Schemat wycieku danych poprzez automatyczne wykrywanie serwera proxy sieci Web (WPAD) w wyniku kolizji nazw (w tym przypadku kolizji domeny wewnętrznej z nazwą jednej z nowych gTLD, ale istota jest ta sama). Źródło: , 2016
Mike O'Connor, jeden z najstarszych inwestorów w nazwy domen, najbardziej niebezpieczna i kontrowersyjna partia w swojej kolekcji: domena corp.com za 1,7 miliona dolarów W 1994 roku O'Connor kupił wiele prostych nazw domen, takich jak grill.com, place.com, pub.com i inne. Wśród nich była corp.com, którą Mike prowadził przez 26 lat. Inwestor miał już 70 lat i postanowił spieniężyć swoje stare inwestycje.
Problem polega na tym, że corp.com jest potencjalnie niebezpieczna dla co najmniej 375 000 komputerów korporacyjnych ze względu na nieostrożną konfigurację usługi Active Directory podczas tworzenia korporacyjnych intranetów na początku XXI wieku w oparciu o system Windows Server 2000, kiedy wewnętrzny katalog główny został po prostu określony jako „korporacyjny .” Do początku 2010 roku nie stanowiło to problemu, ale wraz ze wzrostem liczby laptopów w środowiskach biznesowych coraz więcej pracowników zaczęło przenosić swoje komputery służbowe poza sieć firmową. Cechy implementacji Active Directory prowadzą do tego, że nawet bez bezpośredniego żądania użytkownika do //corp, wiele aplikacji (na przykład poczta) samodzielnie puka do znanego adresu. Ale w przypadku zewnętrznego połączenia z siecią w zwykłej kawiarni za rogiem prowadzi to do strumienia danych i żądań napływających do corp.com.
Teraz O'Connor naprawdę ma nadzieję, że sam Microsoft kupi domenę i zgodnie z najlepszymi tradycjami Google, zgnije ją w ciemnym i niedostępnym dla osób postronnych, problem z tak fundamentalną podatnością sieci Windows zostanie rozwiązany.
Active Directory i kolizja nazw
Sieci korporacyjne z systemem Windows korzystają z usługi katalogowej Active Directory. Umożliwia administratorom korzystanie z zasad grupowych w celu zapewnienia jednolitej konfiguracji środowiska pracy użytkownika, wdrażania oprogramowania na wielu komputerach za pomocą zasad grupowych, przeprowadzania autoryzacji itp.
Active Directory jest zintegrowany z DNS i działa w oparciu o protokół TCP/IP. Aby wyszukiwać hosty w sieci, protokół automatycznego wykrywania serwera proxy sieci Web (WAPD) i funkcja (wbudowany w klienta DNS systemu Windows). Ta funkcja ułatwia znalezienie innych komputerów lub serwerów bez konieczności podawania w pełni kwalifikowanej nazwy domeny.
Na przykład, jeśli firma obsługuje sieć wewnętrzną o nazwie internalnetwork.example.com, a pracownik chce uzyskać dostęp do dysku współdzielonego o nazwie drive1, nie trzeba wchodzić drive1.internalnetwork.example.com w Eksploratorze wpisz \drive1 - a klient DNS systemu Windows sam uzupełni nazwę.
We wcześniejszych wersjach usługi Active Directory — na przykład w systemie Windows 2000 Server — domyślną domeną korporacyjną drugiego poziomu było corp. Wiele firm zachowało domyślną domenę wewnętrzną. Co gorsza, wiele osób zaczęło budować rozległe sieci na bazie tej wadliwej konfiguracji.
W czasach komputerów stacjonarnych nie stanowiło to większego problemu bezpieczeństwa, ponieważ nikt nie przenosił tych komputerów poza sieć korporacyjną. Ale co się dzieje, gdy pracownik pracuje w firmie ze ścieżką sieciową corp w Active Directory bierze firmowy laptop i idzie do lokalnego Starbucksa? Następnie zaczyna obowiązywać protokół Web Proxy Auto-Discovery (WPAD) i funkcja dewolucji nazw DNS.
Istnieje duże prawdopodobieństwo, że niektóre usługi na laptopie będą nadal pukać do domeny wewnętrznej corp, ale go nie znajdzie, a zamiast tego żądania będą kierowane do domeny corp.com z otwartego Internetu.
W praktyce oznacza to, że właściciel corp.com może pasywnie przechwytywać prywatne żądania z setek tysięcy komputerów, które przypadkowo opuszczają środowisko korporacyjne, posługując się oznaczeniem corp dla Twojej domeny w Active Directory.
Wyciek żądań WPAD w ruchu amerykańskim. Z badania przeprowadzonego na Uniwersytecie Michigan w 2016 r.
Dlaczego domena nie została jeszcze sprzedana?
W 2014 r. eksperci ICANN opublikowali kolizje nazw w DNS. Badanie zostało częściowo sfinansowane przez Departament Bezpieczeństwa Wewnętrznego USA, ponieważ wycieki informacji z sieci wewnętrznych zagrażają nie tylko firmom komercyjnym, ale także organizacjom rządowym, w tym Secret Service, agencjom wywiadowczym i oddziałom wojskowym.
Mike chciał sprzedać corp.com w zeszłym roku, ale badacz Jeff Schmidt przekonał go do opóźnienia sprzedaży w oparciu o wspomniany raport. Badanie wykazało również, że 375 000 komputerów codziennie próbuje skontaktować się z corp.com bez wiedzy swoich właścicieli. Żądania zawierały próby zalogowania się do korporacyjnych intranetów, sieci dostępowych lub udostępnień plików.
W ramach własnego eksperymentu Schmidt wraz z JAS Global naśladował na corp.com sposób, w jaki Windows LAN przetwarza pliki i żądania. Robiąc to, tak naprawdę otworzyli portal do piekła dla każdego specjalisty ds. bezpieczeństwa informacji:
To było straszne. Zatrzymaliśmy eksperyment po 15 minutach i zniszczyliśmy [wszystkie uzyskane] dane. Znany tester, który doradzał JAS w tej kwestii, zauważył, że eksperyment był jak „deszcz poufnych informacji” i że nigdy czegoś takiego nie widział.
[Ustawiliśmy odbiór poczty na corp.com] i po około godzinie otrzymaliśmy ponad 12 milionów e-maili, po czym przerwaliśmy eksperyment. Chociaż zdecydowana większość e-maili była zautomatyzowana, odkryliśmy, że niektóre miały charakter wrażliwy [na bezpieczeństwo] i dlatego zniszczyliśmy cały zestaw danych bez dalszej analizy.
Schmidt uważa, że administratorzy na całym świecie od dziesięcioleci nieświadomie przygotowują najniebezpieczniejszy botnet w historii. Setki tysięcy pełnoprawnie działających komputerów na całym świecie jest gotowych nie tylko stać się częścią botnetu, ale także udostępniać poufne dane o swoich właścicielach i firmach. Wszystko, co musisz zrobić, aby z tego skorzystać, to control corp.com. W takim przypadku każda maszyna podłączona do sieci firmowej, której Active Directory skonfigurowano za pośrednictwem //corp, staje się częścią botnetu.
Microsoft zrezygnował z tego problemu 25 lat temu
Jeśli myślisz, że MS w jakiś sposób nie było świadome bachanaliów toczących się wokół corp.com, to poważnie się mylisz. To jest strona, na którą trafili użytkownicy wersji beta programu FrontPage '97, z domyślnym adresem URL corp.com:
Kiedy Mike'owi naprawdę się to znudziło, corp.com zaczął przekierowywać użytkowników na stronę sklepu erotycznego. W odpowiedzi otrzymał tysiące gniewnych listów od użytkowników, które przekierował pocztą do Billa Gatesa.
Nawiasem mówiąc, sam Mike z ciekawości założył serwer pocztowy i otrzymywał poufne listy na corp.com. Próbował sam rozwiązać te problemy, kontaktując się z firmami, ale one po prostu nie wiedziały, jak poprawić sytuację:
Natychmiast zacząłem otrzymywać poufne e-maile zawierające wstępne wersje korporacyjnych raportów finansowych dla amerykańskiej Komisji Papierów Wartościowych i Giełd, raporty dotyczące zasobów ludzkich i inne przerażające rzeczy. Przez jakiś czas próbowałem korespondować z korporacjami, ale większość z nich nie wiedziała, co z tym zrobić. Więc w końcu po prostu go wyłączyłem [serwer pocztowy].
MS nie podjęło żadnych aktywnych działań, a firma nie chce komentować sytuacji. Tak, firma Microsoft wydała na przestrzeni lat kilka aktualizacji usługi Active Directory, które częściowo rozwiązują problem kolizji nazw domen, ale powodują one wiele problemów. Firma również produkowała zalecenia na temat konfigurowania wewnętrznych nazw domen, zalecenia dotyczące posiadania domeny drugiego poziomu w celu uniknięcia konfliktów i inne tutoriale, które zwykle nie są czytane.
Ale najważniejsze są aktualizacje. Po pierwsze: aby je zastosować, trzeba całkowicie odłożyć firmowy intranet. Po drugie: po takich aktualizacjach niektóre aplikacje mogą zacząć działać wolniej, niepoprawnie lub całkowicie przestać działać. Oczywiste jest, że większość firm posiadających rozbudowaną sieć korporacyjną nie podejmie takiego ryzyka w krótkim okresie. Ponadto wielu z nich nawet nie zdaje sobie sprawy z pełnej skali zagrożenia, jakie niesie ze sobą przekierowanie wszystkiego na corp.com, gdy maszyna zostanie wyjęta poza sieć wewnętrzną.
Maksymalna ironia jest osiągnięta podczas oglądania . Zatem według jego danych niektóre żądania kierowane do witryny corp.com pochodzą z intranetu firmy Microsoft.
A co będzie dalej?
Wydawać by się mogło, że rozwiązanie tej sytuacji leży na pozór i zostało opisane na początku artykułu: niech Microsoft kupi od niego domenę Mike'a i zbanuje go gdzieś w odległej szafie na zawsze.
Ale to nie jest takie proste. Kilka lat temu Microsoft zaproponował O'Connorowi wykupienie jego toksycznej domeny dla firm na całym świecie. To jest tylko Gigant za załatanie takiej dziury we własnych sieciach zaoferował zaledwie 20 tys. dolarów.
Teraz domena jest oferowana za 1,7 mln dolarów i nawet jeśli Microsoft zdecyduje się ją kupić w ostatniej chwili, czy zdąży?
W ankiecie mogą brać udział tylko zarejestrowani użytkownicy. , Proszę.
Co byś zrobił, gdybyś był O'Connorem?
-
59,6%Pozwól Microsoftowi kupić domenę za 1,7 miliona dolarów lub pozwól kupić ją komuś innemu.501
-
3,4%Sprzedałbym ją za 20 tys. dolarów, nie chcę przejść do historii jako osoba, która udostępniła taką domenę komuś nieznanemu29.
-
3,3%Sam pogrzebałbym to na zawsze, gdyby Microsoft nie mógł podjąć właściwej decyzji.28
-
21,2%W szczególności sprzedałbym domenę hakerom pod warunkiem, że zniszczą reputację Microsoftu w środowisku korporacyjnym. Wiedzą o problemie od 1997 roku!178
-
12,4%Sam założyłbym botnet + serwer pocztowy i zacząłbym decydować o losach świata.104
Głosowało 840 użytkowników. 131 użytkownik wstrzymał się od głosu.
Źródło: www.habr.com