Skema e rrjedhjes së të dhënave përmes Web Proxy Auto-Discovery (WPAD) për shkak të përplasjes së emrit (në këtë rast, një përplasje e një domeni të brendshëm me emrin e një prej gTLD-ve të reja, por thelbi është i njëjtë). Burimi: , 2016
Mike O'Connor, një nga investitorët më të vjetër në emrat e domeneve, loti më i rrezikshëm dhe më i diskutueshëm në koleksionin e tij: domeni corp.com për 1,7 milion dollarë.Në vitin 1994, O'Connor bleu shumë emra të thjeshtë domainesh, si grill.com, place.com, pub.com dhe të tjerë. Midis tyre ishte corp.com, të cilin Majk e mbajti për 26 vjet. Investitori ishte tashmë 70 vjeç dhe vendosi të fitonte para nga investimet e tij të vjetra.
Problemi është se Corp.com është potencialisht i rrezikshëm për të paktën 375 kompjuterë të korporatave për shkak të konfigurimit të pakujdesshëm të Active Directory gjatë ndërtimit të intraneteve të korporatave në fillim të viteve 000 bazuar në Windows Server 2000, kur rrënja e brendshme thjesht ishte specifikuar si "Corp .” Deri në fillim të viteve 2010, kjo nuk ishte çështje, por me rritjen e laptopëve në mjediset e biznesit, gjithnjë e më shumë punonjës filluan të lëvizin kompjuterët e tyre të punës jashtë rrjetit të korporatave. Karakteristikat e zbatimit të Active Directory çojnë në faktin se edhe pa një kërkesë të drejtpërdrejtë të përdoruesit në // Corp, një numër aplikimesh (për shembull, postë) trokasin në një adresë të njohur vetë. Por në rastin e një lidhjeje të jashtme me rrjetin në një kafene konvencionale rreth qoshes, kjo çon në një rrjedhë të të dhënave dhe kërkesave të derdhura mbi corp.com.
Tani O'Connor me të vërtetë shpreson që vetë Microsoft do të blejë domenin dhe, sipas traditave më të mira të Google, do ta kalb atë diku të errët dhe të paarritshëm për të huajt, problemi me një dobësi kaq themelore të rrjeteve Windows do të zgjidhet.
Aktive Directory dhe përplasja e emrit
Rrjetet e korporatave që përdorin Windows përdorin shërbimin e drejtorisë Active Directory. Ai lejon administratorët të përdorin politikat e grupit për të siguruar konfigurimin e njëtrajtshëm të mjedisit të punës së përdoruesit, të vendosin softuer në shumë kompjuterë përmes politikave në grup, të kryejnë autorizim, etj.
Active Directory është i integruar me DNS dhe shkon në krye të TCP/IP. Për të kërkuar për hostet brenda rrjetit, protokolli i zbulimit të automjetit të proxy (WAPD) të prokurës në internet dhe funksionit (ndërtuar në Windows DNS Client). Kjo veçori e bën të lehtë gjetjen e kompjuterëve ose serverëve të tjerë pa pasur nevojë të jepni një emër domaini plotësisht të kualifikuar.
Për shembull, nëse një kompani operon një rrjet të brendshëm të quajtur internalnetwork.example.com, dhe punonjësi dëshiron të hyjë në një disk të përbashkët të quajtur drive1, nuk ka nevojë të hyni drive1.internalnetwork.example.com në Explorer, thjesht shkruani \drive1 - dhe klienti DNS i Windows do të plotësojë vetë emrin.
Në versionet e mëparshme të Active Directory - për shembull, serveri i Windows 2000 - parazgjedhja për fushën e korporatës së nivelit të dytë ishte corp. Dhe shumë kompani kanë mbajtur parazgjedhjen për domenin e tyre të brendshëm. Akoma më keq, shumë prej tyre kanë filluar të ndërtojnë rrjete të gjera në krye të këtij konfigurimi me të meta.
Në ditët e kompjuterëve desktop, kjo nuk ishte shumë çështje sigurie, sepse askush nuk i nxori këta kompjuterë jashtë rrjetit të korporatës. Por çfarë ndodh kur një punonjës punon në një kompani me një rrugë rrjeti corp në Active Directory merr një laptop të korporatës dhe shkon te Starbucks-i lokal? Pastaj hyjnë në fuqi protokolli Web Proxy Auto-Discovery (WPAD) dhe funksioni i transferimit të emrit DNS.
Ekziston një probabilitet i lartë që disa shërbime në laptop do të vazhdojnë të trokasin në domenin e brendshëm corp, por nuk do ta gjejnë atë, dhe në vend të kësaj kërkesat do të zgjidhen në fushën e Corp.com nga interneti i hapur.
Në praktikë, kjo do të thotë që pronari i Corp.com mund të përgjojë në mënyrë pasive kërkesat private nga qindra mijëra kompjuterë që aksidentalisht largohen nga mjedisi i korporatës duke përdorur përcaktimin corp për domenin tuaj në Active Directory.
Rrjedhja e kërkesave WPAD në trafikun amerikan. Nga një studim i Universitetit të Miçiganit të vitit 2016,
Pse domaini nuk është shitur ende?
Në vitin 2014, ekspertët e ICANN publikuan përplasjet e emrave në DNS. Studimi u financua pjesërisht nga Departamenti Amerikan i Sigurisë së Brendshme sepse rrjedhjet e informacionit nga rrjetet e brendshme kërcënojnë jo vetëm kompanitë tregtare, por edhe organizatat qeveritare, përfshirë shërbimin sekret, agjensitë e inteligjencës dhe degët ushtarake.
Majk dëshironte të shiste corp.com vitin e kaluar, por studiuesi Jeff Schmidt e bindi atë të vononte shitjen bazuar në raportin e lartpërmendur. Studimi zbuloi gjithashtu se 375 kompjuterë përpiqen të kontaktojnë me corp.com çdo ditë pa dijeninë e pronarëve të tyre. Kërkesat përmbanin përpjekje për t'u identifikuar në intranetet e korporatës, në rrjetet e aksesit ose në ndarjen e skedarëve.
Si pjesë e eksperimentit të tij, Schmidt, së bashku me JAS Global, imituan në corp.com mënyrën se si Windows LAN përpunon skedarët dhe kërkesat. Duke bërë këtë, ata, në fakt, hapën një portal në ferr për çdo specialist të sigurisë së informacionit:
Ishte e tmerrshme. Ne e ndaluam eksperimentin pas 15 minutash dhe shkatërruam [të gjitha të dhënat e marra]. Një testues i mirënjohur që këshilloi Jas për këtë çështje vuri në dukje se eksperimenti ishte si "një shi i informacionit konfidencial" dhe se ai kurrë nuk kishte parë diçka të tillë.
[Ne krijuam pritjen e postës në corp.com] dhe pas rreth një ore morëm mbi 12 milionë email, pas së cilës ndaluam eksperimentin. Megjithëse pjesa dërrmuese e postave elektronike ishin të automatizuara, ne zbuluam se disa ishin [siguri] të ndjeshme dhe për këtë arsye ne shkatërruam të gjithë të dhënat e vendosura pa analiza të mëtejshme.
Schmidt beson se administratorët në mbarë botën kanë qenë duke përgatitur pa vetëdije botnet më të rrezikshëm në histori për dekada. Qindra mijëra kompjuterë funksionalë të plotë në mbarë botën janë gati jo vetëm të bëhen pjesë e një botnet, por edhe të ofrojnë të dhëna konfidenciale për pronarët dhe kompanitë e tyre. E tëra çfarë ju duhet të bëni për të përfituar nga ajo është Control Corp.com. Në këtë rast, çdo makinë që është lidhur dikur me rrjetin e korporatës, Active Directory e së cilës është konfiguruar nëpërmjet //corp, bëhet pjesë e botnet-it.
Microsoft hoqi dorë nga problemi 25 vjet më parë
Nëse mendoni se MS ishte disi në dijeni të Bacchanalia në vazhdim rreth Corp.com, atëherë gaboheni seriozisht. Kjo është faqja në të cilën arritën përdoruesit e versionit beta të FrontPage ’97, me corp.com të listuar si URL e paracaktuar:
Kur Majk u lodh shumë nga kjo, corp.com filloi t'i ridrejtonte përdoruesit në faqen e internetit të dyqanit të seksit. Si përgjigje, ai mori mijëra letra të zemëruara nga përdoruesit, të cilat i ridrejtoi përmes kopjes te Bill Gates.
Nga rruga, vetë Majk, për kuriozitet, krijoi një server poste dhe mori letra konfidenciale në corp.com. Ai u përpoq t'i zgjidhte vetë këto probleme duke kontaktuar kompanitë, por ata thjesht nuk dinin si ta korrigjonin situatën:
Menjëherë, fillova të marr emaile konfidenciale, duke përfshirë versione paraprake të raporteve financiare të korporatave në Komisionin e Letrave me Vlerë dhe Shkëmbim të SHBA-së, raporte të burimeve njerëzore dhe gjëra të tjera të frikshme. Unë u përpoqa të korrespondoj me korporatat për një kohë, por shumica e tyre nuk dinin se çfarë të bënin me të. Kështu që më në fund thjesht e fika [serverin e postës].
MS nuk ndërmori asnjë veprim aktiv dhe kompania refuzon të komentojë situatën. Po, Microsoft ka lëshuar disa azhurnime të Active Directory ndër vite që adresojnë pjesërisht problemin e përplasjes së emrit të domain, por ato kanë një numër problemesh. Kompania prodhoi gjithashtu rekomandimet mbi vendosjen e emrave të brendshëm të domeneve, rekomandimet për zotërimin e një domeni të nivelit të dytë për të shmangur konfliktet dhe mësime të tjera që zakonisht nuk lexohen.
Por gjëja më e rëndësishme qëndron në përditësimet. Së pari: për t'i zbatuar ato, duhet të hiqni plotësisht intranetin e kompanisë. Së dyti: pas përditësimeve të tilla, disa aplikacione mund të fillojnë të punojnë më ngadalë, gabimisht ose të ndalojnë së punuari fare. Është e qartë se shumica e kompanive me një rrjet korporativ të ndërtuar nuk do të ndërmarrin rreziqe të tilla në afat të shkurtër. Për më tepër, shumë prej tyre nuk e kuptojnë as shkallën e plotë të kërcënimit që është i mbushur me ridrejtimin e gjithçkaje në Corp.com kur makina merret jashtë rrjetit të brendshëm.
Ironia maksimale arrihet kur shikoni . Pra, sipas të dhënave të tij, disa kërkesa për corp.com vijnë nga vetë intraneti i Microsoft.
Dhe çfarë do të ndodhë më pas?
Duket se zgjidhja për këtë situatë qëndron në sipërfaqe dhe u përshkrua në fillim të artikullit: lejojeni Microsoft të blejë domenin e Mike prej tij dhe ta ndalojë atë diku në një dollap të largët përgjithmonë.
Por nuk është kaq e thjeshtë. Microsoft i ofroi O'Connor për të blerë domenin e tij toksik për kompanitë në mbarë botën disa vite më parë. Kjo është vetëm Gjigandi ofroi vetëm 20 mijë dollarë për mbylljen e një vrime të tillë në rrjetet e veta.
Tani domeni ofrohet për 1,7 milion dollarë. Dhe edhe nëse Microsoft vendos ta blejë atë në momentin e fundit, a do të kenë kohë?
Vetëm përdoruesit e regjistruar mund të marrin pjesë në anketë. , te lutem
Çfarë do të bënit nëse do të ishit O'Connor?
-
59,6%Lëreni Microsoft-in të blejë domenin për 1,7 milionë dollarë ose le ta blejë dikë tjetër.501
-
3,4%Do ta shisja për 20 mijë dollarë; nuk dua të mbetem në histori si personi që i ka nxjerrë një domen të tillë dikujt të panjohur.29
-
3,3%Unë do ta varrosja vetë përgjithmonë nëse Microsoft nuk mund të marrë vendimin e duhur.28
-
21,2%Unë në mënyrë specifike do t'ua shisja domenin hakerëve me kusht që ata të shkatërrojnë reputacionin e Microsoft në mjedisin e korporatës. Ata e kanë ditur problemin që nga viti 1997!178
-
12,4%Unë do të krijoja vetë një server botnet + mail dhe do të filloja të vendosja për fatin e botës.104
840 përdorues kanë votuar. 131 përdorues abstenoi.
Burimi: www.habr.com