Datu noplÅ«des shÄma caur Web Proxy Auto-Discovery (WPAD) nosaukumu sadursmes dÄļ (Å”ajÄ gadÄ«jumÄ iekÅ”ÄjÄ domÄna sadursme ar viena no jaunajiem gTLD nosaukumu, bet bÅ«tÄ«ba ir tÄda pati). Avots:
Maiks O'Konors, viens no vecÄkajiem domÄna vÄrdu investoriem,
ProblÄma ir tÄ, ka corp.com ir potenciÄli bÄ«stams vismaz 375 000 korporatÄ«vo datoru dÄļ Active Directory neuzmanÄ«gÄs konfigurÄcijas korporatÄ«vo iekÅ”tÄ«klu izveides laikÄ 2000. gadu sÄkumÄ, pamatojoties uz Windows Server 2010, kad iekÅ”ÄjÄ sakne tika vienkÄrÅ”i norÄdÄ«ta kÄ ācorp. ā. LÄ«dz XNUMX. gadu sÄkumam tÄ nebija problÄma, taÄu lÄ«dz ar klÄpjdatoru skaita pieaugumu biznesa vidÄ arvien vairÄk darbinieku sÄka pÄrvietot savus darba datorus Ärpus korporatÄ«vÄ tÄ«kla. Active Directory ievieÅ”anas iezÄ«mes noved pie tÄ, ka pat bez tieÅ”a lietotÄja pieprasÄ«juma //corp vairÄkas lietojumprogrammas (piemÄram, pasts) paÅ”as pieklauvÄ pie pazÄ«stamas adreses. TaÄu, ja tiek izveidots ÄrÄjs savienojums ar tÄ«klu parastÄ kafejnÄ«cÄ aiz stÅ«ra, tas noved pie datu un pieprasÄ«jumu plÅ«smas corp.com.
Tagad O'Konors ļoti cer, ka Microsoft pats nopirks domÄnu un pÄc Google labÄkajÄm tradÄ«cijÄm to izputinÄs kaut kur tumÅ”Ä un nepieejamÄ vietÄ, problÄma ar tik fundamentÄlu Windows tÄ«klu ievainojamÄ«bu tiks atrisinÄta.
Active Directory un nosaukumu sadursme
KorporatÄ«vie tÄ«kli, kuros darbojas sistÄma Windows, izmanto direktoriju pakalpojumu Active Directory. Tas ļauj administratoriem izmantot grupas politikas, lai nodroÅ”inÄtu vienotu lietotÄja darba vides konfigurÄciju, izvietotu programmatÅ«ru vairÄkos datoros, izmantojot grupas politikas, veiktu autorizÄciju utt.
Active Directory ir integrÄts ar DNS un darbojas virs TCP/IP. Lai tÄ«klÄ meklÄtu saimniekdatorus, tÄ«mekļa starpniekservera automÄtiskÄs atklÄÅ”anas (WAPD) protokolu un funkciju
PiemÄram, ja uzÅÄmums pÄrvalda iekÅ”Äjo tÄ«klu ar nosaukumu internalnetwork.example.com
, un darbinieks vÄlas piekļūt kopÄ«gajam diskam ar nosaukumu drive1
, nav jÄievada drive1.internalnetwork.example.com
pÄrlÅ«kprogrammÄ Explorer vienkÄrÅ”i ierakstiet \drive1 ā un Windows DNS klients pabeigs nosaukumu.
IepriekÅ”ÄjÄs Active Directory versijÄs, piemÄram, Windows 2000 Server, otrÄ lÄ«meÅa korporatÄ«vÄ domÄna noklusÄjuma iestatÄ«jums bija corp
. Un daudzi uzÅÄmumi ir saglabÄjuÅ”i noklusÄjuma iestatÄ«jumu savam iekÅ”Äjam domÄnam. VÄl ļaunÄk, daudzi ir sÄkuÅ”i veidot plaÅ”us tÄ«klus, papildinot Å”o kļūdaino iestatÄ«jumu.
Galddatoru laikos tÄ nebija liela droŔības problÄma, jo neviens Å”os datorus neizÅÄma Ärpus korporatÄ«vÄ tÄ«kla. Bet kas notiek, ja darbinieks strÄdÄ uzÅÄmumÄ ar tÄ«kla ceļu corp
programmÄ Active Directory paÅem korporatÄ«vo klÄpjdatoru un dodas uz vietÄjo Starbucks? PÄc tam stÄjas spÄkÄ tÄ«mekļa starpniekservera automÄtiskÄs atklÄÅ”anas (WPAD) protokols un DNS nosaukuma decentralizÄcijas funkcija.
PastÄv liela varbÅ«tÄ«ba, ka daži klÄpjdatora pakalpojumi turpinÄs pieskarties iekÅ”Äjam domÄnam corp
, taÄu to neatradÄ«s, un tÄ vietÄ pieprasÄ«jumi tiks atrisinÄti domÄnÄ corp.com no atvÄrtÄ interneta.
PraksÄ tas nozÄ«mÄ, ka corp.com Ä«paÅ”nieks var pasÄ«vi pÄrtvert privÄtus pieprasÄ«jumus no simtiem tÅ«kstoÅ”u datoru, kas nejauÅ”i atstÄj korporatÄ«vo vidi, izmantojot apzÄ«mÄjumu corp
jÅ«su domÄnam Active Directory.
WPAD pieprasÄ«jumu noplÅ«de Amerikas trafikÄ. No 2016. gada MiÄiganas universitÄtes pÄtÄ«juma
KÄpÄc domÄns vÄl nav pÄrdots?
2014. gadÄ ICANN eksperti publicÄja
Maiks vÄlÄjÄs pÄrdot corp.com pagÄjuÅ”ajÄ gadÄ, bet pÄtnieks Džefs Å mits pÄrliecinÄja viÅu atlikt pÄrdoÅ”anu, pamatojoties uz iepriekÅ” minÄto ziÅojumu. PÄtÄ«jumÄ arÄ« noskaidrots, ka 375 000 datoru katru dienu mÄÄ£ina sazinÄties ar corp.com, to Ä«paÅ”niekiem nezinot. PieprasÄ«jumi ietvÄra mÄÄ£inÄjumus pieteikties korporatÄ«vajos iekÅ”tÄ«klos, piekļuves tÄ«klos vai failu koplietoÅ”anÄ.
Sava eksperimenta ietvaros Å mits kopÄ ar JAS Global vietnÄ corp.com simulÄja veidu, kÄ Windows lokÄlais tÄ«kls apstrÄdÄ failus un pieprasÄ«jumus. To darot, viÅi faktiski atvÄra elles portÄlu jebkuram informÄcijas droŔības speciÄlistam:
Tas bija briesmÄ«gi. MÄs pÄrtraucÄm eksperimentu pÄc 15 minÅ«tÄm un iznÄ«cinÄjÄm [visus iegÅ«tos] datus. PazÄ«stams testÄtÄjs, kurÅ” konsultÄja JAS Å”ajÄ jautÄjumÄ, atzÄ«mÄja, ka eksperiments bija kÄ "konfidenciÄlas informÄcijas lietus" un ka viÅÅ” nekad neko tÄdu nebija redzÄjis.
[MÄs iestatÄ«jÄm pasta saÅemÅ”anu vietnÄ corp.com] un apmÄram pÄc stundas saÅÄmÄm vairÄk nekÄ 12 miljonus e-pasta ziÅojumu, pÄc tam eksperimentu pÄrtraucÄm. Lai gan lielÄkÄ daļa e-pasta ziÅojumu bija automatizÄti, mÄs atklÄjÄm, ka daži bija [droŔības] sensitÄ«vi, tÄpÄc iznÄ«cinÄjÄm visu datu kopu bez papildu analÄ«zes.
Å mits uzskata, ka administratori visÄ pasaulÄ gadu desmitiem neapzinÄti gatavo vÄsturÄ visbÄ«stamÄko robottÄ«klu. Simtiem tÅ«kstoÅ”u pilnvÄrtÄ«gu strÄdÄjoÅ”u datoru visÄ pasaulÄ ir gatavi ne tikai kļūt par daļu no robottÄ«kla, bet arÄ« sniegt konfidenciÄlus datus par saviem Ä«paÅ”niekiem un uzÅÄmumiem. Viss, kas jums jÄdara, lai to izmantotu, ir control corp.com. Å ajÄ gadÄ«jumÄ jebkura iekÄrta, kas reiz ir pievienota korporatÄ«vajam tÄ«klam un kuras Active Directory tika konfigurÄts, izmantojot //corp, kļūst par robottÄ«kla daļu.
Microsoft atteicÄs no Ŕīs problÄmas pirms 25 gadiem
Ja domÄjat, ka MS kaut kÄdÄ veidÄ nezinÄja par notiekoÅ”o bakhanÄliju vietnÄ corp.com, tad jÅ«s nopietni maldÄties.
Kad Maikam tas ļoti apnika, corp.com sÄka novirzÄ«t lietotÄjus uz seksa preÄu veikala vietni. Atbildot uz to, viÅÅ” saÅÄma tÅ«kstoÅ”iem dusmÄ«gu vÄstuļu no lietotÄjiem, kuras viÅÅ”, izmantojot kopiju, pÄradresÄja Bilam Geitsam.
Starp citu, pats Maiks ziÅkÄrÄ«bas vadÄ«ts izveidoja pasta serveri un saÅÄma konfidenciÄlas vÄstules vietnÄ corp.com. ViÅÅ” mÄÄ£inÄja Ŕīs problÄmas atrisinÄt pats, sazinoties ar uzÅÄmumiem, taÄu tie vienkÄrÅ”i nezinÄja, kÄ situÄciju labot:
TÅ«lÄ«t es sÄku saÅemt konfidenciÄlus e-pasta ziÅojumus, tostarp ASV VÄrtspapÄ«ru un biržu komisijai nosÅ«tÄ«to korporatÄ«vo finanÅ”u pÄrskatu sÄkotnÄjÄs versijas, cilvÄkresursu ziÅojumus un citas biedÄjoÅ”as lietas. KÄdu laiku mÄÄ£inÄju sarakstÄ«ties ar korporÄcijÄm, bet lielÄkÄ daļa nezinÄja, ko ar to iesÄkt. TÄpÄc es beidzot vienkÄrÅ”i izslÄdzu to [pasta serveri].
MS nekÄdas aktÄ«vas darbÄ«bas neveica, un uzÅÄmums atsakÄs komentÄt situÄciju. JÄ, Microsoft gadu gaitÄ ir izlaidusi vairÄkus Active Directory atjauninÄjumus, kas daļÄji risina domÄna vÄrdu sadursmes problÄmu, taÄu tiem ir vairÄkas problÄmas. UzÅÄmums arÄ« ražoja ieteikumi par iekÅ”Äjo domÄnu nosaukumu iestatÄ«Å”anu, ieteikumiem par otrÄ lÄ«meÅa domÄna piederÄ«bu, lai izvairÄ«tos no konfliktiem, un citas pamÄcÄ«bas, kuras parasti nelasa.
Bet vissvarÄ«gÄkais ir atjauninÄjumos. PirmkÄrt: lai tos piemÄrotu, ir pilnÄ«bÄ jÄnoliek uzÅÄmuma iekÅ”tÄ«kls. OtrkÄrt: pÄc Å”Ädiem atjauninÄjumiem dažas lietojumprogrammas var sÄkt darboties lÄnÄk, nepareizi vai vispÄr pÄrstÄt darboties. Skaidrs, ka lielÄkÄ daļa uzÅÄmumu ar izbÅ«vÄtu korporatÄ«vo tÄ«klu Ä«stermiÅÄ Å”Ädus riskus neuzÅemsies. TurklÄt daudzi no viÅiem pat neapzinÄs visu apdraudÄjumu, kas ir pilns ar visa pÄradresÄciju uz corp.com, kad iekÄrta tiek izÅemta Ärpus iekÅ”ÄjÄ tÄ«kla.
Skatoties, tiek sasniegta maksimÄlÄ ironija
Un kas notiks tÄlÄk?
Å Ä·iet, ka Ŕīs situÄcijas risinÄjums slÄpjas virspusÄ un tika aprakstÄ«ts raksta sÄkumÄ: ļaujiet Microsoft nopirkt no viÅa Maika domÄnu un uz visiem laikiem aizliegt viÅu kaut kur attÄlÄ skapÄ«.
Bet tas nav tik vienkÄrÅ”i. Microsoft pirms vairÄkiem gadiem piedÄvÄja O'Konoram izpirkt viÅa toksisko domÄnu uzÅÄmumiem visÄ pasaulÄ. Tas ir tikai Par Å”Ädas bedres aizvÄrÅ”anu savos tÄ«klos milzis piedÄvÄja tikai 20 tÅ«kstoÅ”us dolÄru.
Tagad domÄns tiek piedÄvÄts par 1,7 miljoniem ASV dolÄru.Un pat ja Microsoft pÄdÄjÄ brÄ«dÄ« nolems to iegÄdÄties, vai viÅiem bÅ«s laiks?
AptaujÄ var piedalÄ«ties tikai reÄ£istrÄti lietotÄji.
Ko tu darītu, ja tu būtu O'Konora?
-
59,6%Ä»aujiet Microsoft iegÄdÄties domÄnu par 1,7 miljoniem ASV dolÄru vai ļaujiet to iegÄdÄties kÄdam citam.501
-
3,4%Es to pÄrdotu par 20 tÅ«kstoÅ”iem dolÄru; es nevÄlos ieiet vÄsturÄ kÄ persona, kas nopludinÄja Å”Ädu domÄnu kÄdam nezinÄmam.29
-
3,3%Es pats to apglabÄtu uz visiem laikiem, ja Microsoft nespÄtu pieÅemt pareizo lÄmumu.28
-
21,2%Es Ä«paÅ”i pÄrdotu domÄnu hakeriem ar nosacÄ«jumu, ka viÅi iznÄ«cina Microsoft reputÄciju korporatÄ«vajÄ vidÄ. ViÅi zina par problÄmu kopÅ” 1997. gada!178
-
12,4%Es pats izveidotu robottÄ«klu + pasta serveri un sÄktu lemt pasaules likteni.104
Nobalsoja 840 lietotÄji. 131 lietotÄjs atturÄjÄs.
Avots: www.habr.com