Нэрийн зөрчилдөөний улмаас Web Proxy Auto-Discovery (WPAD) -аар дамжуулан өгөгдөл алдагдах схем (энэ тохиолдолд дотоод домэйн шинэ gTLD-ийн аль нэгний нэртэй мөргөлдөх боловч мөн чанар нь адилхан). Эх сурвалж: , 2016
Майк О'Коннор, домэйн нэрийн хамгийн эртний хөрөнгө оруулагчдын нэг. түүний цуглуулгад хамгийн аюултай, маргаантай хэсэг: домэйн corp.com 1,7 сая доллараар 1994 онд О'Коннор grill.com, place.com, pub.com болон бусад олон энгийн домэйн нэрийг худалдаж авсан. Тэдний дунд Майк 26 жил хадгалсан corp.com байсан. Хөрөнгө оруулагч аль хэдийн 70 настай байсан бөгөөд хуучин хөрөнгө оруулалтаа мөнгөжүүлэхээр шийдсэн.
Асуудал нь 375-аад оны эхээр Windows Server 000 дээр суурилсан дотоод сүлжээг бүтээх явцад Active Directory-ийн тохиргоог хайхрамжгүй хийснээс болж corp.com нь дор хаяж 2000 корпорацийн компьютерт аюултай байж болзошгүй юм. .” 2010-аад оны эхэн үе хүртэл энэ нь асуудал биш байсан ч бизнесийн орчинд зөөврийн компьютерууд гарч ирснээр улам олон ажилчид ажлын компьютерээ корпорацийн сүлжээнээс гадуур зөөж эхэлсэн. Active Directory-ийн хэрэгжилтийн онцлог нь //corp-д хэрэглэгчийн шууд хүсэлтгүйгээр ч гэсэн хэд хэдэн програмууд (жишээлбэл, шуудан) танил хаягийг өөрөө тогшдог. Гэхдээ булангийн эргэн тойронд байгаа ердийн кафед сүлжээнд гадны холболт хийгдсэн тохиолдолд энэ нь өгөгдөл, хүсэлтийн урсгалд хүргэдэг. corp.com.
Одоо О'Коннор Майкрософт өөрөө домэйныг худалдан авч, Google-ийн шилдэг уламжлалын дагуу түүнийг харанхуй газар, гадны хүмүүст хүртээмжгүй газар ялзарч, Windows сүлжээний ийм үндсэн эмзэг байдлын асуудал шийдэгдэнэ гэж үнэхээр найдаж байна.
Active Directory болон нэрний зөрчил
Windows үйлдлийн системтэй корпорацийн сүлжээнүүд Active Directory лавлах үйлчилгээг ашигладаг. Энэ нь администраторуудад хэрэглэгчийн ажлын орчны нэгдсэн тохиргоог хангах, бүлгийн бодлогоор дамжуулан олон компьютерт программ хангамжийг байрлуулах, зөвшөөрөл олгох гэх мэт бүлгийн бодлогыг ашиглах боломжийг олгодог.
Active Directory нь DNS-тэй нэгдсэн бөгөөд TCP/IP дээр ажилладаг. Сүлжээ дотор хостуудыг хайхын тулд Web Proxy Auto-Discovery (WAPD) протокол болон функцийг ашиглана. (Windows DNS Client-д суулгасан). Энэ функц нь бүрэн мэргэшсэн домэйн нэр өгөхгүйгээр бусад компьютер эсвэл серверүүдийг олоход хялбар болгодог.
Жишээлбэл, хэрэв компани нэртэй дотоод сүлжээ ажиллуулдаг бол internalnetwork.example.com, мөн ажилтан нэртэй дундын драйв руу хандахыг хүсч байна drive1, оруулах шаардлагагүй drive1.internalnetwork.example.com Explorer дээр \drive1 гэж бичвэл Windows DNS клиент өөрөө нэрийг нь бөглөнө.
Active Directory-ийн өмнөх хувилбаруудад, жишээлбэл, Windows 2000 Server-д хоёр дахь түвшний корпорацийн домэйны анхдагч нь байсан. corp. Мөн олон компаниуд өөрсдийн дотоод домэйны үндсэн тохиргоог хадгалсаар ирсэн. Хамгийн муу нь олон хүн энэхүү алдаатай тохиргоон дээр асар том сүлжээ байгуулж эхэлсэн.
Ширээний компьютерийн үед энэ нь аюулгүй байдлын асуудал биш байсан, учир нь хэн ч эдгээр компьютерийг корпорацийн сүлжээнээс гадуур авч явдаггүй байсан. Гэтэл сүлжээний замтай компанид ажилтан ажиллахад юу болох вэ corp Active Directory-д корпорацийн зөөврийн компьютер аваад орон нутгийн Starbucks руу явах уу? Дараа нь Web Proxy Auto-Discovery (WPAD) протокол болон DNS нэрийг өөрчлөх функц хүчин төгөлдөр болно.
Зөөврийн компьютер дээрх зарим үйлчилгээ дотоод домэйныг үргэлжлүүлэн тогших магадлал өндөр байна corp, гэхдээ үүнийг олохгүй бөгөөд оронд нь нээлттэй интернетээс corp.com домэйнд хүсэлтийг шийдвэрлэх болно.
Практикт энэ нь corp.com-ын эзэмшигч нь тэмдэглэгээг ашиглан корпорацийн орчноос санамсаргүйгээр гарч буй хэдэн зуун мянган компьютерийн хувийн хүсэлтийг идэвхгүй байдлаар таслан зогсоох боломжтой гэсэн үг юм. corp Active Directory дахь таны домэйн.
Америкийн урсгалд WPAD хүсэлт алдагдсан. Мичиганы их сургуулийн 2016 оны судалгаагаар,
Домэйн яагаад зарагдаагүй байна вэ?
2014 онд ICANN-ийн мэргэжилтнүүд нийтэлсэн DNS дахь нэрний зөрчил. Дотоод сүлжээнээс мэдээлэл алдагдсан нь зөвхөн арилжааны компаниуд төдийгүй нууц алба, тагнуулын алба, цэргийн салбар зэрэг төрийн байгууллагуудад заналхийлж байгаа тул судалгааг АНУ-ын Дотоодын аюулгүй байдлын яамнаас санхүүжүүлсэн.
Майк өнгөрсөн жил corp.com-ыг зарахыг хүссэн ч судлаач Жефф Шмидт дээр дурдсан тайланд үндэслэн борлуулалтаа хойшлуулахыг ятгасан. Мөн 375 компьютер өдөр бүр эзэддээ мэдэгдэлгүйгээр corp.com сайттай холбогдохыг оролддог нь судалгаагаар тогтоогджээ. Хүсэлтүүд нь байгууллагын дотоод сүлжээнд нэвтрэх, сүлжээ эсвэл файл хуваалцах оролдлогуудыг агуулж байсан.
Шмидт өөрийн туршилтын хүрээнд JAS Global-тай хамтран Windows LAN файл, хүсэлтийг боловсруулдаг аргыг corp.com дээр дуурайсан. Үүнийг хийснээр тэд мэдээллийн аюулгүй байдлын мэргэжилтнүүдийн хувьд тамын порталыг нээсэн.
Энэ аймшигтай байсан. Бид 15 минутын дараа туршилтыг зогсоож, [олж авсан] бүх өгөгдлийг устгасан. Энэ асуудлаар JAS-д зөвлөгөө өгсөн нэгэн нэрт тестер туршилт нь "нууц мэдээллийн бороо" шиг байсан бөгөөд хэзээ ч ийм зүйл харж байгаагүй гэж тэмдэглэжээ.
[Бид corp.com дээр шуудан хүлээн авах тохиргоо хийсэн] ба нэг цагийн дараа бид 12 сая гаруй имэйл хүлээн авсны дараа туршилтаа зогсоосон. Хэдийгээр и-мэйлүүдийн дийлэнх нь автоматжуулсан байсан ч зарим нь [аюулгүй байдлын] эмзэг байдгийг олж мэдсэн тул бид нэмэлт шинжилгээ хийлгүйгээр бүх өгөгдлийн багцыг устгасан.
Дэлхий даяарх администраторууд олон арван жилийн турш түүхэн дэх хамгийн аюултай ботнетийг өөрийн мэдэлгүй бэлдэж ирсэн гэж Шмидт үзэж байна. Дэлхий даяар ажиллаж байгаа хэдэн зуун мянган бүрэн хүчин чадалтай компьютерууд зөвхөн ботнетийн нэг хэсэг болоод зогсохгүй эзэд болон компанийнхаа нууц мэдээллийг өгөхөд бэлэн байна. Үүний давуу талыг ашиглахын тулд та зөвхөн corp.com-ыг хянах хэрэгтэй. Энэ тохиолдолд нэг удаа корпорацын сүлжээнд холбогдсон, Active Directory нь //corp-ээр тохируулагдсан аливаа машин нь ботнетийн нэг хэсэг болно.
Майкрософт 25 жилийн өмнө энэ асуудлаа орхисон
Хэрэв та MS-ийг corp.com-ийн эргэн тойронд үргэлжилж буй бакканалигийн талаар ямар нэгэн байдлаар мэдээгүй гэж бодож байгаа бол та ноцтой эндүүрч байна. Энэ бол FrontPage '97-ийн бета хувилбарын хэрэглэгчид анхдагч URL хаягаар corp.com-д орсон хуудас юм.
Майк үүнээс үнэхээр залхах үед corp.com хэрэглэгчдийг секс шопын вэб сайт руу чиглүүлж эхлэв. Үүний хариуд тэрээр хэрэглэгчдээс олон мянган ууртай захидал хүлээн авч, Билл Гейтс рүү дахин чиглүүлсэн байна.
Дашрамд хэлэхэд Майк өөрөө сониуч зангаараа шуудангийн сервер байгуулж, corp.com сайтаас нууц захидал хүлээн авчээ. Тэрээр эдгээр асуудлыг компаниудтай холбоо барьж өөрөө шийдэхийг оролдсон боловч тэд нөхцөл байдлыг хэрхэн засахаа мэдэхгүй байв.
Тэр даруй би АНУ-ын Үнэт цаас, биржийн комисст илгээсэн компанийн санхүүгийн тайлангийн урьдчилсан хувилбар, хүний нөөцийн тайлан болон бусад аймшигтай зүйлс зэрэг нууц имэйлүүдийг хүлээн авч эхэлсэн. Би хэсэг хугацаанд корпорацуудтай захидал бичих гэж оролдсон боловч ихэнх нь үүнийг яахаа мэдэхгүй байв. Тэгээд би эцэст нь үүнийг [мэйл сервер] унтраасан.
МС ямар ч идэвхтэй арга хэмжээ аваагүй бөгөөд компани нөхцөл байдлын талаар тайлбар өгөхөөс татгалзаж байна. Тийм ээ, Майкрософт олон жилийн туршид домэйн нэрний мөргөлдөөний асуудлыг хэсэгчлэн шийдвэрлэсэн хэд хэдэн Active Directory шинэчлэлтүүдийг гаргасан боловч тэдгээр нь хэд хэдэн асуудалтай байдаг. Тус компани мөн үйлдвэрлэсэн зөвлөмж дотоод домэйн нэрийг тохируулах, зөрчилдөөнөөс зайлсхийхийн тулд хоёр дахь түвшний домэйн эзэмших зөвлөмж, ихэвчлэн уншдаггүй бусад хичээлүүд.
Гэхдээ хамгийн чухал зүйл бол шинэчлэлтүүд юм. Нэгдүгээрт: тэдгээрийг хэрэгжүүлэхийн тулд та компанийн дотоод сүлжээг бүрэн унтраах хэрэгтэй. Хоёрдугаарт: Ийм шинэчлэлтийн дараа зарим програмууд удаашралтай, буруу ажиллаж эхлэх эсвэл бүрмөсөн зогсох магадлалтай. Байгуулагдсан сүлжээтэй ихэнх компаниуд богино хугацаанд ийм эрсдэлд орохгүй нь ойлгомжтой. Нэмж дурдахад, тэдний олонх нь машиныг дотоод сүлжээнээс гадуур авах үед бүх зүйлийг corp.com руу шилжүүлэхтэй холбоотой аюул заналхийллийн бүрэн цар хүрээг ойлгодоггүй.
Үзэх үед хамгийн их инээдэмд хүрнэ . Тиймээс түүний мэдээллээр corp.com руу илгээсэн зарим хүсэлтүүд Microsoft-ын өөрийн дотоод сүлжээнээс ирдэг.
Тэгээд дараа нь юу болох вэ?
Энэ нөхцөл байдлын шийдэл нь гадаргуу дээр байгаа юм шиг санагдаж, нийтлэлийн эхэнд тайлбарласан: Майкрософт түүнээс Майкийн домэйныг худалдаж аваад алсын шүүгээнд хаа нэгтээ үүрд хориглохыг зөвшөөрнө үү.
Гэхдээ энэ нь тийм ч энгийн зүйл биш юм. Майкрософт хэдэн жилийн өмнө дэлхий даяарх компаниудад өөрийн хортой домэйныг худалдаж авахыг О’Коннорт санал болгосон. Зүгээр л Аварга компани өөрийн сүлжээн дэх ийм нүхийг хаахад ердөө 20 мянган доллар санал болгосон.
Одоо домэйныг 1,7 сая доллараар санал болгож байна.Тэгээд Microsoft эцсийн мөчид үүнийг худалдаж авахаар шийдсэн ч тэдэнд цаг гарах болов уу?
Зөвхөн бүртгэлтэй хэрэглэгчид санал асуулгад оролцох боломжтой. , гуйя.
Хэрэв та О'Коннорын оронд байсан бол юу хийх байсан бэ?
-
59,6%Майкрософт домайныг 1,7 сая доллараар худалдаж авах эсвэл өөр хэн нэгэнд худалдаж авахыг зөвшөөрнө үү.501
-
3,4%Би үүнийг 20 мянган доллараар зарах болно, би ийм домэйныг үл мэдэгдэх хүнд задруулсан хүн гэдгээрээ түүхэнд үлдэхийг хүсэхгүй байна.29
-
3,3%Microsoft зөв шийдвэр гаргаж чадахгүй бол би өөрөө үүрд булшлах болно.28
-
21,2%Би хакеруудад Microsoft-ын нэр хүндийг корпорацын орчинд сүйрүүлэх нөхцөлтэйгээр домэйныг тусгайлан зарах болно. Тэд 1997 оноос хойш асуудлыг мэддэг болсон!178
-
12,4%Би өөрөө ботнет + мэйл сервер тавиад дэлхийн хувь заяаг шийдэж эхэлнэ.104
840 хэрэглэгч санал өгсөн. 131 хэрэглэгч түдгэлзсэн.
Эх сурвалж: www.habr.com