Шема цурења података преко Веб Проки Ауто-Дисцовери (ВПАД) због колизије имена (у овом случају колизија интерног домена са именом једног од нових гТЛД-ова, али је суштина иста). Извор: , КСНУМКС
Мике О'Цоннор, један од најстаријих инвеститора у називе домена, најопаснији и најконтроверзнији лот у својој колекцији: домен цорп.цом за 1,7 милиона долара 1994. О'Конор је купио много једноставних имена домена, као што су грилл.цом, плаце.цом, пуб.цом и други. Међу њима је био цорп.цом, који је Мајк држао 26 година. Инвеститор је већ имао 70 година и одлучио је да уновчи своја стара улагања.
Проблем је у томе што је цорп.цом потенцијално опасан за најмање 375 корпоративних рачунара због непажљиве конфигурације Ацтиве Дирецтори-а током изградње корпоративних интранета раних 000-их заснованих на Виндовс Сервер 2000, када је интерни роот једноставно наведен као „цорп .” Све до раних 2010-их ово није био проблем, али са порастом лаптопова у пословним окружењима, све више запослених почело је да премешта своје радне рачунаре ван корпоративне мреже. Карактеристике имплементације Ацтиве Дирецтори доводе до чињенице да чак и без директног захтева корисника //цорп, бројне апликације (на пример, пошта) саме куцају на познату адресу. Али у случају екстерне везе са мрежом у конвенционалном кафићу иза угла, то доводи до тока података и захтева који се слијевају на цорп.цом.
Сада се О'Конор заиста нада да ће сам Мицрософт купити домен и, у најбољим традицијама Гугла, иструлити га негде мрачно и недоступно аутсајдерима, проблем са тако фундаменталном рањивошћу Виндовс мрежа ће бити решен.
Активни директоријум и колизија имена
Корпоративне мреже које користе Виндовс користе услугу директоријума Ацтиве Дирецтори. Омогућава администраторима да користе групне политике како би осигурали једнообразну конфигурацију радног окружења корисника, имплементирали софтвер на више рачунара путем групних политика, извршили ауторизацију итд.
Ацтиве Дирецтори је интегрисан са ДНС-ом и ради на врху ТЦП/ИП-а. Да бисте тражили хостове унутар мреже, протокол за аутоматско откривање веб проксија (ВАПД) и функцију (уграђен у Виндовс ДНС клијент). Ова функција олакшава проналажење других рачунара или сервера без потребе да наведете потпуно квалификовано име домена.
На пример, ако компанија управља интерном мрежом под називом internalnetwork.example.com, а запослени жели да приступи дељеном диску под називом drive1, нема потребе за уносом drive1.internalnetwork.example.com у Екплореру, само укуцајте \дриве1 - и Виндовс ДНС клијент ће довршити само име.
У ранијим верзијама Ацтиве Дирецтори-а—на пример, Виндовс 2000 Сервер—подразумевана вредност за корпоративни домен другог нивоа била је corp. И многе компаније су задржале подразумевану вредност за свој интерни домен. Што је још горе, многи су почели да граде огромне мреже на врху ове погрешне поставке.
У време десктоп рачунара, ово није представљало велики безбедносни проблем јер нико није изнео ове рачунаре ван корпоративне мреже. Али шта се дешава када запослени ради у компанији са мрежном путањом corp у Ацтиве Дирецтори узима корпоративни лаптоп и одлази у локални Старбуцкс? Тада ступају на снагу протокол за аутоматско откривање веб проксија (ВПАД) и функција деволуције ДНС имена.
Постоји велика вероватноћа да ће неке услуге на лаптопу наставити да куцају на интерни домен corp, али га неће пронаћи, већ ће уместо тога захтеви бити решени на домен цорп.цом са отвореног Интернета.
У пракси, то значи да власник цорп.цом може пасивно пресрести приватне захтеве са стотина хиљада рачунара који случајно напусте корпоративно окружење користећи ознаку corp за ваш домен у активном директоријуму.
Цурење ВПАД захтева у америчком саобраћају. Према студији Универзитета у Мичигену из 2016.
Зашто домен још није продат?
ИЦАНН-ови стручњаци су 2014. објавили колизије имена у ДНС-у. Студију је делимично финансирало Министарство за унутрашњу безбедност САД, јер цурење информација из интерних мрежа угрожава не само комерцијалне компаније, већ и владине организације, укључујући Тајну службу, обавештајне агенције и војне гране.
Мајк је желео да прода цорп.цом прошле године, али га је истраживач Џеф Шмит убедио да одложи продају на основу горе поменутог извештаја. Студија је такође открила да 375 рачунара покушава да контактира цорп.цом сваког дана без знања својих власника. Захтеви су садржали покушаје пријављивања на корпоративне интранете, приступне мреже или дељене датотеке.
Као део сопственог експеримента, Шмит је, заједно са ЈАС Глобал, на цорп.цом имитирао начин на који Виндовс ЛАН обрађује датотеке и захтеве. Тиме су, у ствари, отворили портал у пакао за сваког стручњака за безбедност информација:
Било је страшно. Зауставили смо експеримент након 15 минута и уништили [све добијене] податке. Познати тестер који је саветовао ЈАС по овом питању приметио је да је експеримент био као "киша поверљивих информација" и да никада није видео ништа слично.
[Поставили смо пријем поште на цорп.цом] и након отприлике сат времена примили смо преко 12 милиона е-порука, након чега смо прекинули експеримент. Иако је велика већина мејлова била аутоматизована, открили смо да су неки [безбедносно] осетљиви и стога смо уништили цео скуп података без даље анализе.
Шмит сматра да администратори широм света деценијама несвесно припремају најопаснији ботнет у историји. Стотине хиљада пуноправних рачунара широм света спремни су не само да постану део ботнета, већ и да дају поверљиве податке о својим власницима и компанијама. Све што треба да урадите да бисте то искористили је цонтрол цорп.цом. У овом случају, свака машина која је једном повезана на корпоративну мрежу, чији је Ацтиве Дирецтори конфигурисан преко //цорп, постаје део ботнета.
Мицрософт је одустао од овог проблема пре 25 година
Ако мислите да МС на неки начин није био свестан текућих ваканалија око цорп.цом, онда сте озбиљно грешили. Ово је страница на коју су дошли корисници бета верзије ФронтПаге '97, са цорп.цом наведен као подразумевани УРЛ:
Када се Мајку ово заиста досадило, цорп.цом је почео да преусмерава кориснике на веб локацију секс схоп-а. Као одговор, добио је хиљаде љутитих писама од корисника, које је преко копије преусмерио на Билла Гатеса.
Иначе, сам Мајк је из радозналости поставио сервер за пошту и примао поверљива писма на цорп.цом. Покушао је сам да реши ове проблеме контактирајући компаније, али оне једноставно нису знале како да исправе ситуацију:
Одмах сам почео да добијам поверљиве имејлове, укључујући прелиминарне верзије корпоративних финансијских извештаја Комисији за хартије од вредности и берзе САД, извештаје о људским ресурсима и друге страшне ствари. Неко време сам покушавао да се дописујем са корпорацијама, али већина њих није знала шта да ради са тим. Тако да сам га коначно искључио [маил сервер].
МС није предузела никакву активну акцију, а компанија одбија да коментарише ситуацију. Да, Мицрософт је током година објавио неколико ажурирања Ацтиве Дирецтори-а која делимично решавају проблем колизије имена домена, али они имају низ проблема. Компанија је такође производила препоруке о подешавању интерних имена домена, препорукама о поседовању домена другог нивоа да би се избегли сукоби и другим туторијалима који се обично не читају.
Али најважнија ствар лежи у ажурирањима. Прво: да бисте их применили, потребно је да потпуно затворите интранет компаније. Друго: након таквих ажурирања, неке апликације могу почети да раде спорије, нетачно или потпуно престају да раде. Јасно је да већина компанија са изграђеном корпоративном мрежом неће преузети такве ризике у кратком року. Поред тога, многи од њих чак и не схватају пуну скалу претње која је препуна преусмеравања свега на цорп.цом када се машина изнесе ван интерне мреже.
Максимална иронија се постиже када гледате . Дакле, према његовим подацима, неки захтеви за цорп.цом долазе са Мицрософт-овог сопственог интранета.
И шта ће бити следеће?
Чини се да решење ове ситуације лежи на површини и описано је на почетку чланка: нека Мицрософт купи Мајков домен од њега и заувек га забрани негде у удаљеном ормару.
Али то није тако једноставно. Мицрософт је пре неколико година понудио О'Конору да откупи његов токсични домен за компаније широм света. То је само Гигант је понудио само 20 хиљада долара за затварање такве рупе у сопственим мрежама.
Сада се домен нуди за 1,7 милиона долара, а чак и ако Мајкрософт одлучи да га купи у последњем тренутку, да ли ће имати времена?
Само регистровани корисници могу учествовати у анкети. , Добродошао си.
Шта бисте урадили да сте на месту О'Конора?
-
100%Нека Мицрософт купи домен за 1,7 милиона долара или нека га купи неко други.501
-
100%Продао бих га за 20 хиљада долара; не желим да уђем у историју као особа која је процурела такав домен неком непознатом.29
-
100%Заувек бих га закопао ако Мајкрософт не може да донесе исправну одлуку.28
-
100%Конкретно бих продао домен хакерима под условом да униште репутацију Мајкрософта у корпоративном окружењу. Они знају за проблем од 1997. године!178
-
100%Сам бих поставио ботнет + сервер за пошту и почео да одлучујем о судбини света.104
Гласало је 840 корисника. 131 корисник је био уздржан.
Извор: ввв.хабр.цом