แผนการรั่วไหลของข้อมูลผ่าน Web Proxy Auto-Discovery (WPAD) เนื่องจากการขัดแย้งกันของชื่อ (ในกรณีนี้คือการชนกันของโดเมนภายในที่มีชื่อของหนึ่งใน gTLD ใหม่ แต่สาระสำคัญจะเหมือนกัน) แหล่งที่มา:
Mike O'Connor หนึ่งในนักลงทุนที่เก่าแก่ที่สุดในด้านชื่อโดเมน
ปัญหาคือ corp.com อาจเป็นอันตรายต่อคอมพิวเตอร์องค์กรอย่างน้อย 375 เครื่องเนื่องจากการกำหนดค่า Active Directory อย่างไม่ระมัดระวังในระหว่างการสร้างอินทราเน็ตขององค์กรในช่วงต้นทศวรรษ 000 ที่ใช้ Windows Server 2000 เมื่อมีการระบุรูทภายในเป็น "corp" ” จนถึงต้นปี 2010 นี่ไม่ใช่ปัญหา แต่ด้วยการเพิ่มขึ้นของแล็ปท็อปในสภาพแวดล้อมทางธุรกิจ พนักงานจำนวนมากขึ้นเรื่อยๆ เริ่มย้ายคอมพิวเตอร์ที่ทำงานของตนไปนอกเครือข่ายองค์กร คุณลักษณะของการใช้งาน Active Directory นำไปสู่ความจริงที่ว่าแม้ว่าจะไม่มีการร้องขอจากผู้ใช้โดยตรงไปยัง //corp แต่แอปพลิเคชันจำนวนหนึ่ง (เช่นเมล) ก็เคาะที่อยู่ที่คุ้นเคยด้วยตัวเอง แต่ในกรณีของการเชื่อมต่อภายนอกกับเครือข่ายในร้านกาแฟทั่วไปใกล้ ๆ สิ่งนี้จะนำไปสู่การสตรีมข้อมูลและคำขอที่หลั่งไหลเข้ามา corp.คอม.
ตอนนี้โอคอนเนอร์หวังเป็นอย่างยิ่งว่า Microsoft เองจะซื้อโดเมนและตามประเพณีที่ดีที่สุดของ Google จะทำให้มันเน่าเสียในที่มืดและไม่สามารถเข้าถึงได้โดยบุคคลภายนอกปัญหาเกี่ยวกับช่องโหว่พื้นฐานของเครือข่าย Windows จะได้รับการแก้ไข
Active Directory และการขัดแย้งกันของชื่อ
เครือข่ายองค์กรที่ใช้ Windows ใช้บริการไดเรกทอรี Active Directory ช่วยให้ผู้ดูแลระบบสามารถใช้นโยบายกลุ่มเพื่อให้แน่ใจว่ามีการกำหนดค่าสภาพแวดล้อมการทำงานของผู้ใช้ที่เหมือนกัน ปรับใช้ซอฟต์แวร์บนคอมพิวเตอร์หลายเครื่องผ่านนโยบายกลุ่ม ดำเนินการอนุญาต ฯลฯ
Active Directory ถูกรวมเข้ากับ DNS และทำงานบน TCP/IP เพื่อค้นหาโฮสต์ภายในเครือข่าย โปรโตคอล Web Proxy Auto-Discovery (WAPD) และฟังก์ชัน
ตัวอย่างเช่น หากบริษัทดำเนินการเครือข่ายภายในชื่อ internalnetwork.example.com
และพนักงานต้องการเข้าถึงไดรฟ์ที่แชร์ที่เรียกว่า drive1
ไม่จำเป็นต้องเข้า drive1.internalnetwork.example.com
ใน Explorer เพียงพิมพ์ \drive1 - และไคลเอนต์ Windows DNS จะทำชื่อให้สมบูรณ์
ใน Active Directory เวอร์ชันก่อนหน้า เช่น Windows 2000 Server ค่าเริ่มต้นสำหรับโดเมนองค์กรระดับที่สองคือ corp
. และหลายบริษัทยังคงใช้ค่าเริ่มต้นสำหรับโดเมนภายในของตน ที่แย่กว่านั้นคือ หลายๆ คนเริ่มสร้างเครือข่ายขนาดใหญ่นอกเหนือจากการตั้งค่าที่มีข้อบกพร่องนี้
ในสมัยของคอมพิวเตอร์เดสก์ท็อป ปัญหาด้านความปลอดภัยไม่มากนัก เนื่องจากไม่มีใครเอาคอมพิวเตอร์เหล่านี้ออกนอกเครือข่ายองค์กร แต่จะเกิดอะไรขึ้นเมื่อพนักงานทำงานในบริษัทที่มีเส้นทางเครือข่าย corp
ใน Active Directory นำแล็ปท็อปขององค์กรไปที่ร้าน Starbucks ในพื้นที่หรือไม่ จากนั้นโปรโตคอลการค้นพบเว็บพร็อกซีอัตโนมัติ (WPAD) และฟังก์ชันการแบ่งชื่อ DNS จะมีผลใช้บังคับ
มีความเป็นไปได้สูงที่บริการบางอย่างบนแล็ปท็อปจะยังคงส่งผลกระทบกับโดเมนภายใน corp
แต่จะไม่พบ และคำขอจะได้รับการแก้ไขไปยังโดเมน corp.com จากอินเทอร์เน็ตแบบเปิดแทน
ในทางปฏิบัติ หมายความว่าเจ้าของ corp.com สามารถสกัดกั้นคำขอส่วนตัวจากคอมพิวเตอร์หลายแสนเครื่องที่ออกจากสภาพแวดล้อมขององค์กรโดยไม่ตั้งใจโดยใช้การกำหนด corp
สำหรับโดเมนของคุณใน Active Directory
การรั่วไหลของคำขอ WPAD ในการรับส่งข้อมูลในอเมริกา จากการศึกษาของมหาวิทยาลัยมิชิแกนในปี 2016
Почему домен еще не продан
ในปี 2014 ผู้เชี่ยวชาญของ ICANN ได้เผยแพร่
Mike ต้องการขาย corp.com เมื่อปีที่แล้ว แต่นักวิจัย Jeff Schmidt โน้มน้าวให้เขาชะลอการขายตามรายงานข้างต้น การศึกษายังพบว่าคอมพิวเตอร์ 375 เครื่องพยายามติดต่อกับ corp.com ทุกวันโดยที่เจ้าของไม่ทราบ คำขอดังกล่าวมีความพยายามที่จะเข้าสู่ระบบอินทราเน็ตขององค์กร เข้าถึงเครือข่าย หรือการแชร์ไฟล์
ในฐานะส่วนหนึ่งของการทดลองของเขาเอง Schmidt ร่วมกับ JAS Global ได้เลียนแบบวิธีที่ Windows LAN ประมวลผลไฟล์และคำขอบน corp.com ด้วยการทำเช่นนี้ พวกเขาได้เปิดประตูสู่นรกสำหรับผู้เชี่ยวชาญด้านความปลอดภัยของข้อมูล:
มันแย่มาก เราหยุดการทดลองหลังจากผ่านไป 15 นาที และทำลายข้อมูล [ที่ได้รับทั้งหมด] ผู้ทดสอบที่มีชื่อเสียงซึ่งให้คำแนะนำ JAS ในประเด็นนี้ตั้งข้อสังเกตว่าการทดลองเป็นเหมือน "สายฝนแห่งข้อมูลที่เป็นความลับ" และเขาไม่เคยเห็นอะไรแบบนี้มาก่อน
[เราตั้งค่าการรับอีเมลบน corp.com] และหลังจากนั้นประมาณหนึ่งชั่วโมง เราก็ได้รับอีเมลมากกว่า 12 ล้านฉบับ หลังจากนั้นเราก็หยุดการทดสอบ แม้ว่าอีเมลส่วนใหญ่จะเป็นแบบอัตโนมัติ แต่เราพบว่าบางอีเมลมีความละเอียดอ่อน [ความปลอดภัย] ดังนั้นเราจึงทำลายชุดข้อมูลทั้งหมดโดยไม่มีการวิเคราะห์เพิ่มเติม
ชมิดต์เชื่อว่าผู้ดูแลระบบทั่วโลกได้เตรียมบอตเน็ตที่อันตรายที่สุดในประวัติศาสตร์มาเป็นเวลาหลายทศวรรษโดยไม่รู้ตัว คอมพิวเตอร์ทำงานเต็มรูปแบบหลายแสนเครื่องทั่วโลกไม่เพียงแต่พร้อมที่จะเป็นส่วนหนึ่งของบอตเน็ตเท่านั้น แต่ยังพร้อมที่จะให้ข้อมูลที่เป็นความลับเกี่ยวกับเจ้าของและบริษัทของตนด้วย สิ่งที่คุณต้องทำเพื่อใช้ประโยชน์จากสิ่งนี้คือ control corp.com ในกรณีนี้ เครื่องใดๆ ที่ครั้งหนึ่งเคยเชื่อมต่อกับเครือข่ายองค์กรซึ่งมีการกำหนดค่า Active Directory ผ่าน //corp จะเป็นส่วนหนึ่งของบอตเน็ต
Microsoft ยอมแพ้กับปัญหานี้เมื่อ 25 ปีที่แล้ว
หากคุณคิดว่า MS ไม่ทราบถึงแบคชานาเลียที่กำลังเกิดขึ้นรอบๆ corp.com แสดงว่าคุณคิดผิดอย่างร้ายแรง
เมื่อไมค์รู้สึกเบื่อหน่ายกับสิ่งนี้ corp.com ก็เริ่มเปลี่ยนเส้นทางผู้ใช้ไปยังเว็บไซต์ร้านขายเซ็กซ์ เพื่อเป็นการตอบสนอง เขาได้รับจดหมายโกรธหลายพันฉบับจากผู้ใช้ ซึ่งเขาส่งต่อผ่านการคัดลอกไปยังบิล เกตส์
อย่างไรก็ตาม ไมค์เองก็ตั้งค่าเมลเซิร์ฟเวอร์และรับจดหมายลับบน corp.com ด้วยความอยากรู้อยากเห็น เขาพยายามแก้ไขปัญหาเหล่านี้ด้วยตนเองโดยติดต่อกับบริษัทต่างๆ แต่พวกเขาไม่รู้ว่าจะแก้ไขสถานการณ์อย่างไร:
ทันใดนั้น ฉันเริ่มได้รับอีเมลที่เป็นความลับ รวมถึงรายงานทางการเงินของบริษัทเวอร์ชันเบื้องต้นที่ส่งไปยังสำนักงานคณะกรรมการกำกับหลักทรัพย์และตลาดหลักทรัพย์ของสหรัฐอเมริกา รายงานด้านทรัพยากรบุคคล และสิ่งที่น่ากลัวอื่นๆ ฉันพยายามติดต่อกับบริษัทต่างๆ มาระยะหนึ่งแล้ว แต่ส่วนใหญ่ไม่รู้ว่าจะทำอย่างไรกับมัน ในที่สุดฉันก็ปิดมัน [เซิร์ฟเวอร์เมล]
MS ไม่ได้ดำเนินการใดๆ และบริษัทปฏิเสธที่จะแสดงความคิดเห็นเกี่ยวกับสถานการณ์ดังกล่าว ใช่ Microsoft ได้เปิดตัวการอัปเดต Active Directory หลายรายการในช่วงหลายปีที่ผ่านมา ซึ่งแก้ไขปัญหาการขัดแย้งกันของชื่อโดเมนได้บางส่วน แต่ก็มีปัญหาหลายประการ ทางบริษัทก็ได้ผลิต คำแนะนำ ในการตั้งชื่อโดเมนภายใน คำแนะนำในการเป็นเจ้าของโดเมนระดับที่สองเพื่อหลีกเลี่ยงความขัดแย้ง และบทช่วยสอนอื่นๆ ที่ปกติแล้วจะไม่ได้อ่าน
แต่สิ่งที่สำคัญที่สุดอยู่ที่การอัปเดต ขั้นแรก: หากต้องการใช้ คุณจะต้องวางระบบอินทราเน็ตของบริษัททั้งหมด ประการที่สอง: หลังจากการอัปเดตดังกล่าว แอปพลิเคชันบางตัวอาจเริ่มทำงานช้าลง ไม่ถูกต้อง หรือหยุดทำงานไปเลย เป็นที่ชัดเจนว่าบริษัทส่วนใหญ่ที่มีเครือข่ายองค์กรที่ถูกสร้างขึ้นจะไม่รับความเสี่ยงดังกล่าวในระยะสั้น นอกจากนี้ หลายคนยังไม่ตระหนักถึงภัยคุกคามเต็มรูปแบบซึ่งเต็มไปด้วยการเปลี่ยนเส้นทางของทุกสิ่งไปยัง corp.com เมื่อเครื่องถูกนำออกนอกเครือข่ายภายใน
การประชดสูงสุดเกิดขึ้นได้เมื่อคุณดู
และจะเกิดอะไรขึ้นต่อไป?
ดูเหมือนว่าวิธีแก้ปัญหาสำหรับสถานการณ์นี้อยู่บนพื้นผิวและอธิบายไว้ในตอนต้นของบทความ: ให้ Microsoft ซื้อโดเมนของ Mike จากเขาและแบนเขาที่ไหนสักแห่งในตู้เสื้อผ้าระยะไกลตลอดไป
แต่มันไม่ง่ายขนาดนั้น Microsoft เสนอให้ O'Connor ซื้อโดเมนที่เป็นพิษของเขาให้กับบริษัทต่างๆ ทั่วโลกเมื่อหลายปีก่อน นั่นเป็นเพียง ยักษ์ใหญ่เสนอเงินเพียง 20 ดอลลาร์เพื่อปิดช่องโหว่ดังกล่าวในเครือข่ายของตัวเอง.
ขณะนี้มีการเสนอโดเมนในราคา 1,7 ล้านเหรียญสหรัฐ และแม้ว่า Microsoft จะตัดสินใจซื้อโดเมนดังกล่าวในวินาทีสุดท้าย
เฉพาะผู้ใช้ที่ลงทะเบียนเท่านั้นที่สามารถเข้าร่วมในการสำรวจได้
ถ้าคุณเป็นโอคอนเนอร์คุณจะทำอย่างไร?
-
ลด 59,6%ให้ Microsoft ซื้อโดเมนในราคา 1,7 ล้านเหรียญสหรัฐ หรือให้คนอื่นซื้อโดเมนนั้น501
-
ลด 3,4%ฉันจะขายมันในราคา 20 ดอลลาร์ ฉันไม่ต้องการที่จะลงไปในประวัติศาสตร์ในฐานะบุคคลที่ทำให้โดเมนรั่วไหลไปยังบุคคลที่ไม่รู้จัก29
-
ลด 3,3%ฉันจะฝังมันไว้กับตัวเองตลอดไปถ้า Microsoft ไม่สามารถตัดสินใจได้อย่างถูกต้อง28
-
ลด 21,2%ฉันจะขายโดเมนให้กับแฮกเกอร์โดยเฉพาะโดยมีเงื่อนไขว่าพวกเขาจะทำลายชื่อเสียงของ Microsoft ในสภาพแวดล้อมขององค์กร พวกเขาทราบปัญหานี้มาตั้งแต่ปี 1997!178
-
ลด 12,4%ฉันจะตั้งค่าบอตเน็ต + เมลเซิร์ฟเวอร์ด้วยตัวเอง และเริ่มตัดสินชะตากรรมของโลก104
ผู้ใช้ 840 คนโหวต ผู้ใช้ 131 รายงดออกเสียง
ที่มา: will.com