklu + pasta serveri un sāktu lemt pasaules likteni.104

Nobalsoja 840 lietotāji. 131 lietotājs atturējās.

Avots: www.habr.com